วิธีละเว้นข้อผิดพลาดใบรับรอง SSL ใน Apache HttpClient 4.0


127

ฉันจะข้ามข้อผิดพลาดใบรับรอง SSL ที่ไม่ถูกต้องกับ Apache HttpClient 4.0 ได้อย่างไร


12
ควรสังเกตว่าคำตอบสำหรับคำถามนี้ไม่ได้ทำมากกว่าสิ่งที่ถาม: พวกเขาให้คุณเพิกเฉยต่อข้อผิดพลาด แต่ไม่แก้ไขปัญหาพื้นฐาน (เช่นการถอดแบตเตอรี่ออกจากเครื่องเตือนควันแทนที่จะดับไฟ ) ใบรับรองมีจุดประสงค์ในการรักษาความปลอดภัยของการเชื่อมต่อ SSL / TLS โดยการเพิกเฉยต่อข้อผิดพลาดเหล่านั้นทำให้เกิดช่องโหว่ในการโจมตีของ MITM ใช้ใบรับรองการทดสอบแทนการละเว้นข้อผิดพลาด
Bruno

1
เกี่ยวข้องกับstackoverflow.com/questions/1828775/…
Grey

47
"เช่นการถอดแบตเตอรี่ออกจากเครื่องเตือนควัน" คุณอาจให้ประโยชน์จากข้อสงสัยของนักพัฒนาซอฟต์แวร์รายอื่นและถือว่าพวกเขารู้ว่ากำลังทำอะไรอยู่ บางทีแรงจูงใจสำหรับคำถามนี้คือการทดสอบในพื้นที่และ OP ต้องการดำเนินการทดสอบอย่างรวดเร็วโดยไม่ต้องผ่าน Java สำเร็จรูปจำนวนมากที่จำเป็นในการตั้งค่าแม้แต่สภาพแวดล้อม SSL ที่เรียบง่าย อาจมีใครบางคนสามารถตอบคำถามได้โดยไม่ต้องบรรยาย "ศักดิ์สิทธิ์กว่าเจ้า"
Mike

กล่าวคือในเซิร์ฟเวอร์ JIRA ภายใน บริษัท ของเรามี "ใบรับรองตามนโยบายความปลอดภัยของ windows" ซึ่งใช้ได้กับเครื่อง Windows ที่รวมอยู่ในโดเมนและไม่สามารถใช้ได้กับเครื่องอื่น ๆ ฉันควบคุมนโยบายนี้ไม่ได้และยังต้องการเรียกใช้ JIRA REST API
odiszapc

1
@Bruno การไม่สามารถปิดการใช้งานเครื่องตรวจจับควันเป็นเวลา 30-60 นาทีในขณะที่จัดการกับไฟในครัวขนาดเล็กแสดงให้เห็นถึงการขาดข้อมูลเชิงลึกเกี่ยวกับรูปแบบการใช้งานโดยเจ้าหน้าที่ทางกฎหมายบางคนในบางจุดที่ฉันรู้สึกว่ามีความผิดทางอาญา ความจริงที่ว่ามีแนวคิด "ถอดแบตเตอรี่ออกจากเครื่องเตือนควัน" พิสูจน์ได้ ฉันรู้สึกโกรธในระดับเดียวกันที่ต้องได้รับใบรับรองเพื่อทำงานทดสอบง่ายๆที่ฉันรู้ว่าไม่มีส่วนแบ่งด้านความปลอดภัย การมีอยู่ของคำถามนี้พิสูจน์ได้
Bill K

คำตอบ:


84

คุณต้องสร้าง SSLContext ด้วย TrustManager ของคุณเองและสร้างโครงร่าง HTTPS โดยใช้บริบทนี้ นี่คือรหัส

SSLContext sslContext = SSLContext.getInstance("SSL");

// set up a TrustManager that trusts everything
sslContext.init(null, new TrustManager[] { new X509TrustManager() {
            public X509Certificate[] getAcceptedIssuers() {
                    System.out.println("getAcceptedIssuers =============");
                    return null;
            }

            public void checkClientTrusted(X509Certificate[] certs,
                            String authType) {
                    System.out.println("checkClientTrusted =============");
            }

            public void checkServerTrusted(X509Certificate[] certs,
                            String authType) {
                    System.out.println("checkServerTrusted =============");
            }
} }, new SecureRandom());

SSLSocketFactory sf = new SSLSocketFactory(sslContext);
Scheme httpsScheme = new Scheme("https", 443, sf);
SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(httpsScheme);

// apache HttpClient version >4.2 should use BasicClientConnectionManager
ClientConnectionManager cm = new SingleClientConnManager(schemeRegistry);
HttpClient httpClient = new DefaultHttpClient(cm);

