Почему я получаю «Не найдено совпадение имен» CertificateException?

Question

Насколько я понимаю, в большинстве случаев это исключение указывает, что владелец сертификата CN (общее имя) не совпадает с именем хоста в URL-адресе. Однако в моем случае они совпадают, но исключение до сих пор вызывает ..

удаленный сертификат иерархия сервера:

1. самозаверенный сертификат с CN=sms.main.ru
2. сертификат, подписанный с первым и CN=client.sms.main.ru

Мой Java-клиент запускается под Apache-Tomcat 6 и пытается подключиться к https://client.sms.main.ru/ и следующее исключение:

No name matching client.sms.main.ru found 

Оба сертификата добавляются в $JAVA_HOME/jre/lib/security/cacerts с помощью $JAVA_HOME/bin/keytool, как показано на How do you configure Apache/Tomcat to trust internal Certificate Authorities for server-to-server https requests в ответ по unixtippse.

Java-код довольно тривиальна:

URL url = new URL(strurl); 
HttpURLConnection con = (HttpURLConnection) url.openConnection(); 
con.setRequestMethod("GET"); 
con.setRequestProperty("Connection", "close"); 
con.setDoOutput(true); 
con.connect(); 

Что мне не хватает?

---

Интересно то, что когда я пытаюсь открыть URL с помощью браузера на ПК с Windows, это говорит о том, что сертификат не является доверенным, я добавляю его в список исключений браузера и она отлично работает. Похоже, что я добавил эти сертификаты в cacerts неправильно, так что java не может их использовать. Но я могу легко найти их по псевдониму или CN с:

$JAVA_HOME/bin/keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts | less 

Answer 1

В конце концов все, что я должен был сделать:

1. Отключить имя хоста проверка:

   // Create all-trusting host name verifier 
   HostnameVerifier allHostsValid = new HostnameVerifier() { 
       public boolean verify(String hostname, SSLSession session) { 
        return true; 
       } 
   }; 
   // Install the all-trusting host verifier 
   HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid); 
   

2. Убедитесь, что файл по умолчанию cacerts используется, так как при исследовании I tri ed для отключения проверки сертификата ssl и используемого кода, который можно найти в большом количестве потоков на SO (реализующий собственный X509TrustManager), то есть в Java: Overriding function to disable SSL certificate check. Этот код заменил по умолчанию SSLSocketFactory, который мне нужен. Поэтому мне пришлось удалить все эти вещи и использовать только код, запрещающий проверку имени хоста.

Я оставил HttpURLConnection. Не нужно заменять его HttpsURLConnection.

Определенно было бы намного лучше, если бы мне удавалось также отключить проверку имени хоста, но я не мог. Возможно, что-то не так с сертификатами ..

Answer 2

Используйте HttpsURLConnection и SSLSocketFactory для выполнения SSL рукопожатия.

Answer 3

Это раньше, как я доверилась самоподписывающиеся сертификаты на коте

static private SSLSocketFactory newSslSocketFactory(String jksFile, char[] password) { 

    try { 
     KeyStore trusted = KeyStore.getInstance("JKS"); 
     InputStream in = StaticHttpsClient.class.getClassLoader().getResourceAsStream(jksFile); 
     try { 
      trusted.load(in, password); 
     } finally { 
      in.close(); 
     } 

     SSLSocketFactory socketFactory = new SSLSocketFactory(trusted); 
     HostnameVerifier hostnameVerifier = org.apache.http.conn.ssl.SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER; 
     socketFactory .setHostnameVerifier((X509HostnameVerifier) hostnameVerifier); 
     return socketFactory; 
    } catch (Exception e) { 
     throw new AssertionError(e); 
    } 
} 

static protected ClientConnectionManager createClientConnectionManager(String jksFile, char[] password) { 
    SchemeRegistry registry = new SchemeRegistry(); 

    registry.register(new Scheme("http", 80, PlainSocketFactory.getSocketFactory())); 
    registry.register(new Scheme("https", 443, newSslSocketFactory(jksFile, password))); 
    return new SingleClientConnManager(registry); 

}