Ignorowanie certyfikatu SSL w Apache HttpClient 4.3

Question 1

Jak zignorować certyfikat SSL (zaufać wszystkim) dla Apache HttpClient 4.3 ?

Wszystkie odpowiedzi, które znalazłem na SO dotyczą poprzednich wersji, a API się zmieniło.

Związane z:

Edytować:

Służy tylko do celów testowych. Dzieci, nie próbujcie tego w domu (ani w produkcji)

Question 2

Poniższy kod działa, aby ufać certyfikatom z podpisem własnym. Podczas tworzenia klienta musisz użyć TrustSelfSignedStrategy :

SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        builder.build());
CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
        sslsf).build();

HttpGet httpGet = new HttpGet("https://some-server");
CloseableHttpResponse response = httpclient.execute(httpGet);
try {
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
} finally {
    response.close();
}

Celowo nie uwzględniłem SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER: Chodziło o to, aby umożliwić testowanie z samopodpisanymi certyfikatami, aby nie trzeba było uzyskiwać odpowiedniego certyfikatu od urzędu certyfikacji. Możesz łatwo utworzyć certyfikat z podpisem własnym z poprawną nazwą hosta, więc zrób to zamiast dodawać SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIERflagę.

Question 3

Jeśli używasz procedury PoolingHttpClientConnectionManager powyżej nie działa, niestandardowy SSLContext jest ignorowany. Podczas tworzenia PoolingHttpClientConnectionManager musisz przekazać socketFactoryRegistry w contructor.

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslContext, new X509HostnameVerifier() {
            @Override
            public void verify(String host, SSLSocket ssl)
                    throws IOException {
            }

            @Override
            public void verify(String host, X509Certificate cert)
                    throws SSLException {
            }

            @Override
            public void verify(String host, String[] cns,
                    String[] subjectAlts) throws SSLException {
            }

            @Override
            public boolean verify(String s, SSLSession sslSession) {
                return true;
            }
        });

Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder
        .<ConnectionSocketFactory> create().register("https", sslsf)
        .build();

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(
        socketFactoryRegistry);
CloseableHttpClient httpclient = HttpClients.custom()
        .setConnectionManager(cm).build();

Question 4

Jako dodatek do odpowiedzi @mavroprovato, jeśli chcesz ufać wszystkim certyfikatom zamiast tylko samopodpisywanym, zrób to (w stylu swojego kodu)

builder.loadTrustMaterial(null, new TrustStrategy(){
    public boolean isTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        return true;
    }
});

lub (bezpośrednie kopiowanie i wklejanie z mojego własnego kodu):

import javax.net.ssl.SSLContext;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.ssl.SSLContexts;

// ...

        SSLContext sslContext = SSLContexts
                .custom()
                //FIXME to contain real trust store
                .loadTrustMaterial(new TrustStrategy() {
                    @Override
                    public boolean isTrusted(X509Certificate[] chain,
                        String authType) throws CertificateException {
                        return true;
                    }
                })
                .build();

A jeśli chcesz również pominąć weryfikację nazwy hosta, musisz ustawić

    CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
            sslsf).setSSLHostnameVerifier( NoopHostnameVerifier.INSTANCE).build();

także. (ALLOW_ALL_HOSTNAME_VERIFIER jest przestarzały).

Obowiązkowe ostrzeżenie: naprawdę nie powinieneś tego robić, akceptowanie wszystkich certyfikatów jest złą rzeczą. Istnieją jednak rzadkie przypadki użycia, w których chcesz to zrobić.

Jako uwaga do podanego wcześniej kodu, będziesz chciał zamknąć odpowiedź, nawet jeśli httpclient.execute () zgłosi wyjątek

CloseableHttpResponse response = null;
try {
    response = httpclient.execute(httpGet);
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
}
finally {
    if (response != null) {
        response.close();
    }
}

Powyższy kod został przetestowany przy użyciu

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.3</version>
</dependency>

A dla zainteresowanych mój pełny zestaw testowy:

import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.TrustSelfSignedStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.util.EntityUtils;
import org.junit.Test;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLHandshakeException;
import javax.net.ssl.SSLPeerUnverifiedException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class TrustAllCertificatesTest {
    final String expiredCertSite = "https://expired.badssl.com/";
    final String selfSignedCertSite = "https://self-signed.badssl.com/";
    final String wrongHostCertSite = "https://wrong.host.badssl.com/";

    static final TrustStrategy trustSelfSignedStrategy = new TrustSelfSignedStrategy();
    static final TrustStrategy trustAllStrategy = new TrustStrategy(){
        public boolean isTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            return true;
        }
    };