1
สมมติว่าฉันไม่ต้องการซื้อใบรับรอง SSL ที่ถูกต้องสำหรับไซต์ของฉันและแค่ต้องการใช้มันโค้ดส่วนนี้จะช่วยได้ไหม ทำไมฉันไม่เห็นส่วนใดที่จำเป็นต้องใช้ URL หรือจำเป็นต้องมีการจัดการข้อยกเว้น
เวียด

19
อืมมันบอกฉันว่า 'SSLSocketFactory (ssslCont) ใหม่' กำลังคาดหวัง KeyStore ไม่ใช่ SSLContext ฉันพลาดอะไรไปรึเปล่า?
MSpeed

2
ฉันได้รับข้อผิดพลาดที่ X509TrustManager ไม่สามารถส่งไปยัง TrustManager
เมกะวัตต์

2
ตรวจสอบให้แน่ใจว่าคุณนำเข้าแพ็คเกจที่ถูกต้องเช่นจาก org.apache.http
พัศดี

2
ใครรู้วิธีโยนทั้งหมดนี้ด้วยกันโดยใช้HttpClientBuilder?
อาลี

112

คำตอบอื่น ๆ ทั้งหมดไม่ได้รับการสนับสนุนหรือใช้ไม่ได้กับ HttpClient 4.3

นี่คือวิธีอนุญาตชื่อโฮสต์ทั้งหมดเมื่อสร้างไคลเอ็นต์ http

CloseableHttpClient httpClient = HttpClients
    .custom()
    .setHostnameVerifier(AllowAllHostnameVerifier.INSTANCE)
    .build();

หรือหากคุณใช้เวอร์ชัน 4.4 ขึ้นไปการโทรที่อัปเดตจะมีลักษณะดังนี้:

CloseableHttpClient httpClient = HttpClients
    .custom()
    .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
    .build();

ขอบคุณสำหรับคำตอบฉันอยากทราบว่าแพ็กเกจใดคือ HttpsClients ตามที่ฉันใช้ในคอมไพล์ Android ("org.apache.httpcomponents: httpclient: 4.3.4") แต่คลาสนี้ไม่ปรากฏ
Juan Saravia

1
เป็นแพ็คเกจคือ org.apache.http.impl.client.HttpClients
erversteeg

14
วิธีนี้ใช้ได้กับชื่อโฮสต์ไม่ตรงกัน (ฉันถือว่า) แต่ดูเหมือนจะไม่ได้ผลเมื่อใบรับรองไม่ได้ลงนามโดยหน่วยงานที่เชื่อถือได้
twm

1
@twm นั่นคือเหตุผลที่ระบุว่า "อนุญาตชื่อโฮสต์ทั้งหมด" ปัญหาความน่าเชื่อถือต้องมีการกำหนดค่าที่แตกต่างกัน
EIS

1
@eis ฉันชี้ให้เห็นว่าคำตอบนี้ตอบคำถามเดิมในบางกรณี แต่ไม่ใช่คำถามอื่น ๆ
twm

44

เพิ่งต้องทำสิ่งนี้กับHttpClient 4.5 ที่ใหม่กว่าและดูเหมือนว่าพวกเขาเลิกใช้งานบางอย่างตั้งแต่ 4.4 ดังนั้นนี่คือตัวอย่างที่เหมาะกับฉันและใช้ API ล่าสุด:

final SSLContext sslContext = new SSLContextBuilder()
        .loadTrustMaterial(null, (x509CertChain, authType) -> true)
        .build();

return HttpClientBuilder.create()
        .setSSLContext(sslContext)
        .setConnectionManager(
                new PoolingHttpClientConnectionManager(
                        RegistryBuilder.<ConnectionSocketFactory>create()
                                .register("http", PlainConnectionSocketFactory.INSTANCE)
                                .register("https", new SSLConnectionSocketFactory(sslContext,
                                        NoopHostnameVerifier.INSTANCE))
                                .build()
                ))
        .build();

ทำงานให้ฉันด้วยสำหรับ httpclient 4.5.2
Vikas Ranjan

อันนี้เป็นข้อมูลล่าสุดสำหรับ HttpClient 4.5
คุณยอดเยี่ยม

32

Apache HttpClient 4.5.5

HttpClient httpClient = HttpClients
            .custom()
            .setSSLContext(new SSLContextBuilder().loadTrustMaterial(null, TrustAllStrategy.INSTANCE).build())
            .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
            .build();

ไม่มีการใช้ API ที่เลิกใช้แล้ว

กรณีทดสอบที่ตรวจสอบได้ง่าย:

package org.apache.http.client.test;

import org.apache.http.HttpResponse;
import org.apache.http.client.HttpClient;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpUriRequest;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.junit.Before;
import org.junit.Test;

import java.io.IOException;
import java.security.KeyManagementException;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;

public class ApacheHttpClientTest {

    private HttpClient httpClient;

