那些遇到过的问题

SSLPeerUnverifiedException - <> 的证书与证书主题的通用名称不匹配

Bar*_*thi 2 rest ssl-certificate netflix-eureka netflix-zuul netflix-ribbon

当我们尝试从 zuul 访问安全的 https REST 点时,出现以下异常。

2017-10-27 08:26:08.499 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:安全会话建立
2017-10-27 08:26:08.500 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:协商协议:TLSv1.2
2017-10-27 08:26:08.500 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:协商密码套件:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
2017-10-27 08:26:08.501 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:对等主体:CN=10.xxx.xx.xx,OU=xxx,O=xxx , L=xxx, ST=xx, C=xx
2017-10-27 08:26:08.502 DEBUG 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:发行人主体:CN=10.xxx.xx.xx,OU=xxx,O=xxx , L=xxx, ST=xx, C=xx
2017-10-27 08:26:08.516 DEBUG 15708 --- [http-nio-9092-exec-1] oahconn.ssl.DefaultHostnameVerifier:证书与证书主题的通用名称不匹配:10.xxx.xx .xx
javax.net.ssl.SSLPeerUnverifiedException:证书与证书主题的通用名称不匹配
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.matchCN(DefaultHostnameVerifier.java:186)
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:133)
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:99)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.verifyHostname(SSLConnectionSocketFactory.java:463)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:397)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)
    在 org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
    在 org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)
    在 org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)
    在 org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)
    在 org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)
    在 org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
    在 org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)
    在 org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:56)
    在 org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:94)
    在 org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:43)
    在 com.netflix.client.AbstractLoadBalancerAwareClient$1.call(AbstractLoadBalancerAwareClient.java:109)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:303)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:287)
    在 rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:231)
    在 rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:228)
    在 rx.Observable.unsafeSubscribe(Observable.java:10211)
    在 rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.drain(OnSubscribeConcatMap.java:286)
    在 rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.onNext(OnSubscribeConcatMap.java:144)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:185)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:180)
...

服务通过 POST 请求注册到 eureka。请找到以下示例 POST 请求。

    春天:
      应用:
        名称:网关 
    服务器:
      端口:9092
      ssl:    
        启用:真
        客户端验证:想要
        密钥库:类路径:keystore.jks
        密钥存储密码:密码
        密钥密码:密码   
        密钥别名:xxxx
    尤里卡:
      实例:
        nonSecurePortEnabled:假
        启用安全端口:真
      客户:
        服务网址:
          defaultZone: ${EUREKA_URI:http://localhost:8761/eureka}
        registry-fetch-interval-seconds: 15
        注册尤里卡:true
        获取注册表:true
        心跳执行器线程池大小:5
        eureka-service-url-poll-interval-seconds: 10
    祖尔:
      前缀:/树
      路线:
        服务:
          路径:/cxf/**
          带前缀:假
          服务 ID:服务
    丝带:
      IsSecure:真
      IsHostnameValidationRequired:false

服务通过 POST 请求注册到 eureka。请找到以下示例 POST 请求。

    {
    “实例”: {
        "hostName": "xxx",
        "app": "appname",
        "vipAddress": "应用名称",
        "secureVipAddress": "appname",
        "ipAddr": "10.xxx.xx.xxx",
        "状态": "UP",
        "端口": {"$": "8181", "@enabled": "true"},
        "securePort": {"$": "8443", "@enabled": "true"},
        "healthCheckUrl": "http://localhost:8000/cat",
        "statusPageUrl": "http://localhost:8000/cat",
        "homePageUrl": "http://localhost:8000/cat",
        “数据中心信息”:{
            "@class": "com.netflix.appinfo.InstanceInfo$DefaultDataCenterInfo", 
            "name": "MyOwn"
        }
    }

如果我在上面的 zuul 配置中用相应的 url 替换 serviceId,它工作正常。

keystore.jks 已经在 src/main/resources 下。此外,将密钥库条目导入到 $JDK_HOME/jre/lib/security/cacerts 下的证书中。我们是否缺少任何其他配置?

