Ошибка Java HttpClient для отсутствия сертификата SSL, используя сертификат как строку в коде?

Я немного смущен в попытке использовать HttpClient для вызова https-сайта, использующего самозаверяющий сертификат. У меня есть код, как показано ниже, что позволяет мне сделать вызов, но затем я получаю сообщение об ошибке, как javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: No trusted certificate found Я загрузил сертификат из своего веб-браузера и понимаю, что могу импортировать его в хранилище ключей, но я бы скорее просто поставил это в код и использовать его таким образом, есть ли способ сделать это?

    HttpClient client = new HttpClient();

    EasySSLProtocolSocketFactory easySSLProtocolSocketFactory = new EasySSLProtocolSocketFactory();
    Protocol https = new Protocol("https", easySSLProtocolSocketFactory,
            443);
    Protocol.registerProtocol("https", https);

    BufferedReader br = null;

    String responseString = "";

    GetMethod method = new GetMethod(path);

    int returnCode = client.executeMethod(method);

Ответ 1

Предполагая, что ваш сертификат находится в формате PEM. Вы можете вставить его в код и использовать BouncyCastle PEMReader, чтобы превратить его в экземпляр X509Certificate. Как только это будет сделано, создайте экземпляр KeyStore в памяти и поместите в него этот сертификат X.509. Затем создайте новый SSLContext, используя KeyStore в качестве хранилища доверия и сделайте его HTTP-клиентом.

Это будет выглядеть так (не пробовал, не забудьте закрыть читателей и уловить исключения...):

PEMReader pemReader = new PEMReader(new StringReader("----- BEGIN ......");
X509Certificate cert = (X509Certificate) pemReader.readObject();

KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null, null);
ks.setCertificateEntry("some name", cert);

TrustManagerFactory tmf = TrustManagerFactory.getInstance(
    TrustManagerFactory.getDefaultAlgorithm());
tmf.init(ks);

SSLContext sc = SSLContext.getInstance("TLS");
sc.init(null, tmf.getTrustManagers(), null);

Затем используйте это SSLContext для вашего соединения. Вы можете сделать это с помощью Apache HttpClient SSLSocketFactory, если вы используете версию 4.x(или this, если вы используете версию 3.x). Я бы предложил использовать Apache HttpClient 4.x в настоящее время.

Ответ 2

Основываясь на ответе Alexander Chzhen и на HttpClient 4.3 Сначала создаю контекст, который доверяет всем:

SSLContextBuilder sslctxb = new SSLContextBuilder();

sslctxb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                          new TrustSelfSignedStrategy() {
  @Override
  public boolean isTrusted(X509Certificate[] chain,
                           String            authType)
    throws CertificateException {
    return true;
  }
});

SSLContext sslctx = sslctxb.build();

Затем клиентский строитель:

HttpClientBuilder hcb = HttpClients.custom();

и я устанавливаю только контекст. Я не использую setSSLSocketFactory, потому что это будет мешать setHostnameVerifier ниже:

hcb.setSslcontext(sslctx);

Наконец, я устанавливаю верификатор имени хоста, который проверяет все:

hcb.setHostnameVerifier(new X509HostnameVerifier() {
  @Override
  public void verify(String host, SSLSocket ssl)
    throws IOException {
  }

  @Override
  public void verify(String host, X509Certificate cert)
    throws SSLException {
  }

  @Override
  public void verify(String host, String[] cns, String[] subjectAlts)
    throws SSLException {
  }

  @Override
  public boolean verify(String hostname, SSLSession session) {
    return true;
  }
});

Наконец, постройте клиента:

HttpClient c = hcb.build();

Ответ 3

Если вы хотите принять только этот единственный сертификат, но не все самоподписанные сертификаты, тогда вы должны загрузить сертификат и где-нибудь сохранить файл pem.

Теперь вы можете использовать этот код для загрузки файла pem, создания нового доверия с этим сертификатом и использования truststore для вашего HttpClient.

//use java. ... .X509Certificate, not javax. ... .X509Certificate
import java.security.cert.X509Certificate;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;

@Test
public void testSslCertificate()
        throws IOException, KeyStoreException, NoSuchAlgorithmException,
               CertificateException, KeyManagementException {

    X509Certificate cert;
    try (FileInputStream pemFileStream = new FileInputStream(newFile("your.pem"))) {
        CertificateFactory certFactory = CertificateFactory.getInstance("X509");
        cert = (X509Certificate) certFactory.generateCertificate(pemFileStream);
    }

    //create truststore
    KeyStore trustStore = KeyStore.getInstance("JKS");
    trustStore.load(null); //create an empty trustore

    //add certificate to truststore - you can use a simpler alias
    String alias = cert.getSubjectX500Principal().getName() + "["
            + cert.getSubjectX500Principal().getName().hashCode() + "]";
    trustStore.setCertificateEntry(alias, cert);

    //configure http client
    TrustManagerFactory trustManagerFactory =
       TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    trustManagerFactory.init(trustStore);

    SSLContext sslContext = SSLContext.getInstance("TLS");
    sslContext.init(null, trustManagerFactory.getTrustManagers(), null);

    HttpClientBuilder httpClientBuilder = HttpClientBuilder.
                                          create().setSslcontext(sslContext);

    try (CloseableHttpClient httpClient = httpClientBuilder.build()) {
        HttpGet httpGetRequest = new HttpGet("https://yourServer");
        try (CloseableHttpResponse httpResponse =
                            httpClient.execute(httpGetRequest)) {
            Assert.assertEquals(200,
                                httpResponse.getStatusLine().getStatusCode());
        }
    }
}

Ответ 4

Вот как сделать Apache HttpClient 4.3, который принимает самозаверяющие сертификаты:

HttpClientBuilder cb = HttpClientBuilder.create();
SSLContextBuilder sslcb = new SSLContextBuilder();
sslcb.loadTrustMaterial(KeyStore.getInstance(KeyStore.getDefaultType()),
                        new TrustSelfSignedStrategy());
cb.setSslcontext(sslcb.build());
HttpClient client = cb.build()

Теперь для выполнения запросов POST или GET используется стандартный метод выполнения:

HttpResponse response = client.execute(...);

Напоминание: вы уязвимы, если доверяете самоподписанному сертификату.

Ответ 5

Во многих ситуациях сертификация может быть предпочтительнее жесткого кодирования конкретного сертификата.

Да, вы можете жестко закодировать сертификат в свой код, и это будет работать и быть безопасным. Это совершенно разумный подход. Однако он имеет некоторые недостатки. Одна ошибка заключается в том, что в конечном итоге срок действия сертификата истечет, а затем ваше приложение перестанет работать. Кроме того, если вы когда-либо захотите изменить свой секретный ключ, вы не сможете.

Поэтому во многих сценариях использование пиннинга сертификата является более гибким и может быть предпочтительным. См. здесь для ссылок о том, как внедрить сертификат.