Как обрабатывать недействительные SSL-сертификаты с помощью Apache HttpClient?

https://mms.nw.ru использует самозаверяющий сертификат, которого нет в наборе диспетчера доверия по умолчанию. Чтобы решить эту проблему, выполните одно из следующих действий:

• Настройте SSLContext с TrustManager, который принимает любой сертификат (см. Ниже).
• Настройте SSLContext с соответствующим хранилищем доверенных сертификатов, которое включает ваш сертификат.
• Добавьте сертификат для этого сайта в хранилище доверенных сертификатов Java по умолчанию.

Вот программа, которая создает (в основном бесполезный) контекст SSL, который принимает любой сертификат:

import java.net.URL;
import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.KeyManager;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

public class SSLTest {
    
    public static void main(String [] args) throws Exception {
        // configure the SSLContext with a TrustManager
        SSLContext ctx = SSLContext.getInstance("TLS");
        ctx.init(new KeyManager[0], new TrustManager[] {new DefaultTrustManager()}, new SecureRandom());
        SSLContext.setDefault(ctx);

        URL url = new URL("https://mms.nw.ru");
        HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
        conn.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                return true;
            }
        });
        System.out.println(conn.getResponseCode());
        conn.disconnect();
    }
    
    private static class DefaultTrustManager implements X509TrustManager {

        @Override
        public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {}

        @Override
        public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {}

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            return null;
        }
    }
}

https://mms.nw.ru, вероятно, использует сертификат, выданный не центром сертификации. Следовательно, вам необходимо добавить сертификат в надежное хранилище ключей Java, как описано в невозможно найти действительный путь сертификации. к запрошенной цели:

При работе с клиентом, который работает с сервером с поддержкой SSL, работающим по протоколу https, вы можете получить ошибку «не удается найти действительный путь сертификации для запрошенной цели», если сертификат сервера не выпущен центром сертификации, а самоподписан или выпущен частная CMS.

Не паникуйте. Все, что вам нужно сделать, это добавить сертификат сервера в надежное хранилище ключей Java, если ваш клиент написан на Java. Вам может быть интересно, как будто вы не можете получить доступ к машине, на которой установлен сервер. Есть простая программа, которая может вам помочь. Загрузите Java-программа и запустите

% java InstallCert _web_site_hostname_

Эта программа открыла соединение с указанным хостом и начала квитирование SSL. Он распечатал трассировку стека исключений возникшей ошибки и показывает сертификаты, используемые сервером. Теперь он предлагает вам добавить сертификат в надежное хранилище ключей.

Если вы передумали, введите «q». Если вы действительно хотите добавить сертификат, введите «1» или другие числа, чтобы добавить другие сертификаты, даже сертификат CA, но обычно вы не хотите этого делать. После того, как вы сделаете свой выбор, программа отобразит полный сертификат и затем добавит его в хранилище ключей Java с именем jssecacerts в текущем каталоге.

Чтобы использовать его в своей программе, либо настройте JSSE для использования его в качестве хранилища доверенных сертификатов, либо скопируйте его в свой каталог $ JAVA_HOME / jre / lib / security. Если вы хотите, чтобы все приложения Java распознавали сертификат как доверенный, а не только JSSE, вы также можете перезаписать файл cacerts в этом каталоге.

После всего этого JSSE сможет выполнить рукопожатие с хостом, что вы можете проверить, снова запустив программу.

Чтобы получить более подробную информацию, вы можете посетить блог Лиланда Больше нет" невозможно найти действительный путь сертификации к запрошенной цели "

В дополнение к правильному ответу Паскаля Тивента есть еще один способ - сохранить сертификат из Firefox (Просмотр сертификата -> Детали -> экспорт) или openssl s_client и импортировать его в хранилище доверенных сертификатов.

Вы должны делать это только в том случае, если у вас есть способ проверить этот сертификат. В противном случае сделайте это при первом подключении, это, по крайней мере, выдаст вам ошибку, если сертификат неожиданно изменится при последующих подключениях.

Чтобы импортировать его в хранилище доверенных сертификатов, используйте:

keytool -importcert -keystore truststore.jks -file servercert.pem

По умолчанию хранилище доверенных сертификатов по умолчанию должно быть $JAVA_HOME/jre/lib/security/cacerts, а его пароль - changeit, см. Справочном руководстве по JSSE.

