5

我有这样的代码:

    // configure the SSLContext with a TrustManager
    SSLContext ctx = SSLContext.getInstance("TLS");
    ctx.init(new KeyManager[0], 
             new TrustManager[] {new DefaultTrustManager()}, 
             new SecureRandom());
    SSLContext.setDefault(ctx);

    URL url = new URL(urlString); // https://abc.myhost.com
    HttpsURLConnection conn = (HttpsURLConnection) url.openConnection();
    conn.setHostnameVerifier(new HostnameVerifier() {
            @Override
            public boolean verify(String arg0, SSLSession arg1) {
                System.out.println("verify:" + arg0);
                return true;
            }
        });

    System.out.println("HTTP status: " + conn.getResponseCode());
    Certificate[] certs = conn.getServerCertificates();
    int c=0;
    for (Certificate cert : certs){
        String t = cert.getType();
        System.out.println(String.format("\ncert[%d]: %s",c,t));
        c++;
        if (pi.verbose) {
            System.out.println(cert);
        }
        else if (cert instanceof X509Certificate) {
            X509Certificate x509cert = (X509Certificate) cert;
            System.out.println(x509cert.getSubjectDN().getName());
        }
    }

在 Java 6 上针对特定网站运行此代码,我得到的证书与 Java 7 不同。假设主机名是 abc.myhost.com。

在 Java6 上我得到:

cert[0]: X.509
CN=example.com,OU=Secure Link SSL Pro,O=Company Name Here, 
    STREET=2001 Space Odyssey Dr,L=Weirton,ST=Wv,2.5.4.17=#13053330303034,C=US

在 Java7 上,我得到:

cert[0]: X.509
CN=abc.myhost.com,OU=Secure Link SSL Pro,O=Company Name Here, 
    STREET=2001 Space Odyssey Dr,L=Weirton,ST=Wv,2.5.4.17=#13053330303034,C=US

如果我打印出有效日期,那也是不同的。和序列号一样。这些是不同的证书。

在 Java 7 上看起来不错;在 Java 6 上,我在主机名和 CN 之间存在分歧。证书看起来不对。

该服务器完全有可能在代理后面。该服务器的所有者(我正在从事的项目中的合作伙伴)也有可能最近更改了证书。可能有 2 个证书,一个在代理服务器上,一个在代理服务器后面的服务器上。我让他们调查这个。

我的问题是,为什么我不能在 Java7 上得到与在 Java6 上相同的结果?Java 改变了什么HttpsURLConnection.getServerCertificates()

对于好奇的人,这只是一种诊断工作。真正的错误是:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: 
    No subject alternative DNS name matching abc.myhost.com found.

这种情况下的问题通常是证书中的主机名和 CN 不一致。我已经验证了分歧,但仅限于 Java 6。我想了解为什么 Java6 和 Java7 不同。

编辑Python 2.7.1 脚本返回与 Java6 相同的证书。 SSLConnection.get_peer_cert()向我显示 CN 不匹配的证书。

4

1 回答 1

10

我怀疑这是由于 Java 7 在客户端引入了服务器名称指示支持。

SNI 允许客户端在 SSL/TLS 初始请求中指定主机名,特别是能够使用不同的证书在同一 IP 地址/端口上托管多个主机名(Apache Httpd 称之为基于名称的虚拟主机)。在 SSL/TLS 握手期间知道请求的主机名允许服务器在使用任何 HTTP 流量之前提供正确的证书(HTTPHost标头在 HTTP 级别使用,但对于 HTTPS 为时已晚)。

当客户端不支持它时,服务器不知道客户端真正需要哪个主机名,并且通常会退回到默认主机值并提供默认证书。

(请注意,在 Win XP 和某些移动浏览器上使用任何版本的 IE 都会遇到同样的问题。)

编辑:按照您的编辑 ( URL url = new URL(urlString); // https://abc.myhost.com)。

这似乎证实了 SNI 问题。(您可以使用 Wireshark 检查 TLS 客户端 Hello 消息中是否有服务器名称扩展。)

使用 Java 7 和任何支持 SNI 的客户端,在请求时https://abc.myhost.com,您确实会获得一个有效的证书abc.myhost.com(前提是服务器配置正确),因为HttpsURLConnection还会告诉 JSSE(Java SSL/TLS 堆栈)使用服务器名称扩展名和使用该 URL 的主机名启动 SSL/TLS 连接。

对于 Java 6 和任何不支持 SNI 的客户端(Python 2.7,至少没有其他库),您将获得服务器在连接到该 IP 地址和端口时默认提供的证书。

HttpsURLConnection.getServerCertificates()它与or无关SSLConnection.get_peer_cert()。相反,这是因为服务器希望客户端支持 SNI,而一些较旧的客户端/平台不支持。

如果您需要在 Windows XP 上支持 Java 6、Python 2.x、Internet Explorer(或其他使用默认 MS API 的客户端),您将无法使用 SNI。在这种情况下,您应该联系服务器管理员更改配置以不使用 SNI(如果需要这些多台主机,可能需要额外的 IP 地址)。

于 2012-11-22T11:05:40.160 回答