- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
在测试我的客户端-服务器分布式系统时,一开始我很惊讶地发现 TLS 的默认 JSSE 实现不进行主机名验证。我在 this 中尝试了接受的答案问题,但我的用例有点不同。我使用 RabbitMQ 的连接工厂,它抽象了 SSLSocket 的构造。我只是为连接工厂提供 SSLContext。我确实找到了很多关于 HTTPS 甚至一些其他协议(protocol)的信息,但不是总能使用的通用协议(protocol),即使是自定义协议(protocol)也是如此。
不过,除了使用 X509ExtendedTrustManager
之外,关于创建域验证 SSLContext 的内容并不多。在调试时,我可以看到
TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509");
tmf.init((KeyStore) null);
tmf.getTrustManagers();
返回一个 TrustManager
,一个 X509TrustManagerImpl
,根据 this页面扩展 X509ExtendedTrustManager
。但是,这不会拒绝有缺陷的证书(“有缺陷”是指证书与服务器的主机名不匹配)。
然后我开始编写自己的 X509ExtendedTrustManager
,它从我的 TrustManagerFactory
委托(delegate)给信任管理器:
final TrustManager[] trustManagers = tmf.getTrustManagers();
X509ExtendedTrustManager x509ExtendedTrustManager = new X509ExtendedTrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] x509Certificates, String s, Socket socket) throws CertificateException {
checkClientTrusted(x509Certificates, s);
}
@Override
public void checkServerTrusted(X509Certificate[] x509Certificates, String s, Socket socket) throws CertificateException {
checkServerTrusted(x509Certificates, s);
}
@Override
public void checkClientTrusted(X509Certificate[] x509Certificates, String s, SSLEngine sslEngine) throws CertificateException {
checkClientTrusted(x509Certificates, s);
}
@Override
public void checkServerTrusted(X509Certificate[] x509Certificates, String s, SSLEngine sslEngine) throws CertificateException {
checkServerTrusted(x509Certificates, s);
}
public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
for (TrustManager trustManager : trustManagers)
((X509TrustManager)trustManager).checkClientTrusted(x509Certificates, s);
}
public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
for (TrustManager trustManager : trustManagers)
((X509TrustManager)trustManager).checkServerTrusted(x509Certificates, s);
for (X509Certificate x509Certificate : x509Certificates) {
Collection<List<?>> alternativeNameCollection = x509Certificate.getSubjectAlternativeNames();
if (alternativeNameCollection != null) {
for (List alternativeNames : alternativeNameCollection) {
if (alternativeNames.get(1).equals(host))
return;
}
}
}
throw new CertificateException("Certificate hostname and requested hostname don't match");
}
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
};
这终于奏效了。但我不敢相信不会有更清洁的方法来做到这一点。基本上我正在寻找的是标准的东西,因为我认为我正在做的也很标准。我阅读了有关 HostnameVerifier