Если вы не хотите разрешать этот сертификат глобально, а только для этих подключений, можно создать для него SSLContext:

TrustManagerFactory tmf = TrustManagerFactory
    .getInstance(TrustManagerFactory.getDefaultAlgorithm());
KeyStore ks = KeyStore.getInstance("JKS");
FileInputStream fis = new FileInputStream("/.../truststore.jks");
ks.load(fis, null);
// or ks.load(fis, "thepassword".toCharArray());
fis.close();

tmf.init(ks);

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);

Затем вам необходимо настроить его для Apache HTTP Client 3.x, реализовав его, если его _ 7_, чтобы использовать это SSLContext. (Примеры приведены здесь).

HTTP-клиент Apache 4.x (кроме самой ранней версии) имеет прямую поддержку передачи SSLContext.

Способ Apache HttpClient 4.5:

org.apache.http.ssl.SSLContextBuilder sslContextBuilder = SSLContextBuilder.create();
sslContextBuilder.loadTrustMaterial(new org.apache.http.conn.ssl.TrustSelfSignedStrategy());
SSLContext sslContext = sslContextBuilder.build();
org.apache.http.conn.ssl.SSLConnectionSocketFactory sslSocketFactory =
        new SSLConnectionSocketFactory(sslContext, new org.apache.http.conn.ssl.DefaultHostnameVerifier());

HttpClientBuilder httpClientBuilder = HttpClients.custom().setSSLSocketFactory(sslSocketFactory);
httpClient = httpClientBuilder.build();

ПРИМЕЧАНИЕ. org.apache.http.conn.ssl.SSLContextBuilder не рекомендуется, а org.apache.http.ssl.SSLContextBuilder - новый (примечание conn отсутствует в названии последнего пакета).

Для Apache HttpClient 4.5+ и Java8:

SSLContext sslContext = SSLContexts.custom()
        .loadTrustMaterial((chain, authType) -> true).build();

SSLConnectionSocketFactory sslConnectionSocketFactory =
        new SSLConnectionSocketFactory(sslContext, new String[]
        {"SSLv2Hello", "SSLv3", "TLSv1","TLSv1.1", "TLSv1.2" }, null,
        NoopHostnameVerifier.INSTANCE);
CloseableHttpClient client = HttpClients.custom()
        .setSSLSocketFactory(sslConnectionSocketFactory)
        .build();

Но если ваш HttpClient использует ConnectionManager для поиска соединения, например вот так:

 PoolingHttpClientConnectionManager connectionManager = new 
         PoolingHttpClientConnectionManager();

 CloseableHttpClient client = HttpClients.custom()
            .setConnectionManager(connectionManager)
            .build();

HttpClients.custom().setSSLSocketFactory(sslConnectionSocketFactory) не действует, проблема не решена.

Потому что HttpClient использует указанный ConnectionManager для поиска соединения, а указанный connectionManager не зарегистрировал наш настроенный SSLConnectionSocketFactory. Чтобы решить эту проблему, необходимо зарегистрировать настроенный SSLConnectionSocketFactory в connectionManager. Правильный код должен выглядеть так:

PoolingHttpClientConnectionManager connectionManager = new 
    PoolingHttpClientConnectionManager(RegistryBuilder.
                <ConnectionSocketFactory>create()
      .register("http",PlainConnectionSocketFactory.getSocketFactory())
      .register("https", sslConnectionSocketFactory).build());

CloseableHttpClient client = HttpClients.custom()
            .setConnectionManager(connectionManager)
            .build();

Из http://hc.apache.org/httpclient-3.x/sslguide.html:

Protocol.registerProtocol("https", 
new Protocol("https", new MySSLSocketFactory(), 443));
HttpClient httpclient = new HttpClient();
GetMethod httpget = new GetMethod("https://www.whatever.com/");
try {
  httpclient.executeMethod(httpget);
      System.out.println(httpget.getStatusLine());
} finally {
      httpget.releaseConnection();
}

Где можно найти пример MySSLSocketFactory здесь. Он ссылается на TrustManager, который вы можете изменить, чтобы доверять всему (хотя вы должны это учитывать!)

Если у вас есть Java Cert Store (используя созданный выше отличный класс InstallCert), вы можете заставить Java использовать его, передав параметр javax.net.ssl.trustStore при запуске java.

