java在访问https资源时，忽略证书信任问题

java程序在访问https资源时，出现报错

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

这本质上，是java在访问https资源时的证书信任问题。如何解决这个问题呢？

为何有这个问题？

解决这个问题前，要了解

1）https通信过程

客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤，如图所示。

（1）客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。

（2）Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。

（3）客户端的浏览器与Web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。

（4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。

（5）Web服务器利用自己的私钥解密出会话密钥。

（6）Web服务器利用会话密钥加密与客户端之间的通信。

2)java程序的证书信任规则

如上文所述，客户端会从服务端拿到证书信息。调用端（客户端）会有一个证书信任列表，拿到证书信息后，会判断该证书是否可信任。

如果是用浏览器访问https资源，发现证书不可信任，一般会弹框告诉用户，对方的证书不可信任，是否继续之类。

Java虚拟机并不直接使用操作系统的keyring，而是有自己的security manager。与操作系统类似，jdk的security manager默认有一堆的根证书信任。如果你的https站点证书是花钱申请的，被这些根证书所信任，那使用java来访问此https站点会非常方便。因此，如果用java访问https资源，发现证书不可信任，则会报文章开头说到的错误。

解决问题的方法

1）将证书导入到jdk的信任证书中（理论上应该可行，未验证）

2）在客户端（调用端）添加逻辑，忽略证书信任问题

第一种方法，需要在每台运行该java程序的机器上，都做导入操作，不方便部署，因此，采用第二种方法。下面贴下该方法对应的代码。

验证可行的代码

1）先实现验证方法

HostnameVerifier hv = new HostnameVerifier() {public boolean verify(String urlHostName, SSLSession session) {System.out.println("Warning: URL Host: " + urlHostName + " vs. "+ session.getPeerHost());return true;}};private static void trustAllHttpsCertificates() throws Exception {javax.net.ssl.TrustManager[] trustAllCerts = new javax.net.ssl.TrustManager[1];javax.net.ssl.TrustManager tm = new miTM();trustAllCerts[0] = tm;javax.net.ssl.SSLContext sc = javax.net.ssl.SSLContext.getInstance("SSL");sc.init(null, trustAllCerts, null);javax.net.ssl.HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());}static class miTM implements javax.net.ssl.TrustManager,javax.net.ssl.X509TrustManager {public java.security.cert.X509Certificate[] getAcceptedIssuers() {return null;}public boolean isServerTrusted(java.security.cert.X509Certificate[] certs) {return true;}public boolean isClientTrusted(java.security.cert.X509Certificate[] certs) {return true;}public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)throws java.security.cert.CertificateException {return;}public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType)throws java.security.cert.CertificateException {return;}}

2）在访问https资源前，调用

trustAllHttpsCertificates();
HttpsURLConnection.setDefaultHostnameVerifier(hv);

参考文档（本文其实是将这三篇文章中，相关的内容整合到一起）：

http://blog.csdn.net/mingli198611/article/details/8055261《HTTP和HTTPS详解》

http://www.cnblogs.com/wupher/archive/2012/08/05/2623561.html《使用Keytool为JDK添加https证书信任》

http://mengyang.iteye.com/blog/575671《解决PKIX path building failed的问题》

java在访问https资源时，忽略证书信任问题相关推荐

jodd忽略ssl证书_关于java访问https资源时,忽略证书信任问题
java程序在访问https资源时,出现报错 sun.security.validator.ValidatorException: PKIX path building failed: sun.sec ...
Java：使用split方法时忽略中英文的符号区别
Java:使用split方法时忽略中英文的符号区别 split(",|,")
HttpClient访问https，设置忽略SSL证书验证
访问https时报错:sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provid ...
浏览器请求状态码为空，谷歌net::ERR_INSECURE_RESPONSE, 火狐Network error安全性错误无法载入此资源，IE网络错误0x800c0019访问此资源的安全证书无效问题
这几天刚入职老板让我解决的一个跨域问题,解决一半之后发生了这个证书问题,由于项目是内网开发,而且上级已经无法下发新的证书,特此记录一下这个问题. 环境:linux下的nginx,前端和后台java ...
https遇到自签名证书/信任证书
对于CA机构颁发的证书Okhttp默认支持可以直接访问但是对于自定义的证书就不可以了(如:https ://kyfw.12306.cn/otn/), 需要加入Trust 下面分两部分来写,一是信任 ...
HttpClient 使用证书访问https站点
使用HttpClient访问https 站点时,如果JRE或者JDK没有导入某个站点的证书,则会报如下错误: javax.net.ssl.SSLHandshakeException: sun.secu ...
Spring RestTemplate 访问https站点
RestTemplate 是Spring对HttpClient的封装, API的调用和结果的解析更简单了.举例来说,访问一个站点并获取结果的代码只需要两行代码就可以了,类似: String url = ...
java忽略证书验证(兼容http，https)
概述日常上传.下载文件时可能有不需要验证证书的场景,比如证书过期.不正确之类的也可以正常的上传下载文件. Java中使用https协议时,是通过X.509证书进行校验的. 首先我们先了解下什么是X. ...
HttpClient 忽略证书直接访问https站点
使用HttpClient访问https 站点时,如果Java没有导入该站点的证书的话,则会报如下错误: javax.net.ssl.SSLHandshakeException: sun.securit ...

java在访问https资源时，忽略证书信任问题

java在访问https资源时，忽略证书信任问题相关推荐

最新文章

热门文章