使用RestTemplate調(diào)用https接口跳過證書驗證

更新時間：2021年10月29日 11:23:20 作者：liangblog

這篇文章主要介紹了使用RestTemplate調(diào)用https接口跳過證書驗證，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教

RestTemplate調(diào)用https接口跳過證書驗證

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLSession;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager; 
import java.nio.charset.StandardCharsets;
import java.security.cert.CertificateException; 
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.http.converter.StringHttpMessageConverter;
import org.springframework.web.client.RestTemplate; 
public class NoHttpsClientUtils {
 
    /**
     * 跳過證書效驗的sslcontext
     * 
     * @return
     * @throws Exception
     */
    private static SSLContext createIgnoreVerifySSL() throws Exception {
        SSLContext sc = SSLContext.getInstance("TLS");
 
        // 實現(xiàn)一個X509TrustManager接口，用于繞過驗證，不用修改里面的方法
        X509TrustManager trustManager = new X509TrustManager() {
            @Override
            public void checkClientTrusted(java.security.cert.X509Certificate[] paramArrayOfX509Certificate,
                    String paramString) throws CertificateException {
            }
 
            @Override
            public void checkServerTrusted(java.security.cert.X509Certificate[] paramArrayOfX509Certificate,
                    String paramString) throws CertificateException {
            }
 
            @Override
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
        sc.init(null, new TrustManager[] { trustManager }, null);
        return sc;
    }
 
    /**
     * 構(gòu)造RestTemplate
     * 
     * @return
     * @throws Exception
     */
    public static RestTemplate getRestTemplate() throws Exception {
        HttpComponentsClientHttpRequestFactory factory = new HttpComponentsClientHttpRequestFactory();
        // 超時
        factory.setConnectionRequestTimeout(5000);
        factory.setConnectTimeout(5000);
        factory.setReadTimeout(5000);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(createIgnoreVerifySSL(),
                // 指定TLS版本
                null,
                // 指定算法
                null,
                // 取消域名驗證
                new HostnameVerifier() {
                    @Override
                    public boolean verify(String string, SSLSession ssls) {
                        return true;
                    }
                });
        CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
        factory.setHttpClient(httpClient);
        RestTemplate restTemplate = new RestTemplate(factory);
        // 解決中文亂碼問題
        restTemplate.getMessageConverters().set(1, new StringHttpMessageConverter(StandardCharsets.UTF_8));
        return restTemplate;
    }
}

RestTemplate訪問https遇到SSL證書驗證錯誤

今天，遇到了一個SSL證書認證的問題，糾結(jié)了好久才解決，學(xué)到了很多東西，記錄下來，分享給大家。

首先說一下大概的背景，我們的項目對接了第三方接口，需要向?qū)Ψ桨l(fā)送https請求。那么問題來了，https請求時需要通過SSL證書認證的，今天流程突然走不下去了，看日志發(fā)現(xiàn)是SSL認證的問題：

在網(wǎng)上找資料，解決問題有兩個思路：

1.通過相關(guān)配置，跳過SSL證書驗證，完成請求。

2.下載證書，將證書導(dǎo)入到JDK的證書管理里面。

第一種方法相當于是取巧，逃避問題，我們當然不能那么做了，我們要迎接挑戰(zhàn)，所以小編直接pass第一條，選擇第二條。

添加Https證書

下載證書

先通過瀏覽器將未簽名驗證的證書保存到本地, 具體步驟：

點擊不安全–> 證書–> 詳細信息 --> 復(fù)制到文件然后默認選擇起一個文件名 , 保存即可。

（Mac下載：Mac找不到復(fù)制的按鈕。。。只能另辟蹊徑了）點地址欄上的小鎖，然后點證書，然后將藍色的文件拖到要下載的文件夾即可。最好給它重命名方便使用。

導(dǎo)入證書

我們需要將證書導(dǎo)入到JDK的證書管理里面才能咋項目中使用我們剛剛下載的證書。導(dǎo)入命令如下：

keytool -import -noprompt -trustcacerts -alias  -keystore
 /Users/ZHONGHUI/develop/jdk-12.0.2.jdk/Contents/Home/lib/security/cacerts 
-storepass changeit -file eleme.cer

其中，因為我們用的是JDK12，跟常用的JDK8目錄是不一樣的，所以我的cacerts目錄是：/Users/ZHONGHUI/develop/jdk-12.0.2.jdk/Contents/Home/lib/security/cacerts，如果你用的是JDK1.8或者1.7的話，那么你的cacerts在jre下的 /lib/security/下。eleme是我們給復(fù)制過來的證書取得別名，eleme.cer就是我們下載改名后的證書。changeit 是密碼，如果changeit不行的話，就試試changeme，一般是changeit。

