在调用服务端接口时出现如下异常 unable to find valid certification path to request target,从异常信息中可以看到错误是因为找不到证书导致的。解决方案有两个:
- 正常的方案:当然是找到证书并安装证书。
- 暴力的方案:取消证书认证,信任所有请求链接。
第一种方案呢,要先获取服务端证书,然后安装到本地 jdk 的证书库。我们使用 openssl 来获取证书信息,这里我写成了一个 shell 脚本,方便使用。
get_certs_by_domain_port.sh
#!bin/bash
#服务端地址
host=$1
#端口
port=$2
#证书名称
certName=$3
#获取证书
echo "Q"|openssl s_client -connect ${host}:${port} -servername ${host} -showcerts | openssl x509 -outform pem > ${certName}.crt
如果需要循环获取多个证书可以用下面的脚本
#设置域名列表
hosts=(www.baidu.com www.csdn.net www.cnblogs.com)
#设置端口,HTTPS默认端口为443
port=443
#循环获取证书
for host in ${hosts[@]};do
echo "Q"|openssl s_client -connect ${host}:${port} -servername ${host} -showcerts|openssl x509 -outform pem > ${host}.crt
done
执行 sh get_certs_by_domain_port.sh www.baidu.com 443 baidu 即可在当前目录下生成名称为 baidu.crt 的证书。
使用下面的脚本,将获取到的证书导入到 jdk 证书库。
import_jdk_certs.sh
#!/bin/bash
#将证书导入到jdk证书库
#证书别名
alias=$1
#证书文件名
fileName=$2
keytool -import -v -trustcacerts -alias ${alias} -file ${fileName} -storepass changeit -keystore ${JAVA_HOME}/jre/lib/security/cacerts
执行 sh import_jdk_certs.sh baidu baidu.crt 即可将证书导入到 jdk 证书库(需要使用 root 用户,否则会没有权限)。
使用下面的脚本可以查看已经添加到 jdk 证书库里的证书信息,如果输出为空则代表没有找到证书。
cat_jdk_certs.sh
#!/bin/bash
certName=$1
keytool -list -keystore "${JAVA_HOME}/jre/lib/security/cacerts" -storepass changeit |grep ${certName}
执行 sh cat_jdk_certs.sh baidu 查看。
第二种方案:取消证书认证,信任所有请求链接。
/**
* 获取 HttpClient
*
* @param host
* @param path
* @return
* @author 李振华
*/
private static CloseableHttpClient wrapClient(String host, String path) {
CloseableHttpClient httpClient = HttpClientBuilder.create().build();
if (host != null && host.startsWith("https://")) {
return sslClient();
} else if (StringUtil.isBlank(host) && path != null && path.startsWith("https://")) {
return sslClient();
}
return httpClient;
}
/**
* 在调用SSL之前需要重写验证方法,取消检测SSL 创建ConnectionManager,添加Connection配置信息
*
* @return HttpClient 支持https
* @author 李振华
*/
private static CloseableHttpClient sslClient() {
try {
// 在调用SSL之前需要重写验证方法,取消检测SSL
AppLogger.debug("在调用SSL之前需要重写验证方法,取消检测SSL");
X509TrustManager trustManager = new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
}
@Override
public void checkServerTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
};
SSLContext ctx = SSLContext.getInstance(SSLConnectionSocketFactory.TLS);
ctx.init(null, new TrustManager[] { trustManager }, null);
SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory(ctx,
NoopHostnameVerifier.INSTANCE);
// 创建Registry
RequestConfig requestConfig = RequestConfig.custom().setCookieSpec(CookieSpecs.STANDARD_STRICT)
.setExpectContinueEnabled(Boolean.TRUE)
.setTargetPreferredAuthSchemes(Arrays.asList(AuthSchemes.NTLM, AuthSchemes.DIGEST))
.setProxyPreferredAuthSchemes(Arrays.asList(AuthSchemes.BASIC)).build();
Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()
.register("http", PlainConnectionSocketFactory.INSTANCE).register("https", socketFactory).build();
// 创建ConnectionManager,添加Connection配置信息
PoolingHttpClientConnectionManager connectionManager = new PoolingHttpClientConnectionManager(
socketFactoryRegistry);
CloseableHttpClient closeableHttpClient = HttpClients.custom().setConnectionManager(connectionManager)
.setDefaultRequestConfig(requestConfig).build();
return closeableHttpClient;
} catch (KeyManagementException ex) {
throw new RuntimeException(ex);
} catch (NoSuchAlgorithmException ex) {
throw new RuntimeException(ex);
}
}
欢迎来到这里!
我们正在构建一个小众社区,大家在这里相互信任,以平等 • 自由 • 奔放的价值观进行分享交流。最终,希望大家能够找到与自己志同道合的伙伴,共同成长。
注册 关于