在 Java 客户端中接受服务器的自签名 ssl 证书

发布于05月24日

这看起来是个标准问题，但我到处都找不到明确的方向.

我有java代码试图连接到一个可能有自签名(或过期)证书的服务器.代码报告以下错误:

[HttpMethodDirector] I/O exception (javax.net.ssl.SSLHandshakeException) caught 
when processing request: sun.security.validator.ValidatorException: PKIX path 
building failed: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target

据我所知，我必须使用keytool，并告诉java允许此连接.

解决此问题的所有说明都假设我完全精通keytool，例如

为服务器生成私钥并将其导入密钥库

有人可以发布详细的说明吗？

我运行的是Unix，所以bash脚本是最好的.

不确定这是否重要，但代码是在JBoss中执行的.

推荐答案

这里基本上有两个选项:将自签名证书添加到JVM信任库，或将客户端配置为

选项1

从浏览器导出证书并将其导入JVM信任库(以建立信任链):

<JAVA_HOME>\bin\keytool -import -v -trustcacerts
-alias server-alias -file server.cer
-keystore cacerts.jks -keypass changeit
-storepass changeit

Select 2

禁用证书验证:

// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] { 
    new X509TrustManager() {     
        public java.security.cert.X509Certificate[] getAcceptedIssuers() { 
            return new X509Certificate[0];
        } 
        public void checkClientTrusted( 
            java.security.cert.X509Certificate[] certs, String authType) {
            } 
        public void checkServerTrusted( 
            java.security.cert.X509Certificate[] certs, String authType) {
        }
    } 
}; 

// Install the all-trusting trust manager
try {
    SSLContext sc = SSLContext.getInstance("SSL"); 
    sc.init(null, trustAllCerts, new java.security.SecureRandom()); 
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (GeneralSecurityException e) {
} 
// Now you can access an https URL without having the certificate in the truststore
try { 
    URL url = new URL("https://hostname/index.html"); 
} catch (MalformedURLException e) {
}

注意这个I do not recommend the Option #2 at all.禁用信任管理器会 destruct SSL的某些部分，并使您容易受到中间人的攻击.首选选项#1，或者更好的做法是让服务器使用由知名CA签名的"真正"证书.