客户端访问https站点(自定义证书)

最新推荐文章于 2025-07-22 11:02:54 发布
原创 最新推荐文章于 2025-07-22 11:02:54 发布 · 5.8k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #glassfish #tomcat #java #url

本文介绍了客户端通过HTTPS访问使用自定义证书的服务器的两种方法:一是将服务器证书导入JDK的安全证书库,二是程序中手动加载证书。在Java客户端访问时可能会遇到证书异常,解决的关键在于证书的CN需与服务器域名一致。

客户端访问服务器端的几种方式(Https)

按照 Glassfish4.1和Tomcat配置Https访问 设置好服务器端的https访问后,客户端可通过以下几种方式访问服务器端。

  • 浏览器方式
    用户在浏览器中输入相应url后,浏览器会弹出警告(由于使用了未认证的自定义证书),此时确认安全例外就可继续访问。

  • 终端方式
    用户使用linux命令curl https://test.com连接服务器,此时同样因为证书未被认证而会出现如下错误。

    curl: (60) Issuer certificate is invalid.
More details here: http://curl.haxx.se/docs/sslcerts.html

curl performs SSL certificate verification by default, using a "bundle"
 of Certificate Authority (CA) public keys (CA certs). If the default
 bundle file isn't adequate, you can specify an alternate file
 using the --cacert option.
If this HTTPS server uses a certificate signed by a CA represented in
 the bundle, the certificate verification probably failed due to a
 problem with the certificate (it might be expired, or the name might
 not match the domain name in the URL).
If you'd like to turn off curl's verification of the certificate, use
 the -k (or --insecure) option.

    根据错误提示,有两种解决方案:

    • 添加参数“-k”关闭证书检查
    • 添加参数“–cacert cert_location”来指明证书位置,”cert_location“是从浏览器导出的该网站证书的位置。

  • java 程序
    在java client程序中访问服务器时会抛出如下异常,解决方法见下一小节。

    javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building 
failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

java client 访问服务器端(Https)

java程序通过Https访问服务器端,通常会抛出异常,解决方法有以下两种。

1. 方式一

将服务器端的证书导入到“${JAVA_HOME}/jre/lib/security/cacerts”。其中,服务器端的证书可以通过浏览器导出,也可登录到服务器端获取。之后,在客户端执行如下命令

sudo keytool -list -alias ${alias} -keystore cacerts # 查看旧的证书(若导入过)

sudo keytool -delete -alias ${alias} -keystore cacerts # 删除旧的证书(若导入过)

sudo keytool -import -alias ${alias} -keystore ${JAVA_HOME}/jre/lib/security/cacerts -file ${path-to-certificate-file}

alias {JAVA_HOME} 是自己的java安装目录,
${path-to-certificate-file} 是从浏览器端导出的证书。

2. 方式二

方式一的原理是将所需证书存到jdk中安全证书的默认位置,同样,我们可以在程序中将证书手动加载进来,这就是方式二,见参考文章2的“方法2”或者参考文章3。

特别注意:在创建证书时,“CN”需设置成自己的主机域名,否则即使按照以上方法设置,仍然会报异常,如下,

javax.net.ssl.SSLException: Certificate for <lyhadoop2.com> doesn't match common name of the certificate subject: sama

该异常显示,需要连接的服务器的域名为“lyhadoop2.com”,可是证书里的“common name”却为“sama”,两者不匹配!

参考文章

1.Java安全通信:HTTPS与SSL
2.Java 使用自签证书访问https站点
3.数字证书及安全加密(二)tomcat单向SSL验证及服务调用
4. Tomcat SSL配置及Tomcat CA证书安装
5.java client访问https server(客户端代码、服务器端配置)
6. java在访问https资源时,忽略证书信任问题
7.Java的HttpClient如何去支持无证书访问https

