忽略 Servlet 中的 SSL 证书

ssl java tomcat sslhandshakeexception

2022-09-03 16:08:31

我遇到以下异常：

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

我做了一些研究，并更改了我的连接代码：

SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
            public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                return true;
            }
        }).build();

CloseableHttpClient client = HttpClients.custom()
            .setRedirectStrategy(new LaxRedirectStrategy()) 
            .setSslcontext(sslContext)   
            .setConnectionManager(connMgr)
            .build();

到目前为止，这解决了问题，我不再收到异常并且连接工作正常。

当我在Tomcat中运行的Servlet中使用相同的代码时，问题再次出现。

为什么？

答案 1

请尝试以下代码。

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.X509TrustManager;

public class DummyX509TrustManager implements X509TrustManager {

    @Override
    public X509Certificate[] getAcceptedIssuers() {
        return null;
    }

    @Override
    public void checkServerTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString)
            throws CertificateException {
    }

    @Override
    public void checkClientTrusted(X509Certificate[] paramArrayOfX509Certificate, String paramString)
            throws CertificateException {
    }
};


final TrustManager[] trustAllCerts = new TrustManager[] { new DummyX509TrustManager() };
try {
    SSLContext sslContext= SSLContext.getInstance("SSL"); 
    sslContext.init(null, trustAllCerts, null);

    CloseableHttpClient client = HttpClients.custom()
        .setRedirectStrategy(new LaxRedirectStrategy()) 
        .setSslcontext(sslContext)   
        .setConnectionManager(connMgr)
        .build();
} catch (KeyManagementException e) {
    throw new IOException(e.getMessage());
} catch (NoSuchAlgorithmException e) {
    throw new IOException(e.getMessage());
}

答案 2

网站证书是由私人/公司拥有的 CA 颁发的，还是自签名的？

... new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() ...

Trustore 为 null：
您是否尝试加载包含可信 CA 及其链的密钥库/文件？
isTrusted 始终返回“true”：
您正在覆盖标准的 JSSE 证书验证过程并信任所有证书，因此根本没有安全性。
该异常：表示证书验证失败。根 CA 或整个 CA 链丢失。

所以看起来Tomcat忽略了你的SSLContext。这样使用，sslContext无论如何都是无用的。调试结果？JVM SSL 设置？异常堆栈跟踪？