    @Before
    public void initClient() throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException {
        httpClient = HttpClients
                .custom()
                .setSSLContext(new SSLContextBuilder().loadTrustMaterial(null, TrustAllStrategy.INSTANCE).build())
                .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
                .build();
    }

    @Test
    public void apacheHttpClient455Test() throws IOException {
        executeRequestAndVerifyStatusIsOk("https://expired.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://wrong.host.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://self-signed.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://untrusted-root.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://revoked.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://pinning-test.badssl.com");
        executeRequestAndVerifyStatusIsOk("https://sha1-intermediate.badssl.com");
    }

    private void executeRequestAndVerifyStatusIsOk(String url) throws IOException {
        HttpUriRequest request = new HttpGet(url);

        HttpResponse response = httpClient.execute(request);
        int statusCode = response.getStatusLine().getStatusCode();

        assert statusCode == 200;
    }
}

ขอบคุณ! เพียงแค่เปลี่ยนTrustAllStrategy.INSTANCEด้วยTrustSelfSignedStrategy.INSTANCEในคำตอบนี้
Percy Vega

สิ่งนี้ไม่ได้ผลสำหรับฉัน javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: การสร้างพา ธ PKIX ล้มเหลว: sun.security Provider.certpath.SunCertPathBuilderException: ไม่พบเส้นทางการรับรองที่ถูกต้องไปยังเป้าหมายที่ร้องขอ
ggb667

ขอบคุณทำงานให้ฉันอย่างราบรื่น
Sanjay Jain

31

สำหรับการบันทึกมีวิธีที่ง่ายกว่ามากในการทำเช่นเดียวกันกับ HttpClient 4.1

    SSLSocketFactory sslsf = new SSLSocketFactory(new TrustStrategy() {

        public boolean isTrusted(
                final X509Certificate[] chain, String authType) throws CertificateException {
            // Oh, I am easy...
            return true;
        }

    });

1
คุณไม่มีโค้ดในตัวอย่างนี้หรือไม่? อาจจะโทรไปที่ httpClient.set ... ?
สีเทา

6
httpclient.getConnectionManager (). getSchemeRegistry () ลงทะเบียน (โครงการใหม่ ("https", 443, sslsf));
Ben Flynn

8
SSLSocketFactory เลิกใช้งานแล้วใน HttpClient 4.3
Toilal

1
หากใช้ Java 8 คุณสามารถทำได้แม้กระทั่งnew SSLSocketFactory((chain, authType) -> true);
jlb

26

สำหรับบันทึกทดสอบด้วย httpclient 4.3.6 และเข้ากันได้กับ Executor of fluent api:

CloseableHttpClient httpClient = HttpClients.custom().
                    setHostnameVerifier(new AllowAllHostnameVerifier()).
                    setSslcontext(new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy()
                    {
                        public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
                        {
                            return true;
                        }
                    }).build()).build();

3
สำหรับ HttpClient 4.4 ขึ้นไปคุณต้องทำสิ่งนี้ - และอาจต้องสร้างSSLConnectionSocketFactoryโดยใช้สิ่งSSLContextนั้นและกำหนดสิ่งนี้ใน a Registry<ConnectionSocketFactory>หากคุณจะสร้างไฟล์PoolingHttpClientConnectionManager. คำตอบอื่น ๆ เป็นที่นิยมมากกว่า แต่ใช้ไม่ได้กับ HttpClient 4.4
Thomas W

1
ทำงานแบบนี้กับ httpclient-4.3.5.jar
Harald

18

สำหรับ Apache HttpClient 4.4:

HttpClientBuilder b = HttpClientBuilder.create();

SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
    public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
        return true;
    }
}).build();
b.setSslcontext( sslContext);

// or SSLConnectionSocketFactory.getDefaultHostnameVerifier(), if you don't want to weaken
HostnameVerifier hostnameVerifier = SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER;

SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContext, hostnameVerifier);
Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()
        .register("http", PlainConnectionSocketFactory.getSocketFactory())
        .register("https", sslSocketFactory)
        .build();

// allows multi-threaded use
PoolingHttpClientConnectionManager connMgr = new PoolingHttpClientConnectionManager( socketFactoryRegistry);
b.setConnectionManager( connMgr);

HttpClient client = b.build();

สิ่งนี้ดึงมาจากการนำไปใช้งานจริงของเรา

คำตอบอื่น ๆ เป็นที่นิยม แต่สำหรับ HttpClient 4.4 จะไม่ได้ผล ฉันใช้เวลาหลายชั่วโมงในการพยายามและหมดความเป็นไปได้ แต่ดูเหมือนว่าจะมีการเปลี่ยนแปลงและย้าย API ครั้งใหญ่ที่ 4.4

ดูคำอธิบายเพิ่มเติมเล็กน้อยได้ที่: http://literatejava.com/networks/ignore-ssl-certificate-errors-apache-httpclient-4-4/

หวังว่าจะช่วยได้!