注意: REST 端点是一个 OSGI 服务。spring boot 版本:v1.5.7.RELEASE 我们使用嵌入式tomcat。

Bar*_*thi 5

上述问题的原因是证书不包含字段“ SubjectAlternativeName ”。创建具有字段“ SubjectAlternativeName ”的证书后,该字段又包含 CN(通用名称)和 IP 详细信息,问题已解决。我们还需要生成信任库

对于正在寻找解决方案的人,希望以下步骤可能会有所帮助。

1.生成服务器密钥和自签名服务器证书 keytool -genkey -alias serverkey -keyalg RSA -storetype PKCS12 -keystore serverkeystore.p12 -ext SAN=dns:abc.com,dns:localhost,ip:127.0.0.1

2.生成客户端密钥和自签名客户端证书 keytool -genkey -alias clientkey -keyalg RSA -storetype PKCS12 -keystore clientkeystore.p12 -ext SAN=dns:def.com,dns:localhost,ip:127.0.0.1

3.导出服务器证书 keytool -export -alias serverkey -file servercert.cer -keystore serverkeystore.p12

4.导出客户端证书 keytool -export -alias clientkey -file clientcert.cer -keystore clientkeystore.p12

5.导入证书到$JAVA_HOME/jre/lib/security sudo keytool -import -trustcacerts -alias localhost -file localhost.crt -keystore $JAVA_HOME/jre/lib/security/cacerts

网关的application.yml:

spring:
  application:
    name: gateway
server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:serverkeystore.p12
    key-store-password: server
    key-alias: serverkey
eureka:
  instance:
    securePort: ${server.port}
    nonSecurePortEnabled: false
    securePortEnabled: true
    leaseRenewalIntervalInSeconds: 7
    leaseExpirationDurationInSeconds: 9
  client:
    serviceUrl:
      defaultZone: ${EUREKA_URI:http://localhost.com:8761/eureka/}
    registry-fetch-interval-seconds: 5
    register-with-eureka: true
    fetch-registry: true
    heartbeat-executor-thread-pool-size: 5
    eureka-service-url-poll-interval-seconds: 10
zuul:
  prefix: /service
  routes:
    producer:
      path: /employee/**
      strip-prefix: false
      serviceId: producer
ribbon:
  IsSecure: true
logging:
 file: logs/gateway.log
 level.root: INFO
 level.com.fujitsu.fnc.sdnfw.msvc: DEBUG
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

10300 次

最近记录:

6 年,11 月 前
相关归档
从弹性负载均衡器中删除上载的证书 27
用于验证信息的REST操作(GET,PUT或POST)是什么? 20
证书固定不适用于Android上的OkHttp 14
Spring MVC带注释的控制器方法,无法"查找"DELETE操作的方法 11
WebAPI和角度JS Excel文件下载 - 文件已损坏 9
CodeIgniter REST API库Ajax PUT抛出403 Forbidden 8
为什么找不到 MIME 媒体类型 application/zip? 6
如何使用电子邮件登录用户并使用Django Rest Framework JSON Web令牌注销? 4
通过REST使用Laravel上传文件 4
requests.exceptions.SSLError: [SSL: CERTIFICATE_VERIFY_FAILED] 证书验证失败 (_ssl.c:600) 2
难疑归档
正则表达式匹配不包含单词的行? 4121
如何检查列表是否为空? 3235
Spring中的@ Component,@ Repository和@Service注释有什么区别? 1969
如何仅列出两次提交之间更改的文件名? 1807
如何检查字符串是否为数字(浮点数)? 1519
我如何开始使用Node.js 1264
什么是(功能)反应式编程? 1149
如何向给定元素添加类? 1109
在拉动期间解决Git合并冲突以支持其更改 1104
在jQuery中删除事件处理程序的最佳方法? 1038