你的位置:首页 > Java教程

[Java教程]关于JRE 1.6 HTTPS请求出错的问题


最近在用java请求内部的一个HTTP接口,URL是HTTPS加密形式的,大致的代码是这样的:

 1 public String sendGet(String url) { 2     String result = ""; 3     BufferedReader in = null; 4     try { 5       String urlNameString = url ; 6       URL realUrl = new URL(urlNameString); 7       // 打开和URL之间的连接 8       URLConnection connection = realUrl.openConnection(); 9       // 设置通用的请求属性 10       connection.setRequestProperty("accept", "*/*"); 11       connection.setRequestProperty("connection", "Keep-Alive"); 12       connection.setRequestProperty("user-agent", 13           "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)"); 14       // 建立实际的连接 15       connection.connect(); 16  17       // 定义 BufferedReader输入流来读取URL的响应 18       in = new BufferedReader(new InputStreamReader( 19           connection.getInputStream(),"utf-8")); 20       String line; 21       while ((line = in.readLine()) != null) { 22         result += line; 23       } 24     } catch (Exception e) { 25  26       e.printStackTrace(); 27     } 28     // 使用finally块来关闭输入流 29     finally { 30       try { 31         if (in != null) { 32           in.close(); 33         } 34       } catch (Exception e2) { 35         e2.printStackTrace(); 36       } 37     } 38     return result; 39   }

从tomcat的日志来看,抛出的异常如下:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

从谷歌的一些搜索来看,基本都建议使用keytool导入CA证书,例如:

Resolving javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed Error?

发现这种方法并没有解决我的问题,而且HTTPS URL对应的证书是从GoDaddy购买的正规证书,应该不存在JRE不信任的问题。

直到搜索到这篇文章:解决PKIX:unable to find valid certification path to requested target 的问题

虽然方法大同小异,但通过执行编译后的文件发现:并不是服务器真实的证书啊!

image

域名、证书都不是,第一反应:我的服务器被黑啦?赶紧Wireshark抓包,结果证明确实是服务器返回的证书,这就更奇怪了

由于HTTPS的接口是部署在CDN上的,所以赶紧联系CDN厂商反馈问题,CDN厂商那边反复确认他们那边没有问题,一切正常。

又开始怀疑自己是否遭到了SSL中间人攻击,反复确认没有问题。在排查的过程中发现两个现象:

1、上图中的域名对应的IP就是我们CDN厂商的IP,也就是说 和我们使用同一家CDN,浏览器打开他们的网站,证书也完全吻合。

2、在一台WIN 2003上分别用FF和IE 7访问HTTPS接口站点,FF的证书是正常的,IE7的证书和上图中的是一致(即:错误的证书)。

基本可以判断要么CDN那边返回错了,要么客户端请求的时候有什么东西发错了。突然想到虚拟主机(一个IP同一个端口部署多个站点)的原理,就是根据HTTP HEADER中HOST参数来区分。那SSL怎么实现不同的域名返回不同的证书呢?

直到发现了一个叫SNI(Server Name Indication)的概念,主要的作用是允许在相同的IP地址和TCP端口号的服务器上使用多个证书,而不必所有网站都使用同一个证书。在概念上等同于HTTP/1.1基于域名的虚拟主机,只不过这是在HTTPS上实现的。

更重要的是JRE从1.7版本才开始支持SNI,而我tomcat服务器上的JRE为1.6版本,不支持SNI。原因找到了,果断升级到最新的1.8版本,重启tomcat,问题立马解决~