Ex:

java -Djavax.net.ssl.trustStore=/path/to/jssecacerts MyClassName

хочу вставить ответ сюда:

в Apache HttpClient 4.5.5

Как обрабатывать недействительный сертификат SSL с помощью Apache клиент 4.5.5?

HttpClient httpClient = HttpClients
            .custom()
            .setSSLContext(new SSLContextBuilder().loadTrustMaterial(null, TrustAllStrategy.INSTANCE).build())
            .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
            .build();

Другая проблема, с которой вы можете столкнуться с самоподписанными тестовыми сертификатами, заключается в следующем:

java.io.IOException: неправильное имя хоста HTTPS: должно быть ...

Эта ошибка возникает, когда вы пытаетесь получить доступ к URL-адресу HTTPS. Возможно, вы уже установили сертификат сервера в хранилище ключей JRE. Но эта ошибка означает, что имя сертификата сервера не совпадает с фактическим доменным именем сервера, указанным в URL-адресе. Обычно это происходит, когда вы используете сертификат, выданный не CA.

В этом примере показано, как написать HttpsURLConnection DefaultHostnameVerifier, который игнорирует имя сервера сертификатов:

http://www.java-samples.com/showtutorial.php?tutorialid=211

EasySSLProtocolSocketFactory вызывал у меня проблемы, поэтому в итоге я реализовал свой собственный ProtocolSocketFactory.

Для начала нужно его зарегистрировать:

Protocol.registerProtocol("https", new Protocol("https", new TrustAllSSLSocketFactory(), 443));

HttpClient client = new HttpClient();
...

Затем реализуйте ProtocolSocketFactory:

class TrustAllSSLSocketFactory implements ProtocolSocketFactory {

    public static final TrustManager[] TRUST_ALL_CERTS = new TrustManager[]{
        new X509TrustManager() {
            public void checkClientTrusted(final X509Certificate[] certs, final String authType) {

            }

            public void checkServerTrusted(final X509Certificate[] certs, final String authType) {

            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        }
    };

    private TrustManager[] getTrustManager() {
        return TRUST_ALL_CERTS;
    }

    public Socket createSocket(final String host, final int port, final InetAddress clientHost,
                               final int clientPort) throws IOException {
        return getSocketFactory().createSocket(host, port, clientHost, clientPort);
    }

    @Override
    public Socket createSocket(final String host, final int port, final InetAddress localAddress,
                               final int localPort, final HttpConnectionParams params) throws IOException {
        return createSocket(host, port);
    }

    public Socket createSocket(final String host, final int port) throws IOException {
        return getSocketFactory().createSocket(host, port);
    }

    private SocketFactory getSocketFactory() throws UnknownHostException {
        TrustManager[] trustAllCerts = getTrustManager();

        try {
            SSLContext context = SSLContext.getInstance("SSL");
            context.init(null, trustAllCerts, new SecureRandom());

            final SSLSocketFactory socketFactory = context.getSocketFactory();
            HttpsURLConnection.setDefaultSSLSocketFactory(socketFactory);
            return socketFactory;
        } catch (NoSuchAlgorithmException | KeyManagementException exception) {
            throw new UnknownHostException(exception.getMessage());
        }
    }
}

Примечание: это с HttpClient 3.1 и Java 8

Чтобы легко добавить узлы, которым вы доверяете, во время выполнения, не отбрасывая всех проверок, попробуйте следующий код: http://code.google.com/p/self-signed-cert-trust-manager/.

Я столкнулся с той же проблемой, внезапно весь мой импорт пропал. Я попытался удалить все содержимое моей папки .m2. И пытался повторно импортировать все, но все равно ничего не работало. Наконец, я открыл веб-сайт, на который среда IDE жаловалась на невозможность загрузки в моем браузере. И увидел сертификат, который он использовал, и увидел в моем

$ keytool -v -list  PATH_TO_JAVA_KEYSTORE

Путь к моему хранилищу ключей был /Library/Java/JavaVirtualMachines/jdk1.8.0_171.jdk/Contents/Home/jre/lib/security/cacerts

этого конкретного сертификата там не было.

Итак, все, что вам нужно сделать, это снова поместить сертификат в хранилище ключей JAVA JVM. Это можно сделать с помощью следующей команды.

