java - 如何修复 "java.security.cert.CertificateException: No subject alternative names present"错误？-6ren

java - 如何修复 "java.security.cert.CertificateException: No subject alternative names present"错误？

转载作者：IT老高更新时间：2023-10-28 11:32:06

31

4

我有一个 Java Web 服务客户端，它通过 HTTPS 使用 Web 服务。

import javax.xml.ws.Service;

@WebServiceClient(name = "ISomeService", targetNamespace = "http://tempuri.org/", wsdlLocation = "...")
public class ISomeService
    extends Service
{

    public ISomeService() {
        super(__getWsdlLocation(), ISOMESERVICE_QNAME);
    }

当我连接到服务 URL (https://AAA.BBB.CCC.DDD:9443/ISomeService ) 时，我收到异常 java.security.cert.CertificateException:没有主题替代名称存在。

要修复它，我首先运行 openssl s_client -showcerts -connect AAA.BBB.CCC.DDD:9443 > certs.txt 并在文件 certs.txt:

CONNECTED(00000003)
---
Certificate chain
 0 s:/CN=someSubdomain.someorganisation.com
   i:/CN=someSubdomain.someorganisation.com
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=someSubdomain.someorganisation.com
issuer=/CN=someSubdomain.someorganisation.com
---
No client certificate CA names sent
---
SSL handshake has read 489 bytes and written 236 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 512 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : RC4-MD5            
    Session-ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Session-ID-ctx:                 
    Master-Key: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Key-Arg   : None
    Start Time: 1382521838
    Timeout   : 300 (sec)
    Verify return code: 21 (unable to verify the first certificate)
---

AFAIK，现在我需要

提取 -----BEGIN CERTIFICATE----- 和 -----END CERTIFICATE-- 之间的 certs.txt 部分---,
修改它，使证书名称等于AAA.BBB.CCC.DDD和
然后使用 keytool -importcert -file fileWithModifiedCertificate 导入结果(其中 fileWithModifiedCertificate 是操作 1 和 2 的结果)。

这对吗？

如果是这样，我如何才能使步骤 1 中的证书与基于 IP 的地址 (AAA.BBB.CCC.DDD) 一起使用？

更新 1(23.10.2013 15:37 MSK): 回复 similar question ，我阅读了以下内容:

If you're not in control of that server, use its host name (provided that there is at least a CN matching that host name in the existing cert).

“使用”到底是什么意思？

最佳答案

我通过使用 here 提供的方法禁用 HTTPS 检查来解决此问题:

我将以下代码放入 ISomeService 类中:

static {
    disableSslVerification();
}

private static void disableSslVerification() {
    try
    {
        // Create a trust manager that does not validate certificate chains
        TrustManager[] trustAllCerts = new TrustManager[] {new X509TrustManager() {
            public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                return null;
            }
            public void checkClientTrusted(X509Certificate[] certs, String authType) {
            }
            public void checkServerTrusted(X509Certificate[] certs, String authType) {
            }
        }
        };

        // Install the all-trusting trust manager
        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, trustAllCerts, new java.security.SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

        // Create all-trusting host name verifier
        HostnameVerifier allHostsValid = new HostnameVerifier() {
            public boolean verify(String hostname, SSLSession session) {
                return true;
            }
        };

        // Install the all-trusting host verifier
        HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);
    } catch (NoSuchAlgorithmException e) {
        e.printStackTrace();
    } catch (KeyManagementException e) {
        e.printStackTrace();
    }
}

由于我使用 https://AAA.BBB.CCC.DDD:9443/ISomeService 仅用于测试目的，这是一个足够好的解决方案，但不要在生产中这样做。

请注意，您也可以为“一次一个连接”禁用 SSL，例如:

 // don't call disableSslVerification but use its internal code:
 HttpURLConnection conn = (HttpURLConnection) url.openConnection();
 if (conn instanceof HttpsURLConnection) {
    HttpsURLConnection httpsConn = (HttpsURLConnection) conn;
    httpsConn.setHostnameVerifier(allHostsValid);
    httpsConn.setSSLSocketFactory(sc.getSocketFactory());
 }

关于java - 如何修复 "java.security.cert.CertificateException: No subject alternative names present"错误？，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/19540289/