    @Test
    public void testSelfSignedOnSelfSignedUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLHandshakeException.class)
    public void testExpiredOnSelfSignedUsingCode() throws Exception {
        doGet(expiredCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnSelfSignedUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustSelfSignedStrategy);
    }

    @Test
    public void testSelfSignedOnTrustAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy);
    }
    @Test
    public void testExpiredOnTrustAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnTrustAllUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustAllStrategy);
    }

    @Test
    public void testSelfSignedOnAllowAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testExpiredOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testWrongHostOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }

    public void doGet(String url, TrustStrategy trustStrategy, HostnameVerifier hostnameVerifier) throws Exception {
        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).setSSLHostnameVerifier(hostnameVerifier).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
    public void doGet(String url, TrustStrategy trustStrategy) throws Exception {

        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
}

(działający projekt testowy w github )

Question 5

Jeden mały dodatek do odpowiedzi przez vasekt:

Rozwiązanie dostarczone z SocketFactoryRegistry działa podczas korzystania z PoolingHttpClientConnectionManager.

Jednak połączenia przez zwykły http nie działają już wtedy. Musisz dodatkowo dodać PlainConnectionSocketFactory dla protokołu http, aby ponownie działały:

Registry<ConnectionSocketFactory> socketFactoryRegistry = 
  RegistryBuilder.<ConnectionSocketFactory> create()
  .register("https", sslsf)
  .register("http", new PlainConnectionSocketFactory()).build();

Question 6

Po wypróbowaniu różnych opcji następująca konfiguracja działała zarówno dla protokołu http, jak i https:

SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build(), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Registry<ConnectionSocketFactory> registry = RegistryBuilder. 
                 <ConnectionSocketFactory> create()
                .register("http", new PlainConnectionSocketFactory())
                .register("https", sslsf)
                .build();

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);
cm.setMaxTotal(2000);

CloseableHttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(sslsf)
                .setConnectionManager(cm)
                .build();

Używam klienta http 4.3.3: compile 'org.apache.httpcomponents:httpclient:4.3.3'

Question 7

Prostszy i krótszy działający kod:

Używamy HTTPClient 4.3.5 i wypróbowaliśmy prawie wszystkie rozwiązania, które istnieją w przepływie stosu, ale nic. Po przemyśleniu i rozwiązaniu problemu dochodzimy do następującego kodu, który działa idealnie, po prostu dodaj go przed utworzeniem instancji HttpClient.

jakaś metoda, której używasz do wysyłania żądań pocztowych ...

SSLContextBuilder builder = new SSLContextBuilder();
    builder.loadTrustMaterial(null, new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            return true;
        }
    });

    SSLConnectionSocketFactory sslSF = new SSLConnectionSocketFactory(builder.build(),
            SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

    HttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslSF).build();
    HttpPost postRequest = new HttpPost(url);

kontynuuj wywoływanie i używanie wystąpienia HttpPost w normalnej formie

Question 8

Oto destylacja robocza powyższych technik, odpowiednik „curl --insecure”:

HttpClient getInsecureHttpClient() throws GeneralSecurityException {
    TrustStrategy trustStrategy = new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) {
            return true;
        }
    };

    HostnameVerifier hostnameVerifier = new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    };

    return HttpClients.custom()
            .setSSLSocketFactory(new SSLConnectionSocketFactory(
                    new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(),
                    hostnameVerifier))
            .build();
}

Question 9

Korzystając z klienta http 4.5 musiałem użyć javasx.net.ssl.HostnameVerifier, aby zezwolić na dowolną nazwę hosta (do celów testowych). Oto, co ostatecznie zrobiłem:

CloseableHttpClient httpClient = null;
    try {
        SSLContextBuilder sslContextBuilder = new SSLContextBuilder();
        sslContextBuilder.loadTrustMaterial(null, new TrustSelfSignedStrategy());

        HostnameVerifier hostnameVerifierAllowAll = new HostnameVerifier() 
            {
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            };

        SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), hostnameVerifierAllowAll);

        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
            new AuthScope("192.168.30.34", 8443),
            new UsernamePasswordCredentials("root", "password"));

        httpClient = HttpClients.custom()
            .setSSLSocketFactory(sslSocketFactory)
            .setDefaultCredentialsProvider(credsProvider)
            .build();