2
ฉันเป็นบิต SSLContext ที่ฉันต้องการ มีภาระผูกพันมาก
muttonUp

14

หากสิ่งที่คุณต้องการทำคือกำจัดข้อผิดพลาดชื่อโฮสต์ที่ไม่ถูกต้องคุณสามารถทำได้:

HttpClient httpClient = new DefaultHttpClient();
SSLSocketFactory sf = (SSLSocketFactory)httpClient.getConnectionManager()
    .getSchemeRegistry().getScheme("https").getSocketFactory();
sf.setHostnameVerifier(new AllowAllHostnameVerifier());

8
เมธอด sf.setHostnameVerifier เลิกใช้แล้วตั้งแต่ 4.1 อีกทางเลือกหนึ่งคือการใช้หนึ่งในตัวสร้าง ตัวอย่างเช่นSSLSocketFactory sf = new SSLSocketFactory(sslContext, SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
kaliatech

สิ่งนี้มีประโยชน์มากเมื่อฉันต้องจัดการกับรหัสเดิม
DuncanSungWKim

9

เราใช้ HTTPClient 4.3.5 และเราได้ลองใช้วิธีแก้ปัญหาเกือบทั้งหมดที่มีอยู่ใน stackoverflow แต่ไม่มีอะไรเลยหลังจากคิดและหาปัญหาแล้วเราก็มาถึงโค้ดต่อไปนี้ซึ่งทำงานได้อย่างสมบูรณ์เพียงเพิ่มก่อนสร้างอินสแตนซ์ HttpClient

วิธีการโทรเมื่อทำการร้องขอโพสต์ ....

SSLContextBuilder builder = new SSLContextBuilder();
    builder.loadTrustMaterial(null, new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            return true;
        }
    });

    SSLConnectionSocketFactory sslSF = new SSLConnectionSocketFactory(builder.build(),
            SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

    HttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslSF).build();
    HttpPost postRequest = new HttpPost(url);

ดำเนินการตามคำขอของคุณในรูปแบบปกติ


7

ด้วยความคล่องแคล่ว 4.5.2 ฉันต้องทำการปรับเปลี่ยนต่อไปนี้เพื่อให้ใช้งานได้

try {
    TrustManager[] trustAllCerts = new TrustManager[] {
       new X509TrustManager() {
    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
        return null;
    }
    public void checkClientTrusted(X509Certificate[] certs, String authType) {  }

    public void checkServerTrusted(X509Certificate[] certs, String authType) {  }
    }
    };

    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new SecureRandom());
    CloseableHttpClient httpClient = HttpClients.custom().setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE).setSslcontext(sc).build();

    String output = Executor.newInstance(httpClient).execute(Request.Get("https://127.0.0.1:3000/something")
                                      .connectTimeout(1000)
                                      .socketTimeout(1000)).returnContent().asString();
    } catch (Exception e) {
    }

1
นี่เป็นทางออกเดียวที่ใช้ได้ผลสำหรับฉัน ฉันลองใช้โซลูชันข้างต้นสำหรับ 4.3 และ 4.4 ก่อนที่จะอัปเกรดเป็น 4.5 และลองทำสิ่งนี้
dirkoneill

6

นี่คือวิธีที่ฉันทำ -

  1. สร้าง MockSSLSocketFactory ของฉันเอง (คลาสที่แนบมาด้านล่าง)
  2. ใช้เพื่อเริ่มต้น DefaultHttpClient ต้องมีการตั้งค่าพร็อกซีหากใช้พร็อกซี

การเริ่มต้น DefaultHTTPClient -

SchemeRegistry schemeRegistry = new SchemeRegistry();
    schemeRegistry.register(new Scheme("http", 80, PlainSocketFactory.getSocketFactory()));
    schemeRegistry.register(new Scheme("https", 443, new MockSSLSocketFactory()));
    ClientConnectionManager cm = new SingleClientConnManager(schemeRegistry);

    DefaultHttpClient httpclient = new DefaultHttpClient(cm);

จำลองโรงงาน SSL -

public class MockSSLSocketFactory extends SSLSocketFactory {

public MockSSLSocketFactory() throws NoSuchAlgorithmException, KeyManagementException, KeyStoreException, UnrecoverableKeyException {
    super(trustStrategy, hostnameVerifier);
}

private static final X509HostnameVerifier hostnameVerifier = new X509HostnameVerifier() {
    @Override
    public void verify(String host, SSLSocket ssl) throws IOException {
        // Do nothing
    }

