rest - SSLPeerUnverifiedException - <> 的证书与证书主体的通用名称不匹配-6ren

rest - SSLPeerUnverifiedException - <> 的证书与证书主体的通用名称不匹配

转载作者：行者123 更新时间：2023-12-02 20:36:27

当我们尝试从 zuul 访问安全 https REST 点时，出现以下异常。

2017-10-27 08:26:08.499 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.c.ssl.SSLConnectionSocketFactory   : Secure session established2017-10-27 08:26:08.500 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.c.ssl.SSLConnectionSocketFactory   :  negotiated protocol: TLSv1.22017-10-27 08:26:08.500 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.c.ssl.SSLConnectionSocketFactory   :  negotiated cipher suite: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA2562017-10-27 08:26:08.501 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.c.ssl.SSLConnectionSocketFactory   :  peer principal: CN=10.xxx.xx.xx, OU=xxx, O=xxx, L=xxx, ST=xx, C=xx2017-10-27 08:26:08.502 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.c.ssl.SSLConnectionSocketFactory   :  issuer principal: CN=10.xxx.xx.xx, OU=xxx, O=xxx, L=xxx, ST=xx, C=xx2017-10-27 08:26:08.516 DEBUG 15708 --- [http-nio-9092-exec-1] o.a.h.conn.ssl.DefaultHostnameVerifier   : Certificate for  doesn't match common name of the certificate subject: 10.xxx.xx.xxjavax.net.ssl.SSLPeerUnverifiedException: Certificate for  doesn't match common name of the certificate subject    at org.apache.http.conn.ssl.DefaultHostnameVerifier.matchCN(DefaultHostnameVerifier.java:186)    at org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:133)    at org.apache.http.conn.ssl.DefaultHostnameVerifier.verify(DefaultHostnameVerifier.java:99)    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.verifyHostname(SSLConnectionSocketFactory.java:463)    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.createLayeredSocket(SSLConnectionSocketFactory.java:397)    at org.apache.http.conn.ssl.SSLConnectionSocketFactory.connectSocket(SSLConnectionSocketFactory.java:355)    at org.apache.http.impl.conn.DefaultHttpClientConnectionOperator.connect(DefaultHttpClientConnectionOperator.java:142)    at org.apache.http.impl.conn.PoolingHttpClientConnectionManager.connect(PoolingHttpClientConnectionManager.java:359)    at org.apache.http.impl.execchain.MainClientExec.establishRoute(MainClientExec.java:381)    at org.apache.http.impl.execchain.MainClientExec.execute(MainClientExec.java:237)    at org.apache.http.impl.execchain.ProtocolExec.execute(ProtocolExec.java:185)    at org.apache.http.impl.execchain.RetryExec.execute(RetryExec.java:89)    at org.apache.http.impl.execchain.RedirectExec.execute(RedirectExec.java:111)    at org.apache.http.impl.client.InternalHttpClient.doExecute(InternalHttpClient.java:185)    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:83)    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:108)    at org.apache.http.impl.client.CloseableHttpClient.execute(CloseableHttpClient.java:56)    at org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:94)    at org.springframework.cloud.netflix.ribbon.apache.RibbonLoadBalancingHttpClient.execute(RibbonLoadBalancingHttpClient.java:43)    at com.netflix.client.AbstractLoadBalancerAwareClient$1.call(AbstractLoadBalancerAwareClient.java:109)    at com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:303)    at com.netflix.loadbalancer.reactive.LoadBalancerCommand$3$1.call(LoadBalancerCommand.java:287)    at rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:231)    at rx.internal.util.ScalarSynchronousObservable$3.call(ScalarSynchronousObservable.java:228)    at rx.Observable.unsafeSubscribe(Observable.java:10211)    at rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.drain(OnSubscribeConcatMap.java:286)    at rx.internal.operators.OnSubscribeConcatMap$ConcatMapSubscriber.onNext(OnSubscribeConcatMap.java:144)    at com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:185)    at com.netflix.loadbalancer.reactive.LoadBalancerCommand$1.call(LoadBalancerCommand.java:180)...

