HttpClient 使用证书访问https站点

使用HttpClient访问https 站点时，如果JRE或者JDK没有导入某个站点的证书，则会报如下错误：

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetat sun.security.ssl.Alerts.getSSLException(Alerts.java:192)

此处以访问天气预报的服务为例，演示相关问题和解决方法。

示例，访问城市天气预报

在浏览器中通过以下地址可以访问某个城市的天气预报：
https://free-api.heweather.com/v5/forecast?city=CN101220101&key=5c043b56de9f4371b0c7f8bee8f5b75e
返回的结果如下：

可以看到返回的是JSON格式的数据，在浏览器的地址栏可以看到，该站点是安全的。

因为Java读取的证书库和浏览器使用的不是同一套，所以即时浏览器能访问，使用Java 代码访问的时候，并不能读到那些证书。 JRE的证书库文件在lib\security的子目录中，文件名是cacerts，比如：　C:\Program Files\Java\jre1.8.0_211\lib\security\cacerts。
如果机器安装了JDK , 则证书文件也可能使用的是 "%JAVA_HOME%/jre/lib/security/cacerts" .。

使用HttpClient访问的代码如下：

 @Testpublic void https() throws Exception {String url = "https://free-api.heweather.com/v5/forecast?city=CN101220101&key=5c043b56de9f4371b0c7f8bee8f5b75e";try (CloseableHttpClient httpclient = HttpClients.createDefault()) {HttpGet httpGet = new HttpGet(url);try (CloseableHttpResponse response = httpclient.execute(httpGet)) {System.out.println(response.getStatusLine()); // 获取响应状态,比如 HTTP/1.1 200 OKHttpEntity entity = response.getEntity(); // 获取响应结果String rtn = EntityUtils.toString(entity); // 将结果转换为字符串System.out.println(rtn);EntityUtils.consume(entity); // 如果返回内容是输入流类型， 关闭输入流}}}

如果没有安装证书，则会出现本篇开篇提到的错误。

解决方案

让HttpClient 可以访问https 站点的解决方案有以下几种：

方法1. 导入站点的证书到Java的证书库文件中
方法2. HttpClient 访问时使用网站的证书进行访问。
方法3. HttpClient 访问https站点时忽略认证
方法4. HttpClient 访问https站点时信任所有证书

方法3 和方法4 在本系列的其他篇进行介绍，这里主要对方法2进行介绍。

HttpClient 访问时使用网站的证书进行访问

在Chrome下载证书 weather.cer
将下载的证书导入一个新的证书库文件
HttpClient 访问时加载证书库文件进行访问

1 下载证书

在浏览器中下载证书可以参考：
如何在浏览器中下载网站的https证书

2. 导入证书到证书库文件

keytool -import -alias weather -file weather.cer -keystore cacerts
keytool -import -file weather.cer -keystore weather.keystorechangeit

3. 加载证书库后访问

 @Testpublic void loadKeyStoreAndAccess() throws Exception {SSLContext sslcontext = SSLContexts.custom().loadTrustMaterial(new File("D:\\ca\\study\\weather.keystore"), "changeit".toCharArray(), new TrustSelfSignedStrategy()).build();// Allow TLSv1 protocol onlySSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslcontext, new String[] { "TLSv1" }, null,SSLConnectionSocketFactory.getDefaultHostnameVerifier());CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();try {HttpGet httpget = new HttpGet(url);System.out.println("Executing request " + httpget.getRequestLine());CloseableHttpResponse response = httpclient.execute(httpget);try {HttpEntity entity = response.getEntity();System.out.println("----------------------------------------");System.out.println(response.getStatusLine());System.out.println(EntityUtils.toString(entity));EntityUtils.consume(entity);} finally {response.close();}} finally {httpclient.close();}}

备注

笔者在某些机器上测试时，发现不加载证书库也可以获取结果，查询之后发现，本地的Java证书库中已经有天气预报的站点的证书：
该站点证书信息如下：

使用keytool 查看Java中的证书
keytool -list -v -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -storepass changeit

以下命令的显示中有如下证书信息：

别名: comodoaaaca [jdk]
创建日期: 2016-8-25
条目类型: trustedCertEntry所有者: CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, ST=Greater Manchester, C=GB
发布者: CN=AAA Certificate Services, O=Comodo CA Limited, L=Salford, ST=Greater Manchester, C=GB
序列号: 1
有效期为 Thu Jan 01 08:00:00 GMT+08:00 2004 至 Mon Jan 01 07:59:59 GMT+08:00 2029
证书指纹:MD5:  49:79:04:B0:EB:87:19:AC:47:B0:BC:11:51:9B:74:D0SHA1: D1:EB:23:A4:6D:17:D6:8F:D9:25:64:C2:F1:F1:60:17:64:D8:E3:49SHA256: D7:A7:A0:FB:5D:7E:27:31:D7:71:E9:48:4E:BC:DE:F7:1D:5F:0C:3E:0A:29:48:78:2B:C8:3E:E0:EA:69:9E:F4
签名算法名称: SHA1withRSA
主体公共密钥算法: 2048 位 RSA 密钥
版本: 3

这个证书的信息会上面查看的证书信息正好吻合。
如果要重现问题，可以先删除已经安装的证书

keytool -delete -alias "xxx" -keystore  "%JAVA_HOME%/jre/lib/security/cacerts"  -storepass changeit

heweather.com 这个站点使用的某个证书机构的根证书
这些根证书是JDK安装的时候就已经信任了的。所以默认这些站点时可以直接访问的。
虽然删除某些证书能在heweather.com重现上面问题，但建议还是使用本地机器或是内部网站进行测试。参考：