        HttpGet httpGet = new HttpGet("https://192.168.30.34:8443/axis/services/getStuff?firstResult=0&maxResults=1000");

        CloseableHttpResponse response = httpClient.execute(httpGet);

        int httpStatus = response.getStatusLine().getStatusCode();
        if (httpStatus >= 200 && httpStatus < 300) { [...]
        } else {
            throw new ClientProtocolException("Unexpected response status: " + httpStatus);
        }

    } catch (Exception ex) {
        ex.printStackTrace();
    }
    finally {
        try {
            httpClient.close();
        } catch (IOException ex) {
            logger.error("Error while closing the HTTP client: ", ex);
        }
    }

Question 10

Na szczycie PoolingHttpClientConnectionManagerwraz z Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory> create().register("https", sslFactory).build(); Jeśli chcesz asynchroniczny httpclient używając PoolingNHttpClientConnectionManagerkodu shoudl być podobny do następującego

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SchemeIOSessionStrategy sslioSessionStrategy = new SSLIOSessionStrategy(sslContext, 
                new HostnameVerifier(){
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;// TODO as of now allow all hostnames
            }
        });
Registry<SchemeIOSessionStrategy> sslioSessionRegistry = RegistryBuilder.<SchemeIOSessionStrategy>create().register("https", sslioSessionStrategy).build();
PoolingNHttpClientConnectionManager ncm  = new PoolingNHttpClientConnectionManager(new DefaultConnectingIOReactor(),sslioSessionRegistry);
CloseableHttpAsyncClient asyncHttpClient = HttpAsyncClients.custom().setConnectionManager(ncm).build();
asyncHttpClient.start();

Question 11

Jeśli używasz HttpClient 4.5.x, Twój kod może być podobny do następującego:

SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null,
        TrustSelfSignedStrategy.INSTANCE).build();
SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(
        sslContext, NoopHostnameVerifier.INSTANCE);

HttpClient httpClient = HttpClients.custom()
                                   .setDefaultCookieStore(new BasicCookieStore())
                                   .setSSLSocketFactory(sslSocketFactory)
                                   .build();

Question 12

class ApacheHttpClient {

    /***
     * This is a https get request that bypasses certificate checking and hostname verifier.
     * It uses basis authentication method.
     * It is tested with Apache httpclient-4.4.
     * It dumps the contents of a https page on the console output.
     * It is very similar to http get request, but with the additional customization of
     *   - credential provider, and
     *   - SSLConnectionSocketFactory to bypass certification checking and hostname verifier.
     * @param path String
     * @param username String
     * @param password String
     * @throws IOException
     */
    public void get(String path, String username, String password) throws IOException {
        final CloseableHttpClient httpClient = HttpClients.custom()
                .setDefaultCredentialsProvider(createCredsProvider(username, password))
                .setSSLSocketFactory(createGenerousSSLSocketFactory())
                .build();

        final CloseableHttpResponse response = httpClient.execute(new HttpGet(path));
        try {
            HttpEntity entity = response.getEntity();
            if (entity == null)
                return;
            System.out.println(EntityUtils.toString(entity));
        } finally {
            response.close();
            httpClient.close();
        }
    }

    private CredentialsProvider createCredsProvider(String username, String password) {
        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
                AuthScope.ANY,
                new UsernamePasswordCredentials(username, password));
        return credsProvider;
    }

    /***
     * 
     * @return SSLConnectionSocketFactory that bypass certificate check and bypass HostnameVerifier
     */
    private SSLConnectionSocketFactory createGenerousSSLSocketFactory() {
        SSLContext sslContext;
        try {
            sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, new TrustManager[]{createGenerousTrustManager()}, new SecureRandom());
        } catch (KeyManagementException | NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
        return new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
    }

    private X509TrustManager createGenerousTrustManager() {
        return new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
    }
}

Question 13

Ufaj wszystkim certyfikatom w kliencie HTTP Apache

TrustManager[] trustAllCerts = new TrustManager[]{
                    new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return null;
                        }
                        public void checkClientTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                        public void checkServerTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                    }
                };

          try {
                SSLContext sc = SSLContext.getInstance("SSL");
                sc.init(null, trustAllCerts, new java.security.SecureRandom());
                SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                        sc);
                httpclient = HttpClients.custom().setSSLSocketFactory(
                        sslsf).build();
                HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

Question 14

(Dodałbym komentarz bezpośrednio do odpowiedzi vasekt, ale nie mam wystarczającej liczby punktów reputacji (nie jestem pewien, jaka jest tam logika)

W każdym razie ... chciałem powiedzieć, że nawet jeśli nie tworzysz jawnie / nie pytasz o połączenie PoolingConnection, nie oznacza to, że go nie otrzymujesz.

