Spring Boot ssl如何信任所有有效证书

Question

我在我的 Spring Boot 应用程序中启用了 ssl，并且任何时候我想使用像 googleapis 或 facebook 这样的 Rest 服务，我都必须在信任库中添加证书。

我使用openssl获取证书：

openssl s_client -connect googleapis.com:443

然后我将它导入到信任库中：

keytool.exe -import -noprompt -trustcacerts -alias googleapis.com -file googleapis.com.cer -keystore app-server.p12 -storepass *****

问题是管理起来很不方便，当证书过期时，我每次都必须更新信任库中的证书。

此外，即使我添加了正确的证书，有时也会出现错误：

引起：javax.net.ssl.SSLHandshakeException： sun.security.validator.ValidatorException：PKIX 路径构建失败： sun.security.provider.certpath.SunCertPathBuilderException：无法 找到请求目标的有效认证路径

我知道这些证书是有效的，是否可以自动信任它们而不将它们添加到信任库中？

这是我的 ssl 配置

  ssl:
    enabled: true
    key-store: classpath:keystore/app-server.p12
    key-store-password: ******
    key-alias: app-server
    key-store-type: PKCS12
    trust-store: classpath:keystore/app-server.p12
    trust-store-password: *****
    trust-store-type: PKCS12
    keyStorePath: config/keystore/app-server.p12

我还必须在 main 方法中添加系统属性

private static String keyStorePath;

private static String keyStorePassword;


@Value("${server.ssl.keyStorePath}")
public void setKeyStorePath(String keyStorePath) {
    ClientUiApplication.keyStorePath = keyStorePath;
}

@Value("${server.ssl.key-store-password}")
public void setKeyStorePassword(String keyStorePassword) {
    ClientUiApplication.keyStorePassword = keyStorePassword;
}

public static void main(String[] args) {

    SpringApplication.run(ClientUiApplication.class, args);
    System.setProperty("javax.net.ssl.trustStore", keyStorePath);
    System.setProperty("javax.net.ssl.trustStorePassword", keyStorePassword);
}

另一个重要的细节，我需要一个信任库，因为我使用由 Keytool 生成的自签名证书。否则，我的服务将无法相互通信。

Answer 1

你给代码：

public static void main(String[] args) {
    SpringApplication.run(ClientUiApplication.class, args);
    System.setProperty("javax.net.ssl.trustStore", keyStorePath);
    System.setProperty("javax.net.ssl.trustStorePassword", keyStorePassword);
}

这意味着您强制 java 信任库成为您提供的信任库。默认信任库不再使用。

所以，是的，您必须在此信任库中添加所有需要的根证书，以免出现您描述的问题。

为什么需要有一个特定的信任库？

• 如果没有用，请将其删除。
• 如果您有必须信任的特定附加证书，最好将此证书添加到默认信任存储区（jre/lib/security/cacerts 文件）

Answer 2

您还可以使用 CloseableHttpClient 绕过 SSL 证书检查

public static CloseableHttpClient getCloseableHttpClient()
{
    CloseableHttpClient httpClient = null;
    try {
        httpClient = HttpClients.custom().
                setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE).
                setSSLContext(new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy()
                {
                    public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException
                    {
                        return true;
                    }
                }).build()).build();
    } catch (KeyManagementException e) {
        LOGGER.error("KeyManagementException in creating http client instance", e);
    } catch (NoSuchAlgorithmException e) {
        LOGGER.error("NoSuchAlgorithmException in creating http client instance", e);
    } catch (KeyStoreException e) {
        LOGGER.error("KeyStoreException in creating http client instance", e);
    }
    return httpClient;
}

它会自动信任所有证书并将您从 SSLHandshakeException: sun.security.validator.ValidatorException

中解救出来

注意在生产环境中不推荐这种方法