Eve*_*sle 3 java security ssl apache-httpclient-4.x
我正在编写一个系统,必须将一个多部分发布到服务器(一个名为ARX的第三方程序,当前在开发期间在localhost上运行),该服务器具有自签名证书.
我试图找到它的证书,但只能找到三个不同的jks文件; server.jks,servertrust.jks和serverca.jks.
我试图使用System.setProperty("javax.net.ssl.trustStore", "Program Files\\<path>\\jksfile")每个jks文件.然而; 当我这样做时,我收到以下错误:
证书中的主机名不匹配:<localhost>!= <9200416 arx sa cert>.
我在stackoverflow上浏览了大量类似的问题,试图了解如何解决这个问题,但我无法解决我的问题.
有什么建议?非常感谢所有帮助.
Bru*_*uno 13
证书本身似乎是可信的,因此您的javax.net.ssl.trustStore设置有效,但主机名不匹配.
根据客户端如何识别它尝试访问的主机来完成主机名匹配.如果它正在尝试访问https://localhost/,则证书必须有效localhost.如果它正在尝试访问https://something-else.example,则证书必须有效something-else.example,即使localhost并且something-else.example是同一台计算机.
证书中的标识符应该在主题备用名称扩展名中,或者在主题可分辨名称的公用名称(CN)中失败.
在这里,您的证书看起来只有CN,而且这个CN用于" 9200416 arx sa cert".
原则上,您可以通过使用hosts开发计算机上的文件将该名称指向localhost来解决该问题.但是,该名称包含空格,因此它甚至不是有效的主机名.
你有几个选择:
重新生成该应用程序的证书,以便它使用正确的主机名(如果需要,可以调整您的hosts文件).这可能只是在设置时出错.也许有人只是用空格填充该名称,但没有意识到它会像证书中那样被使用(例如,OpenSSL有时称之为"你的名字").
一个不好的选择是更改您的应用程序以忽略主机名验证.这是一个糟糕的选择,因为这会使您的代码对MITM攻击开放.当然,这从localhost到localhost几乎不重要,但这是代码中保留的那种代码.因为它可以防止发生错误(否则会是一个预期的错误),所以很可能会忘记从生产代码中删除它.即使在具有良好开发实践的地方,也很容易错过.这是一个糟糕的选择(只是为了强调这一点).
稍微好一点的变体是拥有一个自定义主机名验证程序,用于检查它找到的名称是否是您知道在证书中的名称.