生成keystore文件

keytool -import -storepass changeit -file eleme.cer -keystore eleme.keystore

然后就會生成一個eleme.keystore文件，若權(quán)限不夠，加sudo即可。將它復(fù)制到項目的類路徑下。

項目中配置

將下面的RestTemplateConfig替換原來的：

package com..xxx.config; 
import java.io.File;
import java.io.FileInputStream;
import java.io.InputStream;
import java.security.KeyManagementException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.cert.X509Certificate;
import java.util.ArrayList;
import java.util.List;
 
import org.apache.http.config.Registry;
import org.apache.http.config.RegistryBuilder;
import org.apache.http.conn.socket.ConnectionSocketFactory;
import org.apache.http.conn.socket.PlainConnectionSocketFactory;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.impl.conn.PoolingHttpClientConnectionManager;
import org.apache.http.ssl.SSLContextBuilder;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.http.client.HttpComponentsClientHttpRequestFactory;
import org.springframework.http.converter.HttpMessageConverter;
import org.springframework.http.converter.json.MappingJackson2HttpMessageConverter;
import org.springframework.http.converter.xml.MappingJackson2XmlHttpMessageConverter;
import org.springframework.web.client.RestTemplate; 
import com.alibaba.fastjson.support.spring.FastJsonHttpMessageConverter;
 
@Configuration
public class RestTemplateConfig { 
    @Autowired
    private FastJsonHttpMessageConverter httpMessageConverter;
 
    @Bean
    RestTemplate restTemplate() throws Exception {
    	HttpComponentsClientHttpRequestFactory factory = new                                                    
    	        HttpComponentsClientHttpRequestFactory();
    	    factory.setConnectionRequestTimeout(5 * 60 * 1000);
    	    factory.setConnectTimeout(5 * 60 * 1000);
    	    factory.setReadTimeout(5 * 60 * 1000);
    	    // https
    	    SSLContextBuilder builder = new SSLContextBuilder();
    	    KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
    	    ClassPathResource resource = new ClassPathResource("nonghang.keystore");
    	    InputStream inputStream = resource.getInputStream();
    	    keyStore.load(inputStream, null);
    	    SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory(builder.build(), NoopHostnameVerifier.INSTANCE);
    	    Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
    	            .register("http", new PlainConnectionSocketFactory())
    	            .register("https", socketFactory).build();
    	    PoolingHttpClientConnectionManager phccm = new PoolingHttpClientConnectionManager(registry);
    	    phccm.setMaxTotal(200);
    	    CloseableHttpClient httpClient = HttpClients.custom().setSSLSocketFactory(socketFactory).setConnectionManager(phccm).setConnectionManagerShared(true).build();
    	    factory.setHttpClient(httpClient);
    	    RestTemplate restTemplate = new RestTemplate(factory);
    	    List<HttpMessageConverter<?>> converters = restTemplate.getMessageConverters();
            ArrayList<HttpMessageConverter<?>> convertersValid = new ArrayList<>();
            for (HttpMessageConverter<?> converter : converters) {
                if (converter instanceof MappingJackson2HttpMessageConverter ||
                    converter instanceof MappingJackson2XmlHttpMessageConverter) {
                    continue;
                }
                convertersValid.add(converter);
            }
            convertersValid.add(httpMessageConverter);
            restTemplate.setMessageConverters(convertersValid);
    	    inputStream.close();
        return restTemplate;
    }
}

好啦，萬事俱備只欠東風(fēng)，自信滿滿的試了一下，發(fā)現(xiàn)還是行不通，深受打擊的我決定還是去看看導(dǎo)致這類報錯的原因。

從根源出發(fā)，https的socket工作原理是怎樣的?

https的socket工作原理流程圖如下:

那么，什么是SSL證書?

SSL 證書就是遵守 SSL協(xié)議，由受信任的數(shù)字證書頒發(fā)機構(gòu)CA，在驗證服務(wù)器身份后頒發(fā)，具有服務(wù)器身份驗證和數(shù)據(jù)傳輸加密功能。

首先，要知道導(dǎo)致報這個異常的原因不僅僅是因為證書校驗不通過。

1.在我們通過https鏈接服務(wù)器時，服務(wù)器會給我們返回一個證書，這個證書可能經(jīng)過CA認證，也可能是未認證的自制證書，客戶端拿到這個證書后會對這個證書進行驗證，如果是經(jīng)過CA驗證的證書，自然證書校驗就能通過，自制證書自然就校驗不同過，從而導(dǎo)致上邊的異常。

2.證書校驗通過后，還需要校驗訪問的域名是否和證書指定的域名是否匹配。未匹配也會導(dǎo)致如上異常。

3.上邊兩步都校驗通過了才開始進行握手，但握手也有可能失敗，從而導(dǎo)致上邊的異常。

以上三個步驟中任何一個出了問題，都會連接失敗。

首先，我們獲取的證書是經(jīng)過CA認證的，理應(yīng)不會出現(xiàn)不通過的情況，第三方的域名也是沒有問題的。那么到底是哪里出了問題呢？

后來我們從網(wǎng)絡(luò)組那邊了解到，他們那邊對最近做了大的改動，之前的proxy都要重新加，加的時候把我們的給漏掉了。。。。辛苦大半天，被坑慘了啊。。

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

您可能感興趣的文章: