11

我必须使用无效的 SSL 证书调用托管在 Web 服务器上的 HTTP 服务。在 dev 中,我使用keytool导入证书,但是每个客户端安装的证书都会有所不同,所以我不能只是捆绑它。

前言:我知道跳过 SSL 验证真的很难看。在这种特定情况下,我什至不需要 SSL,系统中的所有其他通信都通过简单的 HTTP。所以我真的不在乎 MITM 攻击之类的。攻击者不需要破坏 SSL,因为数据没有 SSL。这是对我无法控制的遗留系统的支持。

我正在使用HttpURLConnection具有SSLSocketFactoryaNaiveTrustManager和 a 的 a NaiveHostnameVerifier。这适用于我尝试过的一些自签名服务器,但不适用于客户的站点。我得到的错误是:

javax.net.ssl.SSLKeyException: [Security:090477]Certificate chain received from xxxxxxxxxx was not trusted causing SSL handshake failure.
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireException(Unknown Source)
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.fireAlertSent(Unknown Source)
    at com.certicom.tls.record.handshake.HandshakeHandler.fireAlert(Unknown Source)
    at com.certicom.tls.record.handshake.HandshakeHandler.fireAlert(Unknown Source)
    at com.certicom.tls.record.handshake.ClientStateReceivedServerHello.handle(Unknown Source)
    at com.certicom.tls.record.handshake.HandshakeHandler.handleHandshakeMessage(Unknown Source)
    at com.certicom.tls.record.handshake.HandshakeHandler.handleHandshakeMessages(Unknown Source)
    at com.certicom.tls.record.MessageInterpreter.interpretContent(Unknown Source)
    at com.certicom.tls.record.MessageInterpreter.decryptMessage(Unknown Source)
    at com.certicom.tls.record.ReadHandler.processRecord(Unknown Source)
    at com.certicom.tls.record.ReadHandler.readRecord(Unknown Source)
    at com.certicom.tls.record.ReadHandler.readUntilHandshakeComplete(Unknown Source)
    at com.certicom.tls.interfaceimpl.TLSConnectionImpl.completeHandshake(Unknown Source)
    at com.certicom.tls.record.WriteHandler.write(Unknown Source)
    at com.certicom.io.OutputSSLIOStreamWrapper.write(Unknown Source)
    at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:65)
    at java.io.BufferedOutputStream.flush(BufferedOutputStream.java:123)
    at java.io.FilterOutputStream.flush(FilterOutputStream.java:123)
    at weblogic.net.http.HttpURLConnection.writeRequests(HttpURLConnection.java:154)
    at weblogic.net.http.HttpURLConnection.getInputStream(HttpURLConnection.java:358)
    at weblogic.net.http.SOAPHttpsURLConnection.getInputStream(SOAPHttpsURLConnection.java:37)
    at weblogic.net.http.HttpURLConnection.getResponseCode(HttpURLConnection.java:947)
    at (my own code)

我的SimpleSocketFactory样子:

public static final SSLSocketFactory getSocketFactory()
{
    if ( sslSocketFactory == null ) {
        try {
            // get ssl context
            SSLContext sc = SSLContext.getInstance("SSL");

            // Create a trust manager that does not validate certificate chains
            TrustManager[] trustAllCerts = new TrustManager[]{
                new NaiveTrustManager() {
                    public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                        log.debug("getAcceptedIssuers");
                        return new java.security.cert.X509Certificate[0];
                    }
                    public void checkClientTrusted(
                        java.security.cert.X509Certificate[] certs, String authType) {
                        log.debug("checkClientTrusted");
                    }
                    public void checkServerTrusted(
                        java.security.cert.X509Certificate[] certs, String authType) {
                        log.debug("checkServerTrusted");
                    }
                }
            };

            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            // EDIT: fixed the following line that was redeclaring SSLSocketFactory sslSocketFactory, returning null every time. Same result though.
            sslSocketFactory = sc.getSocketFactory();

            HttpsURLConnection.setDefaultSSLSocketFactory(sslSocketFactory);
            // EDIT: The following line has no effect
            //HttpsURLConnection.setDefaultHostnameVerifier(new NaiveHostNameVerifier());

        } catch (KeyManagementException e) {
            log.error ("No SSL algorithm support: " + e.getMessage(), e);
        } catch (NoSuchAlgorithmException e) {
            log.error ("Exception when setting up the Naive key management.", e);
        }
    }
    return sslSocketFactory;
}

NaiveHostnameVerifier一种方法来限制有效主机,但它保留为空,所以基本上接受任何东西:

public class NaiveHostnameVerifier implements HostnameVerifier {
    String[] patterns;

    public NaiveHostnameVerifier () {
        this.patterns=null;
    }

    public NaiveHostnameVerifier (String[] patterns) {
        this.patterns = patterns;
    }

    public boolean verify(String urlHostName,SSLSession session) {
        if (patterns==null || patterns.length==0) {
            return true;
        } else {
            for (String pattern : patterns) {
                if (urlHostName.matches(pattern)) {
                    return true;
                }
            }
            return false;
        }
    }
}

用法是这样的:

    try {
        conn = (HttpURLConnection)url.openConnection();
        if (conn instanceof HttpsURLConnection) {
                ((HttpsURLConnection)conn).setSSLSocketFactory(SimpleSSLSocketFactory.getSocketFactory());
                // EDIT: added this line, the HV has to be set on connection, not on the factory.
                ((HttpsURLConnection)conn).setHostnameVerifier(new NaiveHostnameVerifier());
        }
        conn.setDoInput(true);
        conn.setDoOutput(true);
        conn.setRequestMethod("POST");
        conn.setRequestProperty("Content-type","application/x-www-form-urlencoded");
        conn.connect();

        StringBuffer sbContent = new StringBuffer();
        // (snip)
        DataOutputStream stream = new DataOutputStream(conn.getOutputStream ());
        stream.writeBytes(sbContent.toString());
        stream.flush();
        stream.close();
    } catch (ClassCastException e) {
        log.error("The URL does not seem to point to a HTTP connection");
        return null;
    } catch (IOException e) {
        log.error("Error accessing the requested URL", e);
        return null;
    }

当我搜索错误消息时,大多数人只是在他们的商店中导入证书,但同样,我真的不能这样做,因为我不知道它将是哪个证书。如果这不起作用,我唯一的选择是制作一个可以下载证书的工具,并以一种比神秘命令行更简单的方式添加它,但我宁愿让我的 Java 代码忽略无效的证书。

任何的想法 ?

4

2 回答 2

2

其实上面的代码没有错。问题似乎在于 Weblogic 和这个 Certicom TLS 模块。当我查看服务器选项SSLAdvanced时,我发现我可以指定一个自定义 HostnameVerifier (SSLMBean.HostnameVerifier),但唯一暗示能够干扰证书验证的元素已被弃用。

我在 Weblogic 之外尝试了上面的代码,它工作得很好(虽然修复了帖子中的 HostnameVerifier)。

然后我尝试按照 ipolevoy 在另一个问题中的建议将“-DUseSunHttpHandler=true”添加到 Weblogic 参数中。它开始工作了。

话虽如此,在 Oracle Service Bus 服务器上切换 HTTP 处理程序似乎有点冒险。几周后很可能会有副作用回来咬我......

我还尝试定义自己的 trustStore 并将其指向包含所需密钥的 jssecacert。Weblogic 也忽略了它,因为它对每个服务器都有自己的 trustStore 设置。所以我求助于要求管理员手动导入所需的密钥或将 Weblogic 指向我自己的商店。

于 2012-11-20T22:25:21.087 回答
0

实际上,这是 Weblogic 10.3.5 以下版本中的一个已知错误,Oracle 提供了一个补丁程序。有关详细信息,请参阅 My Oracle Support 中的文档 1474989.1。

上面的修复是 Oracle 不推荐(但受支持)的解决方法,它可以工作,但不是首选解决方案。

首选解决方案是下载 Oracle 文章中提到的补丁,并将 SSL 主机名验证器替换为 Weblogic 10.3.5 及更高版本中的新补丁。如果您希望在支持方面保持与 Oracle 的合规性,这就是您要走的路。

于 2014-06-05T06:31:47.693 回答