Szalałem, próbując dowiedzieć się, dlaczego oryginalne rozwiązanie nie działa dla mnie, ale zignorowałem odpowiedź vasekt, ponieważ „nie dotyczyło mojego przypadku” - źle!

Wpatrywałem się w mój ślad stosu, gdy był nisko, a oto zobaczyłem połączenie PoolingConnection w środku. Bang - zmęczyłem się jego dodatkiem i sukcesem !! (nasze demo jest jutro i byłem zdesperowany) :-)

Question 15

Możesz użyć następującego fragmentu kodu, aby uzyskać wystąpienie HttpClient bez sprawdzania certyfikatu ssl.

private HttpClient getSSLHttpClient() throws KeyStoreException, NoSuchAlgorithmException, KeyManagementException {

        LogLoader.serverLog.trace("In getSSLHttpClient()");

        SSLContext context = SSLContext.getInstance("SSL");

        TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };

        context.init(null, new TrustManager[] { tm }, null);

        HttpClientBuilder builder = HttpClientBuilder.create();
        SSLConnectionSocketFactory sslConnectionFactory = new SSLConnectionSocketFactory(context);
        builder.setSSLSocketFactory(sslConnectionFactory);

        PlainConnectionSocketFactory plainConnectionSocketFactory = new PlainConnectionSocketFactory();
        Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
                .register("https", sslConnectionFactory).register("http", plainConnectionSocketFactory).build();

        PoolingHttpClientConnectionManager ccm = new PoolingHttpClientConnectionManager(registry);
        ccm.setMaxTotal(BaseConstant.CONNECTION_POOL_SIZE);
        ccm.setDefaultMaxPerRoute(BaseConstant.CONNECTION_POOL_SIZE);
        builder.setConnectionManager((HttpClientConnectionManager) ccm);

        builder.disableRedirectHandling();

        LogLoader.serverLog.trace("Out getSSLHttpClient()");

        return builder.build();
    }

Question 16

Drobne poprawki, aby odpowiedzieć od @divbyzero powyżej, aby naprawić ostrzeżenia dotyczące bezpieczeństwa sonaru

CloseableHttpClient getInsecureHttpClient() throws GeneralSecurityException {
            TrustStrategy trustStrategy = (chain, authType) -> true;

            HostnameVerifier hostnameVerifier = (hostname, session) -> hostname.equalsIgnoreCase(session.getPeerHost());

            return HttpClients.custom()
                    .setSSLSocketFactory(new SSLConnectionSocketFactory(new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(), hostnameVerifier))
                    .build();
        }

Question 17

Początkowo mogłem wyłączyć dla hosta lokalnego przy użyciu strategii zaufania, później dodałem NoopHostnameVerifier. Teraz będzie działać zarówno dla localhost, jak i dla dowolnej nazwy komputera

SSLContext sslContext = SSLContextBuilder.create().loadTrustMaterial(null, new TrustStrategy() {

            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                return true;
            }

        }).build();
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();

Answer 1

Jak zignorować certyfikat SSL (zaufać wszystkim) dla Apache HttpClient 4.3 ?

Wszystkie odpowiedzi, które znalazłem na SO dotyczą poprzednich wersji, a API się zmieniło.

Związane z:

Edytować:

Służy tylko do celów testowych. Dzieci, nie próbujcie tego w domu (ani w produkcji)

Answer 2

146

Poniższy kod działa, aby ufać certyfikatom z podpisem własnym. Podczas tworzenia klienta musisz użyć TrustSelfSignedStrategy :

SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        builder.build());
CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
        sslsf).build();

HttpGet httpGet = new HttpGet("https://some-server");
CloseableHttpResponse response = httpclient.execute(httpGet);
try {
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
} finally {
    response.close();
}

Celowo nie uwzględniłem SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER: Chodziło o to, aby umożliwić testowanie z samopodpisanymi certyfikatami, aby nie trzeba było uzyskiwać odpowiedniego certyfikatu od urzędu certyfikacji. Możesz łatwo utworzyć certyfikat z podpisem własnym z poprawną nazwą hosta, więc zrób to zamiast dodawać SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIERflagę.