    @Override
    public void verify(String host, X509Certificate cert) throws SSLException {
        //Do nothing
    }

    @Override
    public void verify(String host, String[] cns, String[] subjectAlts) throws SSLException {
        //Do nothing
    }

    @Override
    public boolean verify(String s, SSLSession sslSession) {
        return true; 
    }
};

private static final TrustStrategy trustStrategy = new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
        return true;
    }
};
}

หากอยู่หลังพร็อกซีต้องทำสิ่งนี้ -

HttpParams params = new BasicHttpParams();
    params.setParameter(AuthPNames.PROXY_AUTH_PREF, getClientAuthPrefs());

DefaultHttpClient httpclient = new DefaultHttpClient(cm, params);

httpclient.getCredentialsProvider().setCredentials(
                        new AuthScope(proxyHost, proxyPort),
                        new UsernamePasswordCredentials(proxyUser, proxyPass));

จะช่วยได้หากคุณรวมการนำเข้าไว้ในอนาคต มีสองคลาสที่แตกต่างกัน
AndroidDev

4

ในส่วนขยายของคำตอบของ ZZ Coderจะเป็นการดีที่จะแทนที่ hostnameverifier

// ...
SSLSocketFactory sf = new SSLSocketFactory (sslContext);
sf.setHostnameVerifier(new X509HostnameVerifier() {
    public boolean verify(String hostname, SSLSession session) {
        return true;
    }

    public void verify(String host, String[] cns, String[] subjectAlts) throws SSLException {
    }

    public void verify(String host, X509Certificate cert) throws SSLException {
    }

    public void verify(String host, SSLSocket ssl) throws IOException {
    }
});
// ...

คุณสามารถบรรลุสิ่งเดียวกันได้เพียงแค่ทำsf.setHostnameVerifier(new AllowAllHostnameVerifier());
Dan Dyer

7
sf.setHostnameVerifier เลิกใช้แล้วตั้งแต่ 4.1 อีกทางเลือกหนึ่งคือการใช้หนึ่งในตัวสร้าง ตัวอย่างเช่นSSLSocketFactory sf = new SSLSocketFactory(sslContext, SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
kaliatech

4
        DefaultHttpClient httpclient = new DefaultHttpClient();

    SSLContext sslContext;
    try {
        sslContext = SSLContext.getInstance("SSL");

        // set up a TrustManager that trusts everything
        try {
            sslContext.init(null,
                    new TrustManager[] { new X509TrustManager() {
                        public X509Certificate[] getAcceptedIssuers() {
                            log.debug("getAcceptedIssuers =============");
                            return null;
                        }

                        public void checkClientTrusted(
                                X509Certificate[] certs, String authType) {
                            log.debug("checkClientTrusted =============");
                        }

                        public void checkServerTrusted(
                                X509Certificate[] certs, String authType) {
                            log.debug("checkServerTrusted =============");
                        }
                    } }, new SecureRandom());
        } catch (KeyManagementException e) {
        }
         SSLSocketFactory ssf = new SSLSocketFactory(sslContext,SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
         ClientConnectionManager ccm = this.httpclient.getConnectionManager();
         SchemeRegistry sr = ccm.getSchemeRegistry();
         sr.register(new Scheme("https", 443, ssf));            
    } catch (Exception e) {
        log.error(e.getMessage(),e);
    }

4

ในการยอมรับใบรับรองทั้งหมดใน HttpClient 4.4.x คุณสามารถใช้หนึ่งซับต่อไปนี้เมื่อสร้าง httpClient:

httpClient = HttpClients.custom().setSSLHostnameVerifier(new NoopHostnameVerifier()).setSslcontext(new SSLContextBuilder().loadTrustMaterial(null, (x509Certificates, s) -> true).build()).build();

ฉันได้รับสิ่งนี้: เกิดจาก: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: ไม่มีชื่อเรื่องอื่นที่แสดงอยู่?