Java实现HTTPS请求及证书证书验证(附源码)
lunan的博客
04-26 2万+
Java实现HTTPS请求及证书证书验证(附源码)   先发布一个初始的版本,主要以代码为主,具体的细节将之后更新。   服务器流程环节: 1、在本机服务器上生成一个自定义证书,格式为jks格式。 2、将自定义证书添加到客户端的信任的根证书库中,Windows系统中可以直接win+R 输入mmc即可找到添加区域。(一定是添加到信任的根证书中) 3、服务器初始化创建SSLContext上下文类型,这个过程包括创建密钥管理库和信任库两部分,使用的是SUN509的套件。 4、创建一个SSLCo
HTTPS-自己生成数字证书
无风听海
11-16 4734
一、获取证书的途径 自签名证书,适用于开发者测试HTTPS,最快速的途径就是生成自签名证书,非常方便。 Let’s Encrypt证书,可以使用免费CA机构签发的证书。 使用收费CA机构签发的证书,如果对证书安全性、兼容性、功能有特殊需求,可以向CA机构申请证书。 二、自签名证书 自签名证书是我们自己签发的,浏览器不会集成私有的CA机构的根证书,所以打开页面的时候会进行提示,用户选择信任证书之后,后续的通信就会进行加密保护的。 自签名证书的用途还是很广泛的,对于一些企业内部系统,由于购买证书需要成本,可
在Android应用中使用自定义证书HTTPS连接(下)
热门推荐
猛禽的编程艺术
02-02 3万+
因为这部分才是本文的重点,要说得详细一点,所以单独做成一篇来说。
httpclient https请求,自定义证书(微信商户示例)
z69183787的专栏
02-04 3119
/* * ==================================================================== * Licensed to the Apache Software Foundation (ASF) under one * or more contributor license agreements. See the NOTICE file
https客户端证书安装及更新,脚本实现
日常工作记录,解决实际问题,不成体系。
07-22 318
目前系统之间的数据交互通过接口实现,配置的地址都是https的,SSL加密认证,增强安全感,但是如果客户端不安装证书的话就会报错,导致失败。证书过期也不知道,后期再排查安装,费时间。
curl https问题
混江龙
08-03 1808
curl https问题解决方法原因:使用curl命令访问https网站时,默认情况下,curl会执行SSL证书验证,在Linux系统下,授信的CA的公钥存放在/etc/pki/tls/certs/ca-bundle.crt中。方法1:使用-k或者是–insecure选项# curl -k https://www.felix.com方法2:使用–cacert选项,指定ca证书文件# curl --c
设置Chrome以https方式访问指定网址
大家都很努力
11-16 915
1、打开Chrome,在地址栏键入chrome://net-internals,回车 2、在HSTS选项卡下的Domain中输入你想要实现这个强制跳转的域名,如 twitter.com-->https://twitter.com 3、勾选上Include subdomains,这样可以确保指定网址的所有二级域名都被重定向到https。 4、点击Add按钮,完成。 [im...
HttpClient 中自定义SSL
iteye_5555的博客
02-25 228
当下面两种情况的SSL,用HttpClient建立连接时,需要使用自定义SSL:   Ability to accept self-signed or untrusted SSL certificates. This is highlighted by an SSLException with the message Unrecognized SSL han...
Web安全之HTTPS调用详解和证书说明案例示范
J老熊
09-10 1654
随着互联网的高速发展,网络安全成为了一个不可忽视的话题,特别是在涉及用户敏感信息的业务系统中。在此背景下,使用HTTPS取代HTTP成为了大势所趋。本文将以电商交易系统为例,详细介绍HTTPS的重要性,并探讨如何通过HTTPS来提升网站的安全性。
基于HttpClient 4.3的可访问自签名HTTPS站点的新版工具类
01-16
总结,HttpClient 4.3提供了处理自签名HTTPS站点的能力,通过自定义SSLContext和TrustManager,我们可以创建一个信任所有证书的HttpClient。这个工具类的实现简化了这个过程,使得在开发和测试环境中与自签名HTTPS...
HTTPSHTTPS证书
qq_35789269的博客
05-16 3873
HTTPS协议 超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种网络安全传输协议。具体介绍以前先来介绍一下以前常见的HTTP,HTTP就是我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未加密的,也就是明文,因此使用HTTP协议传输隐私信息非常不安全。HTTP使用80端口通讯,而HTTPS占用443端口通讯。在计算机网络上,HTTPS
java实现读取证书访问https接口
07-11
java实现读取证书访问https接口java实现读取证书访问https接口
https证书配置
Zhooson的博客
08-03 600
阿里云https证书购买(免费)https://common-buy.aliyun.com/?spm=5176.15089375.5806769250.1.4a651232MnYJAw&commodityCode=cas#/buy 后面按照步骤的一步一步的购买即可。到 【SSL 证书(应用安全)】检查。 验证完后,提交审核,稍等几分钟即可。 审核通过后,下载文件。 根据自己需求下载校验文件。 登录ssh,我用的是阿里云centos 7 版本。先找到 ngxin.conf 在哪里? 将刚
HttpClient实现HTTPS客户端编程---可信证书与自签名证书
崔向阳@李晓的博客
08-21 4476
问题描述:使用HttpClient请求https连接(连接不是被信任的,自签名证书),报如下错误: 访问代码如下: public class TestHttps12306 { public static String getHtmlStringFromHttp(String url) { String str = ""; HttpClient httpclient = new ...
为网站配置SSL
techdashen的博客
10-16 936
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS 在HTTP 的基础下加入SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间),这个系统提供了身份验证与加密通讯方法。Nginx强制跳转Https
https调用,导入客户端证书
out_of_it_farmer的博客
09-22 311
jdk导入https证书
https 证书导入
huasheng_007的专栏
06-13 1969
 使用过EXCHANGE服务器的人都会知道,采用OUTLOOK客户端连接到Exchange服务器(MAPI方式),会有很多除邮件以外的功能,比如说日历,公共文件夹等,现在由于多数公司的结构都是总部和分支机构为不在同一个LAN内,这就导致了远程用户不能访问邮件服务器服务器,您也许会说,我可以把EXCHANGE的POP3以及HTTP方式启用,远程用户用户就可以使用这两种方式进行信箱的登录了,但是,
客户端访问https站点自定义证书)--续
ASIN的专栏
06-05 728
续之前的博文–客户端访问https站点自定义证书)。上述博文中,将客户端访问Https Server分为了三种方式: 浏览器方式 终端方式 java 程序 但除此之外,还有一种特殊的方式是Client端是一个用Glassfish部署的应用,这种情况下不仅需要将Server的证书导入到JDK中,还需将该证书导入到Glassfish安装目录下的config/cacerts.jks文件中。实际上,在
ssl https 证书导入
痴迷无限好
07-17 1092
1、增加获取https证书,并导入本地%JAVA_HOME%/lib/security/cacerts 或者 %JAVA_HOME%\jdk1.7.0_21\jre\lib\security 2、获取证书直接用浏览器里面取 3、通过keytool导入(下面三个仅供参考): keytool -import -alias cacerts -keystore cacerts -file 3...
如何为Selenium配置自定义CA证书
最新发布
08-30
我们被要求为Selenium配置自定义CA证书,根据用户提供的引用[1][2][3]中的信息,我们可以总结出以下步骤: 引用[1]提到,浏览器在接收到...4. 对于HTTPS拦截工具(如mitmproxy),需确保其CA证书客户端信任[^2]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值