服务通过 POST 请求向 eureka 注册。请查找以下示例 POST 请求。

    spring:      application:        name: gateway     server:      port: 9092      ssl:            enabled: true        clientAuth: want        key-store: classpath:keystore.jks        key-store-password: password        key-password: password           key-alias: xxxx    eureka:      instance:        nonSecurePortEnabled: false        securePortEnabled: true      client:        serviceUrl:          defaultZone: ${EUREKA_URI:http://localhost:8761/eureka}        registry-fetch-interval-seconds: 15        register-with-eureka: true        fetch-registry: true        heartbeat-executor-thread-pool-size: 5        eureka-service-url-poll-interval-seconds: 10    zuul:      prefix: /tree      routes:        serv:          path: /cxf/**          strip-prefix: false          serviceId: serv    ribbon:      IsSecure: true      IsHostnameValidationRequired: false

服务通过 POST 请求向 eureka 注册。请查找以下示例 POST 请求。

    {    "instance": {        "hostName": "xxx",        "app": "appname",        "vipAddress": "appname",        "secureVipAddress": "appname",        "ipAddr": "10.xxx.xx.xxx",        "status": "UP",        "port": {"$": "8181", "@enabled": "true"},        "securePort": {"$": "8443", "@enabled": "true"},        "healthCheckUrl": "http://localhost:8000/cat",        "statusPageUrl": "http://localhost:8000/cat",        "homePageUrl": "http://localhost:8000/cat",        "dataCenterInfo": {            "@class": "com.netflix.appinfo.InstanceInfo$DefaultDataCenterInfo",             "name": "MyOwn"        }    }

如果我将serviceId替换为上面zuul配置中相应的url，它就可以正常工作。

keystore.jks 已位于 src/main/resources 下。此外，还将 keystore 条目导入到 $JDK_HOME/jre/lib/security/cacerts 下的证书中。我们还缺少其他配置吗？

注意: REST 端点是 OSGI 服务。 Spring 启动版本:v1.5.7.RELEASE我们使用嵌入式tomcat。

最佳答案

出现上述问题的原因是证书不包含“SubjectAlternativeName”字段。使用字段“SubjectAlternativeName”创建证书后，该字段又包含 CN(通用名称)和 IP 详细信息，问题得到解决。我们还需要生成信任库。

对于正在寻找解决方案的人，希望以下步骤可能有所帮助。

<强>1。生成服务器 key 和自签名服务器证书keytool -genkey -alias serverkey -keyalg RSA -storetype PKCS12 -keystore serverkeystore.p12 -ext SAN=dns:abc.com,dns:localhost,ip:127.0.0.1

<强>2。生成客户端 key 和自签名客户端证书keytool -genkey -alias clientkey -keyalg RSA -storetype PKCS12 -keystore clientkeystore.p12 -ext SAN=dns:def.com,dns:localhost,ip:127.0.0.1

<强>3。导出服务器证书keytool -export -alias serverkey -file servercert.cer -keystore serverkeystore.p12

<强>4。导出客户端证书keytool -export -alias clientkey -file clientcert.cer -keystore clientkeystore.p12

<强>5。将证书导入 $JAVA_HOME/jre/lib/securitysudo keytool -import -trustcacerts -alias localhost -file localhost.crt -keystore $JAVA_HOME/jre/lib/security/cacerts

网关的application.yml:

spring:
  application:
    name: gateway
server:
  port: 8443
  ssl:
    enabled: true
    key-store: classpath:serverkeystore.p12
    key-store-password: server
    key-alias: serverkey
eureka:
  instance:
    securePort: ${server.port}
    nonSecurePortEnabled: false
    securePortEnabled: true
    leaseRenewalIntervalInSeconds: 7
    leaseExpirationDurationInSeconds: 9
  client:
    serviceUrl:
      defaultZone: ${EUREKA_URI:http://localhost.com:8761/eureka/}
    registry-fetch-interval-seconds: 5
    register-with-eureka: true
    fetch-registry: true
    heartbeat-executor-thread-pool-size: 5
    eureka-service-url-poll-interval-seconds: 10
zuul:
  prefix: /service
  routes:
    producer:
      path: /employee/**
      strip-prefix: false
      serviceId: producer
ribbon:
  IsSecure: true
logging:
 file: logs/gateway.log
 level.root: INFO
 level.com.fujitsu.fnc.sdnfw.msvc: DEBUG

关于rest - SSLPeerUnverifiedException - <> 的证书与证书主体的通用名称不匹配，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/46975707/

