最近同事用nodejs和android通过grpc连接服务端,传输层开启了https双向认证,连接时报错: Status{code=UNAVAILABLE, description=null, cause=javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.
google之后,大部分给的原因都是服务端的根证书在客户端找不到,比如无法访问。经确认,server的根证书放置是没有问题的。
最后发现,是因为server端的证书中,SAN字段添加了IP以及DNS,但是DNS中的域名给的是IP地址。
翻了下 RFC2818(HTTP over TLS), 里面的描述看起来是不允许DNS里写入IP地址的,不过不知道这是不是一个通用的规则,因为在C++以及Python实现的GRPC中这样做是不汇报错的。