2

当我们尝试从 zuul 访问安全的 https REST 点时,出现以下异常。

2017-10-27 08:26:08.499 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:安全会话已建立
2017-10-27 08:26:08.500 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:协商协议:TLSv1.2
2017-10-27 08:26:08.500 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:协商密码套件:TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
2017-10-27 08:26:08.501 调试 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:对等主体:CN=10.xxx.xx.xx,OU=xxx,O=xxx , L=xxx, ST=xx, C=xx
2017-10-27 08:26:08.502 DEBUG 15708 --- [http-nio-9092-exec-1] oahcssl.SSLConnectionSocketFactory:发行人主体:CN=10.xxx.xx.xx,OU=xxx,O=xxx , L=xxx, ST=xx, C=xx
2017-10-27 08:26:08.516 DEBUG 15708 --- [http-nio-9092-exec-1] oahconn.ssl.DefaultHostnameVerifier:证书与证书主题的通用名称不匹配:10.xxx.xx .xx
javax.net.ssl.SSLPeerUnverifiedException:证书与证书主题的通用名称不匹配
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.matchCN(DefaultHostnameVerifier.java:186)
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:133)
    在 org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:99)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.verifyHostname(SSLConnectionSocketFactory.java:463)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:397)
    在 org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)
    在 org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)
    在 org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)
    在 org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)
    在 org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)
    在 org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)
    在 org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)
    在 org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)
    在 org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)
    在 org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:56)
    在 org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:94)
    在 org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:43)
    在 com.netflix.client.AbstractLoadBalancerAwareClient$1.call(AbstractLoadBalancerAwareClient.java:109)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:303)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:287)
    在 rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:231)
    在 rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:228)
    在 rx.Observable.unsafeSubscribe(Observable.java:10211)
    在 rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.drain(OnSubscribeConcatMap.java:286)
    在 rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.onNext(OnSubscribeConcatMap.java:144)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:185)
    在 com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:180)
...

服务通过 POST 请求向 eureka 注册。请找到以下示例 POST 请求。

    春天:
      应用:
        名称:网关
    服务器:
      端口:9092
      ssl:    
        启用:真
        客户端验证:想要
        密钥库:类路径:keystore.jks
        密钥库密码:密码
        关键密码:密码   
        密钥别名:xxxx
    尤里卡:
      实例:
        nonSecurePortEnabled:假
        安全端口启用:真
      客户:
        服务网址:
          默认区域:${EUREKA_URI:http://localhost:8761/eureka}
        注册表获取间隔秒:15
        向尤里卡注册:真
        获取注册表:真
        心跳执行器线程池大小:5
        eureka-service-url-poll-interval-seconds:10
    祖尔:
      前缀:/树
      路线:
        服务:
          路径:/cxf/**
          带前缀:假
          服务标识:服务
    丝带:
      安全:真
      IsHostnameValidationRequired:假

服务通过 POST 请求向 eureka 注册。请找到以下示例 POST 请求。

    {
    “实例”: {
        “主机名”:“xxx”,
        “应用程序”:“应用程序名称”,
        "vipAddress": "appname",
        "secureVipAddress": "appname",
        "ipAddr": "10.xxx.xx.xxx",
        “状态”:“上升”,
        “端口”:{“$”:“8181”,“@启用”:“真”},
        “securePort”:{“$”:“8443”,“@enabled”:“true”},
        "healthCheckUrl": "http://localhost:8000/cat",
        "statusPageUrl": "http://localhost:8000/cat",
        "homePageUrl": "http://localhost:8000/cat",
        “数据中心信息”:{
            "@class": "com.netflix.appinfo.InstanceInfo$DefaultDataCenterInfo",
            “名称”:“我自己的”
        }
    }

如果我在上面的zuul配置中将serviceId替换为相应的url,它就可以正常工作。

keystore.jks 一直在 src/main/resources 下。此外,将密钥库条目导入到 $JDK_HOME/jre/lib/security/cacerts 下的证书中。我们是否缺少任何其他配置?

注意: REST 端点是一个 OSGI 服务。spring boot 版本:v1.5.7.RELEASE 我们使用嵌入式tomcat。

4

1 回答 1

5

上述问题的原因是证书不包含字段“ SubjectAlternativeName ”。使用字段“ SubjectAlternativeName ”创建证书后,该字段又包含 CN(通用名称)和 IP 详细信息,问题得到解决。我们还需要生成信任库

对于正在寻找解决方案的人,希望以下步骤可能会有所帮助。

1. 生成服务器密钥和自签名服务器证书 keytool -genkey -alias serverkey -keyalg RSA -storetype PKCS12 -keystore serverkeystore.p12 -ext SAN=dns:abc.com,dns:localhost,ip:127.0.0.1

2. 生成客户端密钥和自签名客户端证书 keytool -genkey -alias clientkey -keyalg RSA -storetype PKCS12 -keystore clientkeystore.p12 -ext SAN=dns:def.com,dns:localhost,ip:127.0.0.1

3.导出服务器证书 keytool -export -alias serverkey -file servercert.cer -keystore serverkeystore.p12

4.导出客户端证书 keytool -export -alias clientkey -file clientcert.cer -keystore clientkeystore.p12

5. 将证书导入$JAVA_HOME/jre/lib/security sudo keytool -import -trustcacerts -alias localhost -file localhost.crt -keystore $JAVA_HOME/jre/lib/security/cacerts

网关的application.yml:

spring:
  application:
    name: gateway
server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:serverkeystore.p12
    key-store-password: server
    key-alias: serverkey
eureka:
  instance:
    securePort: ${server.port}
    nonSecurePortEnabled: false
    securePortEnabled: true
    leaseRenewalIntervalInSeconds: 7
    leaseExpirationDurationInSeconds: 9
  client:
    serviceUrl:
      defaultZone: ${EUREKA_URI:http://localhost.com:8761/eureka/}
    registry-fetch-interval-seconds: 5
    register-with-eureka: true
    fetch-registry: true
    heartbeat-executor-thread-pool-size: 5
    eureka-service-url-poll-interval-seconds: 10
zuul:
  prefix: /service
  routes:
    producer:
      path: /employee/**
      strip-prefix: false
      serviceId: producer
ribbon:
  IsSecure: true
logging:
 file: logs/gateway.log
 level.root: INFO
 level.com.fujitsu.fnc.sdnfw.msvc: DEBUG
于 2017-12-13T04:14:26.520 回答