Ale*_*der 2 apache ssl tomcat httpclient ssl-certificate
我们正在使用tomcat和jersey开发应用程序.
在此Web应用程序中,我们需要连接到https Websitea valid,而不是已过期certificate.如果我通过我的Chrome浏览器在本地连接到本网站,一切正常!不幸的是,带有我们webapp的tomcat服务器引发了异常.我们使用Apache HttpClient (4.0)连接到https网站:
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:371)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:126)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:645)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:480)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:805)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:784)
服务器证书绝对有效且来自thawte.三种不同的在线工具成功验证了证书.
Openssl也有一个问题,并向我展示三个证书,但抛出一个简单的错误:
Verify return code: 20 (unable to get local issuer certificate)
openssl的问题似乎是它使用了错误的路径/usr/lib/ssl而不是/etc/ssl/certs.如果我使用指向正确路径的CApath参数,openssl工作正常,那么这可能是httpClient的问题吗?
所以我们的默认客户端代码非常简单:
client = new DefaultHttpClient();
response = client.execute(url); //this throws the exception
EntityUtils.consume(response.getEntity());
通过实现自定义TrustedManager,不允许任何证书!我读到,有些CA不是JDK/JRE的一部分,因此它的证书应该手动导入keystore或使用自定义的证书,但是thawte是一个众所周知的CA,它不应该在默认情况下工作吗?
编辑
我确实在catalina.sh中设置了javax.debug属性,以便我有关于该问题的更多信息:
http-bio-8080-exec-1, handling exception: javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path validation failed:
java.security.cert.CertPathValidatorException: basic constraints check failed:
pathLenConstraint violated - this cert must be the last cert in the certification path
我将不胜感激任何帮助!提前致谢!
好的,我搞定了!尽管thawte是一个众所周知的CA,但似乎Java SSL确实存在一些问题.通过以下方式下载ssl证书后openssl:
echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'
并将其保存到pem文件中,我将手动导入到java密钥库中:
keytool -import -alias myAlias -file theCert.pem -keystore lib/security/cacerts
我不知道为什么java ssl无法正确验证thawte证书.
列出密钥库告诉我,标准密钥库中有7个可信任的证书,但奇怪的是,在我手动导入pem文件之前它没有工作
| 归档时间: |
|
| 查看次数: |
23861 次 |
| 最近记录: |