จะอนุญาตให้เชื่อมต่อกับไซต์ SSL โดยไม่มีใบรับรองใน HttpClient API หรือใน RestClient API ได้อย่างไร

4

ทดสอบกับ HttpClient 4.5.5 ด้วย Fluent API

final SSLContext sslContext = new SSLContextBuilder()
    .loadTrustMaterial(null, (x509CertChain, authType) -> true).build();

CloseableHttpClient httpClient = HttpClients.custom()
    .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
    .setSSLContext(sslContext).build();

String result = Executor.newInstance(httpClient)
    .execute(Request.Get("https://localhost:8080/someapi")
    .connectTimeout(1000).socketTimeout(1000))
    .returnContent().asString();

3

โค้ดด้านล่างใช้ได้กับ 4.5.5

import java.io.IOException;
import java.security.KeyManagementException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.client.methods.HttpUriRequest;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;

class HttpsSSLClient {


    public static CloseableHttpClient createSSLInsecureClient() {
        SSLContext sslcontext = createSSLContext();
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext, new HostnameVerifier() {

            @Override
            public boolean verify(String paramString, SSLSession paramSSLSession) {
                return true;
            }
        });
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        return httpclient;
    }


    private static SSLContext createSSLContext() {
        SSLContext sslcontext = null;
        try {
            sslcontext = SSLContext.getInstance("TLS");
            sslcontext.init(null, new TrustManager[] {new TrustAnyTrustManager()}, new SecureRandom());
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        } catch (KeyManagementException e) {
            e.printStackTrace();
        }
        return sslcontext;
    }


    private static class TrustAnyTrustManager implements X509TrustManager {

        public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {}

        public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {}

        public X509Certificate[] getAcceptedIssuers() {
            return new X509Certificate[] {};
        }
    }

}
public class TestMe {


    public static void main(String[] args) throws IOException {
        CloseableHttpClient client = HttpsSSLClient.createSSLInsecureClient();

        CloseableHttpResponse res = client.execute(new HttpGet("https://wrong.host.badssl.com/"));
        System.out.println(EntityUtils.toString(res.getEntity()));
    }
}

ผลลัพธ์จากรหัสคือ

รหัส

ผลลัพธ์บนเบราว์เซอร์คือ

SSL ไม่ดี

ปอมที่ใช้อยู่ด้านล่าง

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.tarun</groupId>
    <artifactId>testing</artifactId>
    <version>1.0-SNAPSHOT</version>
    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.maven.plugins</groupId>
                <artifactId>maven-compiler-plugin</artifactId>
                <configuration>
                    <source>6</source>
                    <target>6</target>
                </configuration>
            </plugin>
        </plugins>
    </build>

    <dependencies>
    <!-- https://mvnrepository.com/artifact/org.apache.httpcomponents/httpclient -->
    <dependency>
        <groupId>org.apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.5.5</version>
    </dependency>

</dependencies>
</project>

ขอบคุณสำหรับคำตอบที่อัปเดตฉันมอบรางวัลให้กับผู้ชายคนใหม่ที่จะ "ต้อนรับ" แต่ฉันแค่อยากได้คำตอบล่าสุดสำหรับทุกคน!

1
@feelingunwelcome ชัวร์. ฉันได้โหวตให้เขาเช่นกัน :-)
Tarun Lalwani

2

เวอร์ชันที่ใช้งานได้เต็มรูปแบบสำหรับ Apache HttpClient 4.1.3 (ขึ้นอยู่กับรหัสของ oleg ด้านบน แต่ยังคงต้องการ allow_all_hostname_verifier ในระบบของฉัน):

private static HttpClient trustEveryoneSslHttpClient() {
    try {
        SchemeRegistry registry = new SchemeRegistry();

        SSLSocketFactory socketFactory = new SSLSocketFactory(new TrustStrategy() {

            public boolean isTrusted(final X509Certificate[] chain, String authType) throws CertificateException {
                // Oh, I am easy...
                return true;
            }

        }, org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

        registry.register(new Scheme("https", 443, socketFactory));
        ThreadSafeClientConnManager mgr = new ThreadSafeClientConnManager(registry);
        DefaultHttpClient client = new DefaultHttpClient(mgr, new DefaultHttpClient().getParams());
        return client;
    } catch (GeneralSecurityException e) {
        throw new RuntimeException(e);
    }
}

โปรดทราบว่าฉันกำลังโยนข้อยกเว้นทั้งหมดอีกครั้งเพราะจริงๆแล้วไม่มีอะไรมากที่ฉันสามารถทำได้หากสิ่งนี้ล้มเหลวในระบบจริง!


2

หากคุณกำลังใช้API ที่คล่องแคล่วคุณต้องตั้งค่าผ่านทางExecutor:

Executor.unregisterScheme("https");
SSLSocketFactory sslSocketFactory = new SSLSocketFactory(sslContext,
                                  SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
Executor.registerScheme(new Scheme("https", 443, sslSocketFactory));

... sslContextSSLContext สร้างขึ้นที่ไหนดังที่แสดงในคำตอบของZZ Coder

หลังจากนั้นคุณสามารถร้องขอ http ของคุณเป็น:

String responseAsString = Request.Get("https://192.168.1.0/whatever.json")
                         .execute().getContent().asString();

