允许 Java JDK 11 的不安全 HTTPS 连接 HttpClient

java java-http-client java-11

2022-09-01 20:39:23

有时需要它来允许不安全的HTTPS连接，例如，在某些应该与任何站点一起使用的网络爬行应用程序中。我在旧的HttpsURLConnection API中使用了一个这样的解决方案，该API最近被JDK 11中新的HttpClient API所取代。使用此新 API 允许不安全的 HTTPS 连接（自签名证书或过期证书）的方法是什么？

UPD：我尝试过的代码（在Kotlin中，但直接映射到Java）：

    val trustAllCerts = arrayOf<TrustManager>(object: X509TrustManager {
        override fun getAcceptedIssuers(): Array<X509Certificate>? = null
        override fun checkClientTrusted(certs: Array<X509Certificate>, authType: String) {}
        override fun checkServerTrusted(certs: Array<X509Certificate>, authType: String) {}
    })

    val sslContext = SSLContext.getInstance("SSL")
    sslContext.init(null, trustAllCerts, SecureRandom())

    val sslParams = SSLParameters()
    // This should prevent host validation
    sslParams.endpointIdentificationAlgorithm = ""

    httpClient = HttpClient.newBuilder()
        .sslContext(sslContext)
        .sslParameters(sslParams)
        .build()

但是在发送时，我有例外（使用自签名证书在本地主机上尝试）：

java.io.IOException: No name matching localhost found

使用 IP 地址而不是本地主机会给出“不存在使用者替代名称”异常。

在对JDK进行了一些调试后，我发现在抛出异常的地方确实被忽略了，并且使用了一些本地创建的实例。进一步的调试表明，影响主机名验证算法的唯一方法是将系统属性设置为 true。这似乎是一个解决方案。在上面的代码中没有效果，所以这部分可以被丢弃。让它只能全局配置看起来像是新的HttpClient API中的严重设计缺陷。sslParamsjdk.internal.httpclient.disableHostnameVerificationSSLParameters

答案 1

正如建议的那样，您已经需要一个忽略错误证书的SSLContext。在问题中的一个链接中获取SSLContext的确切代码应该通过创建一个不查看证书的空TrustManager来工作：

private static TrustManager[] trustAllCerts = new TrustManager[]{
    new X509TrustManager() {
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }
        public void checkClientTrusted(
            java.security.cert.X509Certificate[] certs, String authType) {
        }
        public void checkServerTrusted(
            java.security.cert.X509Certificate[] certs, String authType) {
        }
    }
};

public static  void main (String[] args) throws Exception {
    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustAllCerts, new SecureRandom());

    HttpClient client = HttpClient.newBuilder()
        .sslContext(sslContext)
        .build();

上述问题显然是所有站点都完全禁用了服务器身份验证。如果只有一个坏证书，那么您可以使用以下命令将其导入密钥库：

keytool -importcert -keystore keystorename -storepass pass -alias cert -file certfile

然后使用读取密钥库的 InputStream 初始化 SSLContext，如下所示：

char[] passphrase = ..
KeyStore ks = KeyStore.getInstance("PKCS12");
ks.load(i, passphrase); // i is an InputStream reading the keystore

KeyManagerFactory kmf = KeyManagerFactory.getInstance("PKIX");
kmf.init(ks, passphrase);

TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");
tmf.init(ks);

sslContext = SSLContext.getInstance("TLS");
sslContext.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);

上述任一解决方案都适用于自签名证书。第三种选择是，如果服务器提供了有效的非自签名证书，但对于与其提供的证书中的任何名称都不匹配的主机，则可以将系统属性“jdk.internal.httpclient.disableHostnameVerification”设置为“true”，这将强制以与以前使用HostnameVerifier API相同的方式接受证书。请注意，在正常部署中，预计不会使用这些机制中的任何一种，因为应该可以自动验证任何正确配置的HTTPS服务器提供的证书。

答案 2

使用Java 11，您也可以执行与构建如下链接共享的所选答案中提到的类似工作：HttpClient

HttpClient httpClient = HttpClient.newBuilder()
        .connectTimeout(Duration.ofMillis(<timeoutInSeconds> * 1000))
        .sslContext(sc) // SSL context 'sc' initialised as earlier
        .sslParameters(parameters) // ssl parameters if overriden
        .build();

有样品请求

HttpRequest requestBuilder = HttpRequest.newBuilder()
            .uri(URI.create("https://www.example.com/getSomething"))
            .GET()
            .build();

可以按如下方式执行：

httpClient.send(requestBuilder, HttpResponse.BodyHandlers.ofString()); // sends the request

从注释更新，要禁用主机名验证，目前可以使用系统属性：

-Djdk.internal.httpclient.disableHostnameVerification

可以按编程方式设置如下：-

final Properties props = System.getProperties(); 
props.setProperty("jdk.internal.httpclient.disableHostnameVerification", Boolean.TRUE.toString());