的内容,但是有没有办法在不使用 HTTPS 的情况下将它与 SSLContext 一起使用?某处是否有 X509ExtendedTrustManager
的主机名验证实现?我确信我正在重新发明已经写好的东西。
编辑: this是一个很好的工作示例。不过仍然是自定义代码。
编辑 2:问题仍然存在于 RabbitMQ,因为 RabbitMQ 解析 DNS 并将 IP 地址传递给 validator ,这当然总是失败。所以 X509ExtendedTrustManager
似乎仍然是可行的方法。
最佳答案
主机名验证不是 SSL 的一部分。它是 HTTPS 的一部分。您正在调查错误的层和错误的 API。您应该查看 HttpURLConnection
和 HostnameVerifier
。
关于java - 具有主机名验证的 SSLContext,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36548757/
我在这里想做的是将所有连接转发到机器一上端口 3306 上的本地主机到本地主机上端口 3306 上的机器二。因此,如果您连接到机器一上的 mysql,它的行为就像您正在连接一样在二号机器上。 我认为
通过Kibana界面,如何获得 flex IP /主机? 我的意思是,与kibana连接的Elastic主机。 那有可能吗?我在这个上挣扎了好几个小时,却一无所获:( 附:不确定此问题是否是题外话,应
我知道这听起来很奇怪,但我有一个情况,Deno 需要关闭自己的主机(并因此杀死自己的进程)。这可能吗? 我特别需要这个用于 linux (lubuntu),如果相关的话。我想这需要 sudo 权限,这
我知道这听起来很奇怪,但我有一个情况,Deno 需要关闭自己的主机(并因此杀死自己的进程)。这可能吗? 我特别需要这个用于 linux (lubuntu),如果相关的话。我想这需要 sudo 权限,这
我有一个基本问题,但谷歌并没有为我产生很多结果(反正不是英文的)。基本上我想做的就是: 我有一个图形需要用作整个应用程序的持久 header ,例如:我不能让它在新的 Intent 调用时从屏幕上滑出
您好,我正在使用 xampp,我正在尝试使用 php 进行连接。 $sql_connections = mysql_connect("$server, $username, $password")
我目前正在尝试一些多人游戏的想法,并正在尝试创建一个 Java 应用程序来为基于网络浏览器的多人游戏提供服务。 我的开发环境是主机上的Eclipse, native 上的notepad + Googl
今天为大家分享一篇关于SSH 的介绍和使用方法的文章。本文从SSH是什么出发,讲述了SSH的基本用法,之后在远程登录、端口转发等多种场景下进行独立的讲述,希望能对大家有所帮助。 什么是SSH?
我已经完成了在裸机 Centos 7 上运行的测试 Kubernets 主机的设置。这将用作测试系统,因为我们将在 IBM Bluemix Kubernetes 服务中部署所有内容。 从 Bluemi
我正在尝试通过带有 4.2(果冻 bean )的 android 设备“nexus 7”通过 USB 与我的 freeduino 板进行通信,该板类似于 arduino uno。 几个月后,我使用开发
我正在使用 nginx,但在设置反向代理时遇到问题。 我的 nginx.conf 是默认的(没有对其进行任何更改),我的站点可用配置是: upstream backend_hosts { se
我在 projectlocker(免费 svn 主机)上有一个帐户,但我不知道如何将我的项目文件上传到它。 我在我的仪表板中找不到任何选项。 我在我的电脑上使用tortoiseSvn,那么如何上传文件
设置batchSize = 1有意义吗?如果我想一次处理一个文件? 尝试过batchSize = 1000和batchSize = 1 - 似乎具有相同的效果 { "version": "2.0"
我只想知道.. docker中现在有任何可用的工具吗?我已经阅读了Docker中有关多主机功能的一些文档,例如, Docker群 Docker服务(带有副本) 我也知道群模式下的volume问题,容器
我想将文件从 Docker 的容器挂载到我的 docker 主机。 数据卷不是我的解决方案,因为它们是从 docker 主机到 docker 容器的装载,我需要相反的方法。 谢谢 最佳答案 当 doc
我是新手。我无法正确理解RMI。互联网上有大量教程,但据我所知,它们都是针对本地主机的。服务器和客户端都运行在同一台机器上。 我想在任何计算机上运行客户端,并且主机将位于一台计算机上,让我们考虑IP
我无法从客户端“A”SSH 到服务器“B”(但我可以从同一子网上的许多其他 ssh 客户端而不是“A”——所有都是 *nux 机器) serverA>ssh -v -p 端口用户@serverB Op
设置batchSize = 1有意义吗?如果我想一次处理一个文件? 尝试过batchSize = 1000和batchSize = 1 - 似乎具有相同的效果 { "version": "2.0"
由于我不是天生的编码员,请多多包涵。 这是我尝试使用HAproxy来实现的目标,但是经过数小时的检查后,我无法以某种方式使其工作。 从 domain.com/alpha domain.com/beta
我正在使用 tomcat 运行 Java Web 应用程序,通过电子邮件将生成的报告发送给用户。我可以发送电子邮件,但几个小时后服务器停止发送电子邮件,并出现以下错误。 javax.mail.Mess
我是一名优秀的程序员,十分优秀!