31

4

0

文章推荐： iphone - UIView:不透明 vs. alpha vs. 不透明

文章推荐： C++ 弃用从字符串常量到 'char*' 的转换

文章推荐： objective-c - Objective-C 中的 NSString indexOf

c# - 用于 C# 开发的 NoSQL FREE alternative (alternative to ravendb)
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，
build - Gradle 构建 : does someone tried alternative build script with alternative setting. Gradle ？
我正在使用 gradle 1.4，并将 build.gradle 重命名为 buildExpr.gradle，将 settings.gradle 重命名为 settingExpr.gradle，这两个
python - 如何修复 "update-alternatives: warning: forcing reinstallation of alternative/usr/bin/python3.8 because link group python3 is broken"？
使用 Ubuntu 16.04.7 我试图将 python3.8 作为我的默认 python 版本。我按照 here 给出的说明进行操作，但最终标准 python 版本没有改变。每当我运行 pytho
impersonation - 道德与冒充 : Alternatives?
关闭。这个问题需要更多focused .它目前不接受答案。想改善这个问题吗？更新问题，使其仅关注一个问题 editing this post . 6年前关闭。 Improve this questi
haskell - `Alternative` 中的模式匹配
我有一个函数，它对其参数进行模式匹配，以在 StateT () Maybe () 中生成计算。这个计算在运行时可能会失败，在这种情况下，我希望当前的模式匹配分支失败，可以这么说。我非常怀疑是否可能有
c++ - 从基类指针派生类方法 : some alternatives?
我知道这类问题已经回答过几次，但我给出了问题的上下文以期待一些其他的架构替代方案。考虑一个 CExpression 类: class CExpression { public:
快速组合 : Alternatives too eraseToAnySubscriber?
当我的红色、绿色或蓝色变量发生变化时，我正在尝试使用 Combine 来更新颜色。我看过的示例使用 sink() ，这似乎适合我，但 eraseToAnySubscriber 是 MIA，我找不到替代
java正则表达式: performance and alternative
最近我不得不搜索一些字符串值来查看哪个匹配某个模式。在用户输入搜索词之前，字符串值的数量和模式本身都不清楚。问题是我注意到每次我的应用程序运行以下行时: if (stringValue.mat
python - 复制嵌套的自定义对象 : alternatives to deepcopy
我希望制作包含类对象列表的类对象的深拷贝，每个类对象都有自己的一组内容。对象不包含比整数和列表更令人兴奋的东西(没有字典，没有等待生成的生成器等)。我在一个循环中对 500-800 个对象执行深度复制
Cassandra "no viable alternative at input"
我正在尝试在表格中插入一个简单的行。有人可以指出这里发生了什么吗？ CREATE TABLE recommendation_engine_poc.user_by_category (
powershell - 如何在PowerShell中查看 “alternatives”的属性？
使用 Get-ChildItem | Get-Member 我可以看到对象的方法和属性。但是我如何看到例如的不同可能值属性？我可以用 Get-ChildItem | Where-Object {$_.
ANTLR : no viable alternative error
我有一个任务是编写简单的解析器生成器，所以我编写了类似 ANTLR 的语法并尝试解析像“foo:bar;”这样的简单文件，但得到了以下输出: [@0,0:2='foo',,1:0] [@1,3:3='
JavaScript 正则表达式 : why is alternation not ordered?
这个问题已经有答案了: Why order matters in this RegEx with alternation? (3 个回答) Order of regular expression op
axapta - MorphX 报表设计器 : are there any alternatives?
Ax 2009 中的 MorphX 报表设计器似乎不是“最好的”报表设计器。我不知道是不是我的错，或者 morphx 报表设计器是否有太多错误而无法完成他的工作。我猜是否有一些替代方案可以为 Ax 2
java - XSS攻击: Alternative to OWASP?
除了 OWASP XSS 过滤软件之外，还有其他方法可以防止 XSS 攻击吗？如果可以在 apache 级别进行阻止，我需要建议。我不是安全专家，因此需要详细信息。感谢您的帮助最佳答案当数据向最终
java - 禁用@Alternative 类
在我的 Java EE 7 程序中，我想使用 @Alternative 根据上下文、生产或测试来注入(inject)不同的实现。我所做的就是在 beans.xml 文件中声明用 @Alternativ
file - 如何很好地阅读 "alternating"行？
我有一个文本文件，其中包含遵循替代模式的行，例如: name: SomeName counterA: 0, counterB: 0, counterC: 0 name: SomeNameB count
c# - Singleton Alternative - 它是等价的吗？
我知道标准的单例模式是这样的: 原创 public class Singleton1 { public static Singleton1 _Instance; public stat
JavaScript (es6) haskel where alternative
在 Haskell 中，您可以像这样为临时变量创建 where 条件: f x | cond1 x = a | cond2 x = g a | otherwise = f (h x
安卓自定义按钮 : Alternative to Multiple Graphics?
我认为我能找到的所有适用于 Android 的自定义按钮教程都假设您使用三种图像作为按钮:普通图像、按下图像和聚焦图像。不是本质上将给定按钮资源的大小增加三倍(并为美工/UX 人员创造更多工作)，是

首页

博学

6Ren·AI

商城

java - 如何修复 "java.security.cert.CertificateException: No subject alternative names present"错误？