หมายเหตุ:ทดสอบด้วย HttpClient 4.2


น่าเสียดายที่เลิกใช้ใน 4.3: "เลิกใช้แล้ว (4.3) ไม่ใช้"
STM

2

ทดสอบด้วย 4.3.3

import java.security.KeyManagementException;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.SSLContext;

import org.apache.http.Header;
import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.SSLContexts;
import org.apache.http.conn.ssl.TrustStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.util.EntityUtils;

public class AccessProtectedResource {

public static void main(String[] args) throws Exception {

    // Trust all certs
    SSLContext sslcontext = buildSSLContext();

    // Allow TLSv1 protocol only
    SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
            sslcontext,
            new String[] { "TLSv1" },
            null,
            SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

    CloseableHttpClient httpclient = HttpClients.custom()
            .setSSLSocketFactory(sslsf)
            .build();
    try {

        HttpGet httpget = new HttpGet("https://yoururl");

        System.out.println("executing request" + httpget.getRequestLine());

        CloseableHttpResponse response = httpclient.execute(httpget);
        try {
            HttpEntity entity = response.getEntity();

            System.out.println("----------------------------------------");
            System.out.println(response.getStatusLine());
            if (entity != null) {
                System.out.println("Response content length: " + entity.getContentLength());
            }
            for (Header header : response.getAllHeaders()) {
                System.out.println(header);
            }
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    } finally {
        httpclient.close();
    }
}

private static SSLContext buildSSLContext()
        throws NoSuchAlgorithmException, KeyManagementException,
        KeyStoreException {
    SSLContext sslcontext = SSLContexts.custom()
            .setSecureRandom(new SecureRandom())
            .loadTrustMaterial(null, new TrustStrategy() {

                public boolean isTrusted(X509Certificate[] chain, String authType)
                        throws CertificateException {
                    return true;
                }
            })
            .build();
    return sslcontext;
}

}


จะตั้งค่าในส่วนหัวได้อย่างไรหากต้องการทำเช่นนั้น

2

ทดสอบเมื่อ 4.5.4:

            SSLContext sslContext = new SSLContextBuilder()
                    .loadTrustMaterial(null, (TrustStrategy) (arg0, arg1) -> true).build();

            CloseableHttpClient httpClient = HttpClients
                    .custom()
                    .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
                    .setSSLContext(sslContext)
                    .build();

0

หากคุณพบปัญหานี้เมื่อใช้ AmazonS3Client ซึ่งฝัง Apache HttpClient 4.1 คุณเพียงแค่กำหนดคุณสมบัติของระบบเช่นนี้เพื่อให้ตัวตรวจสอบใบรับรอง SSL ผ่อนคลาย:

-Dcom.amazonaws.sdk.disableCertChecking = true

จัดการ Mischief แล้ว


0

fwiw ตัวอย่างการใช้งาน "RestEasy" ของ JAX-RS 2.x เพื่อสร้างไคลเอนต์ "trust all" แบบพิเศษ ...

    import java.io.IOException;
    import java.net.MalformedURLException;
    import java.security.GeneralSecurityException;
    import java.security.KeyManagementException;
    import java.security.KeyStoreException;
    import java.security.NoSuchAlgorithmException;
    import java.security.cert.CertificateException;
    import java.security.cert.X509Certificate;
    import java.util.ArrayList;
    import java.util.Arrays;
    import javax.ejb.Stateless;
    import javax.net.ssl.SSLContext;
    import javax.ws.rs.GET;
    import javax.ws.rs.Path;
    import javax.ws.rs.Produces;
    import org.apache.logging.log4j.LogManager;
    import org.apache.logging.log4j.Logger;
    import javax.ws.rs.client.Entity;
    import javax.ws.rs.core.MediaType;
    import javax.ws.rs.core.Response;
    import org.apache.http.config.Registry;
    import org.apache.http.config.RegistryBuilder;
    import org.apache.http.conn.HttpClientConnectionManager;
    import org.apache.http.conn.ssl.TrustStrategy;
    import org.jboss.resteasy.client.jaxrs.ResteasyClient;
    import org.jboss.resteasy.client.jaxrs.ResteasyClientBuilder;
    import org.jboss.resteasy.client.jaxrs.ResteasyWebTarget;
    import org.jboss.resteasy.client.jaxrs.engines.ApacheHttpClient4Engine;
    import org.apache.http.impl.conn.BasicHttpClientConnectionManager;
    import org.apache.http.conn.socket.ConnectionSocketFactory;
    import org.apache.http.conn.ssl.NoopHostnameVerifier;
    import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
    import org.apache.http.impl.client.CloseableHttpClient;
    import org.apache.http.impl.client.HttpClientBuilder;
    import org.apache.http.ssl.SSLContexts;