$ keytool -import -alias ANY_NAME_YOU_WANT_TO_GIVE -file PATH_TO_YOUR_CERTIFICATE -keystore PATH_OF_JAVA_KEYSTORE

Если он запрашивает пароль, попробуйте пароль по умолчанию «changeit». Если при выполнении указанной выше команды вы получаете ошибку разрешения. В windows откройте его в режиме администрирования. В mac и unix используйте sudo.

После того, как вы успешно добавили ключ, вы можете просмотреть его, используя:

$ keytool -v -list  /Library/Java/JavaVirtualMachines/jdk1.8.0_171.jdk/Contents/Home/jre/lib/security/cacerts 

Вы можете просмотреть только SHA-1, используя команду teh

$ keytool -list  /Library/Java/JavaVirtualMachines/jdk1.8.0_171.jdk/Contents/Home/jre/lib/security/cacerts 

Эта ссылку шаг за шагом объясняет ваше требование. Если вас действительно не интересует, какой сертификат, вы можете продолжить процесс по ссылке ниже.

Примечание. Возможно, вы захотите дважды проверить, что вы делаете, поскольку это небезопасная операция.

Использование InstallCert для создания jssecacerts файла и -Djavax.net.ssl.trustStore=/path/to/jssecacerts отлично сработало.

Я использую httpclient 3.1.X, и у меня это работает

        try {
        SSLContext sslContext = SSLContext.getInstance("TLS");
        TrustManager trustManager = new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {

            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
        sslContext.init(null, new TrustManager[]{trustManager}, null);
        SslContextSecureProtocolSocketFactory socketFactory = new SslContextSecureProtocolSocketFactory(sslContext,false);
        Protocol.registerProtocol("https", new Protocol("https", (ProtocolSocketFactory) socketFactory, 443));//同样会影响到HttpUtils
    } catch (Throwable e) {
        e.printStackTrace();

}

public class SslContextSecureProtocolSocketFactory implements      SecureProtocolSocketFactory {

private SSLContext sslContext;
private boolean verifyHostname;

public SslContextSecureProtocolSocketFactory(SSLContext sslContext, boolean verifyHostname) {
    this.verifyHostname = true;
    this.sslContext = sslContext;
    this.verifyHostname = verifyHostname;
}

public SslContextSecureProtocolSocketFactory(SSLContext sslContext) {
    this(sslContext, true);
}

public SslContextSecureProtocolSocketFactory(boolean verifyHostname) {
    this((SSLContext)null, verifyHostname);
}

public SslContextSecureProtocolSocketFactory() {
    this((SSLContext)null, true);
}

public synchronized void setHostnameVerification(boolean verifyHostname) {
    this.verifyHostname = verifyHostname;
}

public synchronized boolean getHostnameVerification() {
    return this.verifyHostname;
}

public Socket createSocket(String host, int port, InetAddress clientHost, int clientPort) throws IOException, UnknownHostException {
    SSLSocketFactory sf = this.getSslSocketFactory();
    SSLSocket sslSocket = (SSLSocket)sf.createSocket(host, port, clientHost, clientPort);
    this.verifyHostname(sslSocket);
    return sslSocket;
}

public Socket createSocket(String host, int port, InetAddress localAddress, int localPort, HttpConnectionParams params) throws IOException, UnknownHostException, ConnectTimeoutException {
    if(params == null) {
        throw new IllegalArgumentException("Parameters may not be null");
    } else {
        int timeout = params.getConnectionTimeout();
        Socket socket = null;
        SSLSocketFactory socketfactory = this.getSslSocketFactory();
        if(timeout == 0) {
            socket = socketfactory.createSocket(host, port, localAddress, localPort);
        } else {
            socket = socketfactory.createSocket();
            InetSocketAddress localaddr = new InetSocketAddress(localAddress, localPort);
            InetSocketAddress remoteaddr = new InetSocketAddress(host, port);
            socket.bind(localaddr);
            socket.connect(remoteaddr, timeout);
        }

        this.verifyHostname((SSLSocket)socket);
        return socket;
    }
}

public Socket createSocket(String host, int port) throws IOException, UnknownHostException {
    SSLSocketFactory sf = this.getSslSocketFactory();
    SSLSocket sslSocket = (SSLSocket)sf.createSocket(host, port);
    this.verifyHostname(sslSocket);
    return sslSocket;
}

public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException, UnknownHostException {
    SSLSocketFactory sf = this.getSslSocketFactory();
    SSLSocket sslSocket = (SSLSocket)sf.createSocket(socket, host, port, autoClose);
    this.verifyHostname(sslSocket);
    return sslSocket;
}

private void verifyHostname(SSLSocket socket) throws SSLPeerUnverifiedException, UnknownHostException {
    synchronized(this) {
        if(!this.verifyHostname) {
            return;
        }
    }

