java - Apache HTTPClient SSLPeerUnverifiedException-6ren

java - Apache HTTPClient SSLPeerUnverifiedException

转载作者：搜寻专家更新时间：2023-10-30 19:41:06

26

4

使用 Apache HttpClient 4.2.1。使用从基于表单的登录示例中复制的代码

http://hc.apache.org/httpcomponents-client-ga/examples.html

访问受 SSL 保护的登录表单时出现异常:

Getting library items from https://appserver.gtportalbase.com/agileBase/AppController.servlet?return=blank
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
Closing http connection
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(SSLSessionImpl.java:397)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:128)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:640)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:479)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:805)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:784)

据我所知，证书很好(请参阅堆栈跟踪之前的 URL)，没有过期 - 浏览器不会提示。

我尝试将证书导入我的 keystore

How to handle invalid SSL certificates with Apache HttpClient?

没有变化。我相信您可以创建一个自定义 SSLContext 来强制 Java 忽略该错误，但我宁愿修复根本原因，因为我不想打开任何安全漏洞。

有任何想法吗？

最佳答案

编辑我意识到这个答案很久以前就被接受了，并且也被投票了 3 次，但它(至少部分)不正确，所以这里有更多关于这个异常(exception)的信息。造成的不便，深表歉意。

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated

这通常是远程服务器根本没有发送证书时引发的异常。但是，有一个边缘情况，在使用 Apache HTTP Client 时会遇到，因为它在这个版本中的实现方式，以及因为 sun.security. ssl.SSLSocketImpl.getSession() 的方式。被实现。

使用 Apache HTTP Client 时，远程证书不受信任时也会抛出此异常，通常会抛出“ sun.security.validator.ValidatorException: PKIX path building failed”。

发生这种情况的原因是因为 Apache HTTP 客户端试图获取 SSLSession和对等证书，然后再做任何其他事情。

提醒一下，有 3 ways of initiating the handshake with an SSLSocket :

calling startHandshake which explicitly begins handshakes, or

any attempt to read or write application data on this socket causes an implicit handshake, or

a call to getSession tries to set up a session if there is no currently valid session, and an implicit handshake is done.

以下是 3 个示例，均针对具有不受信任证书的主机(使用 javax.net.ssl.SSLSocketFactory ，而不是 Apache 的)。

示例 1:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    sslSocket.startHandshake();

这会抛出“ javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed”(如预期的那样)。

示例 2:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    sslSocket.getInputStream().read();

这也会抛出“ javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed”(如预期的那样)。

示例 3:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    SSLSession sslSession = sslSocket.getSession();
    sslSession.getPeerCertificates();

然而，这会抛出 javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated .

这是 Apache HTTP Client's AbstractVerifier 中实现的逻辑由其 org.apache.http.conn.ssl.SSLSocketFactory 使用在 4.2.1 版中。更高版本 make an explicit call to startHandshake() ，基于 issue HTTPCLIENT-1346 中的报告.

这最终似乎来自 sun.security. ssl.SSLSocketImpl.getSession() 的实现, 捕获潜力 IOException调用 startHandshake(false) 时抛出 s (内部方法)，无需进一步抛出。这可能是一个错误，尽管这不会对安全产生重大影响，因为 SSLSocket无论如何仍将关闭。

示例 4:

    SSLSocketFactory ssf = (SSLSocketFactory) sslContext.getSocketFactory();
    SSLSocket sslSocket = (SSLSocket) ssf.createSocket("untrusted.host.example",
            443);
    SSLSession sslSession = sslSocket.getSession();
    // sslSession.getPeerCertificates();
    sslSocket.getInputStream().read();

值得庆幸的是，当您实际尝试使用 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed 时，它仍然会抛出“ SSLSocket”。 (通过在没有获得对等证书的情况下获得 session 没有漏洞)。

如何解决这个问题

与不受信任的证书的任何其他问题一样，问题在于确保您使用的信任存储包含必要的信任 anchor (即颁发您尝试验证的链的 CA 证书，或者可能是实际的服务器特殊情况的证明)。

要解决此问题，您应该将 CA 证书(或者可能是服务器证书本身)导入您的信任库。你可以这样做:

在您的 JRE 信任存储中，通常是 cacerts文件(这不一定是最好的，因为这会影响使用该 JRE 的所有应用程序)，

在您的信任库的本地副本中(您可以使用 -Djavax.net.ssl.trustStore=... 选项进行配置)，

通过创建特定的 SSLContext用于该连接(如 this answer 中所述)。 (有些人建议使用什么都不做的信任管理器，但这会使您的连接容易受到 MITM 攻击。)

初步答案

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated

这与信任证书或您必须创建自定义 SSLContext 无关。 :这是因为服务器根本没有发送任何证书。

此服务器明显未配置为正确支持 TLS。这失败了(您不会获得远程证书):

openssl s_client -tls1 -showcerts -connect appserver.gtportalbase.com:443

但是，SSLv3 似乎可以工作:

openssl s_client -ssl3 -showcerts -connect appserver.gtportalbase.com:443

如果您知道谁在运行此服务器，则值得与他们联系以解决此问题。服务器至少现在应该真正支持 TLSv1。

同时，解决此问题的一种方法是创建自己的 org.apache.http.conn.ssl.SSLSocketFactory。并将其用于与 Apache Http 客户端的连接。

该工厂需要创建一个 SSLSocket像往常一样，使用 sslSocket.setEnabledProtocols(new String[] {"SSLv3"});在返回该套接字之前，禁用 TLS，否则默认情况下会启用。