    @Stateless
    @Path("/postservice")
    public class PostService {

        private static final Logger LOG = LogManager.getLogger("PostService");

        public PostService() {
        }

        @GET
        @Produces({MediaType.APPLICATION_JSON, MediaType.APPLICATION_XML})
        public PostRespDTO get() throws NoSuchAlgorithmException, KeyManagementException, MalformedURLException, IOException, GeneralSecurityException {

            //...object passed to the POST method...
            PostDTO requestObject = new PostDTO();
            requestObject.setEntryAList(new ArrayList<>(Arrays.asList("ITEM0000A", "ITEM0000B", "ITEM0000C")));
            requestObject.setEntryBList(new ArrayList<>(Arrays.asList("AAA", "BBB", "CCC")));

            //...build special "trust all" client to call POST method...
            ApacheHttpClient4Engine engine = new ApacheHttpClient4Engine(createTrustAllClient());

            ResteasyClient client = new ResteasyClientBuilder().httpEngine(engine).build();
            ResteasyWebTarget target = client.target("https://localhost:7002/postRespWS").path("postrespservice");
            Response response = target.request().accept(MediaType.APPLICATION_JSON).post(Entity.entity(requestObject, MediaType.APPLICATION_JSON));

            //...object returned from the POST method...
            PostRespDTO responseObject = response.readEntity(PostRespDTO.class);

            response.close();

            return responseObject;
        }


        //...get special "trust all" client...
        private static CloseableHttpClient createTrustAllClient() throws NoSuchAlgorithmException, KeyStoreException, KeyManagementException {

            SSLContext sslContext = SSLContexts.custom().loadTrustMaterial(null, TRUSTALLCERTS).useProtocol("TLS").build();
            HttpClientBuilder builder = HttpClientBuilder.create();
            NoopHostnameVerifier noop = new NoopHostnameVerifier();
            SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(sslContext, noop);
            builder.setSSLSocketFactory(sslConnectionSocketFactory);
            Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create().register("https", sslConnectionSocketFactory).build();
            HttpClientConnectionManager ccm = new BasicHttpClientConnectionManager(registry);
            builder.setConnectionManager(ccm);

            return builder.build();
        }


        private static final TrustStrategy TRUSTALLCERTS = new TrustStrategy() {
            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
                return true;
            }
        };
    }

การพึ่งพา Maven ที่เกี่ยวข้อง

    <dependency>
        <groupId>org.jboss.resteasy</groupId>
        <artifactId>resteasy-client</artifactId>
        <version>3.0.10.Final</version>
    </dependency>
    <dependency>
        <groupId>org.jboss.resteasy</groupId>
        <artifactId>jaxrs-api</artifactId>
        <version>3.0.10.Final</version>
    </dependency>
    <dependency>
        <groupId>org.jboss.resteasy</groupId>
        <artifactId>resteasy-jackson2-provider</artifactId>
        <version>3.0.10.Final</version>
    </dependency>
    <dependency>
        <groupId>org.apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.5</version>
        <type>jar</type>
    </dependency>
    <dependency>
        <groupId>javax</groupId>
        <artifactId>javaee-web-api</artifactId>
        <version>7.0</version>
        <scope>provided</scope>
    </dependency> 

-1

หากคุณใช้Apache httpClient 4.5.xให้ลองทำดังนี้:

public static void main(String... args)  {

    try (CloseableHttpClient httpclient = createAcceptSelfSignedCertificateClient()) {
        HttpGet httpget = new HttpGet("https://example.com");
        System.out.println("Executing request " + httpget.getRequestLine());

        httpclient.execute(httpget);
        System.out.println("----------------------------------------");
    } catch (NoSuchAlgorithmException | KeyStoreException | KeyManagementException | IOException e) {
        throw new RuntimeException(e);
    }
}

private static CloseableHttpClient createAcceptSelfSignedCertificateClient()
        throws KeyManagementException, NoSuchAlgorithmException, KeyStoreException {

    // use the TrustSelfSignedStrategy to allow Self Signed Certificates
    SSLContext sslContext = SSLContextBuilder
            .create()
            .loadTrustMaterial(new TrustSelfSignedStrategy())
            .build();

    // we can optionally disable hostname verification. 
    // if you don't want to further weaken the security, you don't have to include this.
    HostnameVerifier allowAllHosts = new NoopHostnameVerifier();

    // create an SSL Socket Factory to use the SSLContext with the trust self signed certificate strategy
    // and allow all hosts verifier.
    SSLConnectionSocketFactory connectionFactory = new SSLConnectionSocketFactory(sslContext, allowAllHosts);

    // finally create the HttpClient using HttpClient factory methods and assign the ssl socket factory
    return HttpClients
            .custom()
            .setSSLSocketFactory(connectionFactory)
            .build();
}
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.