文章推荐： python-3.x - 获得虚拟对象后重新排列列

文章推荐： typescript - D3 TypeScript 将元素设置为路径元素的属性

文章推荐： vhdl - SystemVerilog 相当于 VHDL 记录端口

c++ - 如何将字符串数组的值分配给 "Name"+ #，例如。名称 1、名称 2、名称 3 等。C++
我正在尝试做这样的事情:Name[i] = "Name"+ (i+1) 在 forloop 中，这样数组的值将是:Name[0] = Name1，Name[1] = Name2，Name[2] = N
javascript - 如何从Javascript或JQuery获取Grails中的 Action 名称(或 View 名称)
我读了here，在GSP中我们可以这样写: ${params.action} 从GSP中，我们可以使用${params.action}作为参数调用Javascript函数(请参阅here)。是否有其
java - 如何解析名称=值^^名称=值^^名称=值
我的问题:非常具体。我正在尝试想出解析以下文本的最简单方法: ^^domain=domain_value^^version=version_value^^account_type=account_ty
cakephp 路由修改 Controller 名称/获取 Controller 名称
我创建了一条与此类似的路线: Router::connect("/backend/:controller/:action/*"); 现在我想将符合此模式的每个 Controller 路由重命名为类似
sql - 警告 SQL71502 - 过程 <名称> 具有对对象 <名称> 的未解析引用
我在 Visual Studio 2013 项目中收到以下警告: SQL71502 - Procedure has an unresolved reference to object 最佳答案这可以
c# - 名称/值 .NET 集合或 .NET 名称/值字典？
任何人都可以指导我使用名称/值 .NET 集合或 .NET 名称/值字典以获得最佳性能吗？请问最好的方法是什么？我的应用程序是 ASP.NET、WCF/WF Web 应用程序。每个集合应该有 10 到
php - Zend Framework 2中如何获取 Controller 名称、 Action 名称
我在 Zend Framework 2 中有一个默认模块: namespace Application\Controller; use Zend\Mvc\Controller\AbstractActi
javascript - 在 javascript 中，这是一个有效的结构吗？ : document. 名称.名称.值？
这是表格: 关于javascript - 在 javascript 中，这是一个有效的结构吗？ : document. 名称.名称.值？，我们在Stack Overflow上找到一个类似的
asp.net-mvc - 给定 htmlHelper + Action 名称，如何找出 Controller 名称？
HtmlHelper.ActionLink(htmlhelper,string linktext,string action) 如何找出正确的路线？如果我有这个=> HtmlHelper.Actio
javascript - Angular Directive(指令) > 动态 Controller 名称 > 插值 Controller 名称
我需要一些有关如何将 Controller 定义传递给嵌套在 outer 指令中的 inner 指令的帮助。请参阅http://plnkr.co/edit/Om2vKdvEty9euGXJ5qan一个
algorithm - 排行榜的高效数据结构，即记录列表(名称、积分) - 高效搜索(名称)、搜索(排名)和更新(积分)
请提出一个数据结构来表示内存中的记录列表。每条记录由以下部分组成: 用户名积分排名(基于积分)- 可选字段- 可以存储在记录中或可以动态计算数据结构应该支持高效实现以下操作: Insert(re
apache-spark - Spark : Union can only be performed on tables with the compatible column types. 结构<名称，ID> != 结构
错误 : 联合只能在具有兼容列类型的表上执行。结构(层:字符串，skyward_number:字符串，skyward_points:字符串)<> 结构(skyward_number:字符串，层:字符
scala - 名称/惰性函数的重复参数
我想要一个包含可变数量函数的函数，但我希望在实际使用它们之前不要对它们求值。我可以使用 () => type 语法，但我更愿意使用 => type 语法，因为它似乎是为延迟评估而定制的。当我尝试这样
当前本地键盘映射的 Emacs 名称？
我正在编写一个 elisp 函数，它将给定键永久绑定(bind)到当前主要模式的键盘映射中的给定命令。例如， (define-key python-mode-map [C-f1] 'pytho
r - “名称”属性的长度必须与向量的长度相同
卡在R中的错误上。 Error in names(x) <- value : 'names' attribute must be the same length as the ve
python - 正则表达式从字符串中提取用户名/名称
我有字符串，其中包含名称，有时在字符串中包含用户名，后跟日期时间戳: GN1RLWFH0546-2020-04-10-18-09-52-563945.txt JOHN-DOE-2020-04-10-1
c# - 名称 `Array'在当前上下文中不存在
有人知道为什么我会收到此错误吗？这显示将我的项目升级到新版本的Unity3d之后。 Error CS0103: The name `Array' does not exist in the curre
Delphi:从数据集中读取列数+名称？
由于 Embarcadero 的 NNTP 服务器从昨天开始就停止响应，我想我可以在这里问:我使用非数据库感知网格，我需要循环遍历数据集以提取列数、它们的名称、数量行数以及每行中每个字段的值。我知道
android - 在根项目的gradle子项目中设置Android版本代码/名称
在构建Android应用程序的子项目中，我试图根据根build.gradle中的变量设置版本代码/名称。子项目build.gradle: apply plugin: 'com.android.app
javascript - 如何在不使用硬编码字符串的情况下传递javascript属性(名称)？
示例用例: 我有一个带有属性“myProperty”的对象，具有 getter 和 setter(自 EcmaScript 5 起支持“Property Getters 和 Setters”:http

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

rest - SSLPeerUnverifiedException - <> 的证书与证书主体的通用名称不匹配