    SSLSession session = socket.getSession();
    String hostname = session.getPeerHost();

    try {
        InetAddress.getByName(hostname);
    } catch (UnknownHostException var10) {
        throw new UnknownHostException("Could not resolve SSL sessions server hostname: " + hostname);
    }

    X509Certificate[] certs = (X509Certificate[])((X509Certificate[])session.getPeerCertificates());
    if(certs != null && certs.length != 0) {
        X500Principal subjectDN = certs[0].getSubjectX500Principal();
        List cns = this.getCNs(subjectDN);
        boolean foundHostName = false;
        Iterator i$ = cns.iterator();
        AntPathMatcher matcher  = new AntPathMatcher();
        while(i$.hasNext()) {
            String cn = (String)i$.next();
            if(matcher.match(cn.toLowerCase(),hostname.toLowerCase())) {
                foundHostName = true;
                break;
            }
        }

        if(!foundHostName) {
            throw new SSLPeerUnverifiedException("HTTPS hostname invalid: expected \'" + hostname + "\', received \'" + cns + "\'");
        }
    } else {
        throw new SSLPeerUnverifiedException("No server certificates found!");
    }
}

private List<String> getCNs(X500Principal subjectDN) {
    ArrayList cns = new ArrayList();
    StringTokenizer st = new StringTokenizer(subjectDN.getName(), ",");

    while(st.hasMoreTokens()) {
        String cnField = st.nextToken();
        if(cnField.startsWith("CN=")) {
            cns.add(cnField.substring(3));
        }
    }

    return cns;
}

protected SSLSocketFactory getSslSocketFactory() {
    SSLSocketFactory sslSocketFactory = null;
    synchronized(this) {
        if(this.sslContext != null) {
            sslSocketFactory = this.sslContext.getSocketFactory();
        }
    }

    if(sslSocketFactory == null) {
        sslSocketFactory = (SSLSocketFactory)SSLSocketFactory.getDefault();
    }

    return sslSocketFactory;
}

public synchronized void setSSLContext(SSLContext sslContext) {
    this.sslContext = sslContext;
}

}

Для HttpClient мы можем сделать это:

SSLContext ctx = SSLContext.getInstance("TLS");
        ctx.init(new KeyManager[0], new TrustManager[] {new DefaultTrustManager()}, new SecureRandom());
        SSLContext.setDefault(ctx);

        String uri = new StringBuilder("url").toString();

        HostnameVerifier hostnameVerifier = new HostnameVerifier() {
            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                return true;
            }
        };

        HttpClient client = HttpClientBuilder.create().setSSLContext(ctx)
                .setSSLHostnameVerifier(hostnameVerifier).build()

следуйте инструкциям, приведенным ниже для Java 1.7, чтобы создать сертификат SSL с помощью программного файла InstallCert.java.

https://github.com/escline/InstallCert

вы должны перезапустить кота

Использовал следующее вместе с DefaultTrustManager, и он работал в httpclient как charm. Благодаря тонну!! @Kevin и все остальные участники

    SSLContext ctx = null;
    SSLConnectionSocketFactory sslsf = null;
    try {

        ctx = SSLContext.getInstance("TLS");
        ctx.init(new KeyManager[0], new TrustManager[] {new DefaultTrustManager()}, new SecureRandom());
        SSLContext.setDefault(ctx);

        sslsf = new SSLConnectionSocketFactory(
                ctx,
                new String[] { "TLSv1" },
                null,
                SSLConnectionSocketFactory.getDefaultHostnameVerifier());

    } catch (Exception e) {
        e.printStackTrace();
    }

     CloseableHttpClient client = HttpClients.custom()
            .setSSLSocketFactory(sslsf)
            .build();