2

我们正在使用 tomcat 和 jersey 开发应用程序。
在这个 web 应用程序中,我们需要https Website用 a连接到 a valid,而不是 expired certificate。如果我通过我的 chrome 浏览器在本地连接到这个网站,一切正常!不幸的是,我们的 webapp 的 tomcat 服务器抛出了一个异常。我们正在使用Apache HttpClient (4.0)连接到 https 站点:

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:371)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:126)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:645)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:480)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:805)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:784)

服务器证书绝对有效且来自thawte. 三种不同的在线工具成功验证了证书。
Openssl也有一个问题,向我展示了三个证书,但抛出了一个简单的错误:

Verify return code: 20 (unable to get local issuer certificate)

openssl 的问题似乎是它使用了错误的路径/usr/lib/ssl而不是/etc/ssl/certs. 如果我使用指向正确路径的 CApath 参数,openssl 工作正常,所以这可能是 httpClient 的问题吗?

所以我们默认客户端的代码非常简单:

    client = new DefaultHttpClient();
    response = client.execute(url); //this throws the exception
    EntityUtils.consume(response.getEntity());

通过实现自定义 TrustedManager 来允许任何证书不是一个选项!我进一步读到,某些 CA 不是 JDK/JRE 的一部分,因此它的证书应该手动导入keystore或使用自定义证书,但是 thawte 是一个众所周知的 CA,它不应该在默认情况下工作吗?

编辑

我确实在 catalina.sh 中设置了 javax.debug 属性,以便获得有关该问题的更多信息:

http-bio-8080-exec-1, handling exception: javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path validation failed: 
java.security.cert.CertPathValidatorException: basic constraints check failed: 
pathLenConstraint violated - this cert must be the last cert in the certification path

我将不胜感激任何帮助!提前致谢!

4

2 回答 2

5

好的,我得到它的工作!尽管 thawte 是一个众所周知的 CA,但 Java SSL 似乎确实存在一些问题。通过以下方式下载 ssl 证书后openssl

echo |\
openssl s_client -connect ${REMHOST}:${REMPORT} 2>&1 |\
sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p'

并将其保存到 pem 文件中,我将手动导入到 java 密钥库中:

keytool -import -alias myAlias -file theCert.pem -keystore lib/security/cacerts

我不知道为什么 java ssl 无法正确验证解冻证书。

列出密钥库向我展示了标准密钥库中有 7 个 thawte 受信任的证书,但奇怪的是它直到我手动导入 pem 文件才起作用

于 2013-04-08T09:19:21.247 回答
0

我正在尝试了解您的设置。你有一个 SSL 证书(由 Thwate 颁发),安装在 tomcat 中,你可以使用 IE 或 Firefox 或 Chrome 通过 SSL 访问你的网站。

但是当您尝试使用 HttpClient 访问它时,您会收到上述错误?

那是对的吗 ?

该错误清楚地表明您的客户端不信任 CA。但是如果证书是由 Thwate 签名的(并且安装正确并且可以通过 IE/Firefox 等访问),那么它应该可以正常工作。

于 2013-04-05T21:17:16.087 回答