关于java - Apache HTTPClient SSLPeerUnverifiedException，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/12095758/

26

4

0

文章推荐： objective-c - iOS 8 删除今日扩展

文章推荐： java - 在 JAVA (org.json) 中从字符串创建 JSONObject

java - Java 方法如何检索属于该特定方法的方法对象？ ( java )
我正在编写一个具有以下签名的 Java 方法。 void Logger(Method method, Object[] args); 如果一个方法(例如 ABC() )调用此方法 Logger，它应该
java - (Java) Java 找不到我的图像文件
我是 Java 新手。我的问题是我的 Java 程序找不到我试图用作的图像文件一个 JButton。 (目前这段代码什么也没做，因为我只是得到了想要的外观第一的)。这是我的主课代码: packag
java - java Java 有手动垃圾回收吗？
好的，今天我在接受采访，我已经编写 Java 代码多年了。采访中说“Java 垃圾收集是一个棘手的问题，我有几个 friend 一直在努力弄清楚。你在这方面做得怎么样？”。她是想骗我吗？还是我的一生都
java - Java 之谜 - Java
我的 friend 给了我一个谜语让我解开。它是这样的: There are 100 people. Each one of them, in his turn, does the following
java - Java 字节码是否兼容不同版本的 Java？
如果我将使用 Java 5 代码的应用程序编译成字节码，生成的 .class 文件是否能够在 Java 1.4 下运行？如果后者可以工作并且我正在尝试在我的 Java 1.4 应用程序中使用 Jav
java - Java 缺少无符号原始类型是 Java 平台的特征还是 Java 语言的特征？
有关于why Java doesn't support unsigned types的问题以及一些关于处理无符号类型的问题。我做了一些搜索，似乎 Scala 也不支持无符号数据类型。限制是Java和S
java - Java 7 的 Java 字节码可以在其他版本的 Java 中工作吗
我只是想知道在一个 java 版本中生成的字节码是否可以在其他 java 版本上运行最佳答案通常，字节码无需修改即可在较新版本的 Java 上运行。它不会在旧版本上运行，除非您使用特殊参数 (
java -cp 。 test.java 与 java test.java
我有一个关于在命令提示符下执行 java 程序的基本问题。在某些机器上我们需要指定 -cp 。 (类路径)同时执行java程序 (test为java文件名与.class文件存在于同一目录下) jav
java - 使用 Java (Java EE/Java SE) 的数据库应用程序设计模式
我已经阅读 StackOverflow 有一段时间了，现在我才鼓起勇气提出问题。我今年 20 岁，目前在我的家乡(罗马尼亚克卢日-纳波卡)就读 IT 大学。足以介绍:D。基本上，我有一家提供簿记应用
java - Java 中的解析可在 Java 中访问
我有 public JSONObject parseXML(String xml) { JSONObject jsonObject = XML.toJSONObject(xml); r
java - Java 中的解释性语言以及对 Java 方法的调用
我已经在 Java 中实现了带有动态类型的简单解释语言。不幸的是我遇到了以下问题。测试时如下代码: def main() { def ks = Map[[1, 2]].keySet()
java - java 序数 - Java I 类
一直提示输入 1 到 10 的数字 - 结果应将 st、rd、th 和 nd 添加到数字中。编写一个程序，提示用户输入 1 到 10 之间的任意整数，然后以序数形式显示该整数并附加后缀。 public
java - 如何从 Java 执行 Java？
我有这个 DownloadFile.java 并按预期下载该文件: import java.io.*; import java.net.URL; public class DownloadFile {
java - 延迟不适用于 java gui(java)
我想在 GUI 上添加延迟。我放置了 2 个 for 循环，然后重新绘制了一个标签，但这 2 个 for 循环一个接一个地执行，并且标签被重新绘制到最后一个。我能做什么？ for(int i=0;
java - Java 类中的硬编码 Java 列表
我正在对对象 Student 的列表项进行一些测试，但是我更喜欢在 java 类对象中创建硬编码列表，然后从那里提取数据，而不是连接到数据库并在结果集中选择记录。然而，自从我这样做以来已经很长时间了，
java - java 幕后对象创建(java 对象实例化)
我知道对象创建分为三个部分: 声明实例化初始化 classA{} classB extends classA{} classA obj = new classB(1,1); 实例化它必须使用
java - 车辆跟踪系统[java/Java EE]
我有兴趣使用 GPRS 构建车辆跟踪系统。但是，我有一些问题要问以前做过此操作的人: GPRS 是最好的技术吗？人们意识到任何问题吗？我计划使用 Java/Java EE - 有更好的技术吗？如果
java - 逆数组(Java)//逆数组(Java)
我可以通过递归方法反转数组，例如:数组={1,2,3,4,5} 数组结果={5,4,3,2,1}但我的结果是相同的数组，我不知道为什么，请帮助我。 public class Recursion { p
java - Java/Java EE 的构建和集成环境
有这样的标准方式吗？包括 Java源代码-测试代码- Ant 或 Maven联合单元持续集成(可能是巡航控制)ClearCase 版本控制工具部署到应用服务器最后我希望有一个自动构建和集成环境。
java - 我将如何从 java 程序打印文本？ ( java )
我什至不知道这是否可能，我非常怀疑它是否可能，但如果可以，您能告诉我怎么做吗？我只是想知道如何从打印机打印一些文本。有什么想法吗？最佳答案这里有更简单的事情。 import javax.swin

首页

博学

6Ren·AI

商城

java - Apache HTTPClient SSLPeerUnverifiedException