mavroprovato
źródło

8

Musiałem dodać argument SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER do konstruktora, aby to działało z HttpClientBuilder (jak wspomniano w odpowiedzi holmis83 na vasekt).

dejuknow

zapoznaj się także z przykładem w witrynie httpclient hc.apache.org/httpcomponents-client-4.3.x/httpclient/examples/ ...

arajashe

2

Musiałem również użyć ALLOW_ALL_HOSTNAME_VERIFIER: SSLConnectionSocketFactory (builder.build (), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Wyświetlana nazwa

Ten kod działa dla mnie bez użycia przestarzałego konstruktora z argumentemSSLConnectionSocketFactory.ALLOW_‌ALL_HOSTNAME_VERIFIER

user11153

Żałuję, że nie podałeś pełnego odniesienia do klasy, z której korzystałeś. SSLContextBuilderIdea wyszukuje wiele wywołanych klas .

MasterMind

Answer 3

8

Musiałem dodać argument SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER do konstruktora, aby to działało z HttpClientBuilder (jak wspomniano w odpowiedzi holmis83 na vasekt).

dejuknow

Answer 4

zapoznaj się także z przykładem w witrynie httpclient hc.apache.org/httpcomponents-client-4.3.x/httpclient/examples/ ...

arajashe

Answer 5

2

Musiałem również użyć ALLOW_ALL_HOSTNAME_VERIFIER: SSLConnectionSocketFactory (builder.build (), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Wyświetlana nazwa

Answer 6

Ten kod działa dla mnie bez użycia przestarzałego konstruktora z argumentemSSLConnectionSocketFactory.ALLOW_‌ALL_HOSTNAME_VERIFIER

user11153

Answer 7

Żałuję, że nie podałeś pełnego odniesienia do klasy, z której korzystałeś. SSLContextBuilderIdea wyszukuje wiele wywołanych klas .

MasterMind

Answer 8

Jeśli używasz procedury PoolingHttpClientConnectionManager powyżej nie działa, niestandardowy SSLContext jest ignorowany. Podczas tworzenia PoolingHttpClientConnectionManager musisz przekazać socketFactoryRegistry w contructor.

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslContext, new X509HostnameVerifier() {
            @Override
            public void verify(String host, SSLSocket ssl)
                    throws IOException {
            }

            @Override
            public void verify(String host, X509Certificate cert)
                    throws SSLException {
            }

            @Override
            public void verify(String host, String[] cns,
                    String[] subjectAlts) throws SSLException {
            }

            @Override
            public boolean verify(String s, SSLSession sslSession) {
                return true;
            }
        });

Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder
        .<ConnectionSocketFactory> create().register("https", sslsf)
        .build();

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(
        socketFactoryRegistry);
CloseableHttpClient httpclient = HttpClients.custom()
        .setConnectionManager(cm).build();

Answer 9

11

Zamiast budować własny X509HostnameVerifier, możesz użyć SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER.

holmis83

Answer 10

Jak zaznaczono poniżej przez @ rich95, domyślnie dla HttpClients jest dostarczanie PoolingHttpClient, więc jest to bardzo ważne. Musiałem wypróbować kilka z tych odpowiedzi, zanim stwierdziłem, że tego potrzebuję.

SunSear

Answer 11

1

Próbowałem zastosować to w WebSphere i otrzymałem „java.security.KeyStoreException: IBMTrustManager: Problem z dostępem do magazynu zaufanych certyfikatów java.io.IOException: Nieprawidłowy format magazynu kluczy” Aby uniknąć, musisz przekazać KeyStore trustStore = KeyStore.getInstance (KeyStore.getDefaultType ()); zamiast null do builder.loadTrustMaterial

Georgy Gobozov

Answer 12

1

Właściwie z HttpClient 4.5 oba HttpClients.custom().setConnectionManager(cm).build()i HttpClients.custom().setSSLSocketFactory(connectionFactory).build()będą działać, więc nie musisz tworzyćPoolingHttpClientConnectionManager

soulmachine

Answer 13

Jak korzystać z PoolingHttpClientConnectionManager po utworzeniu tego, mój kod działa, ale chcę wiedzieć, czy buforowanie połączeń działa, czy nie

Labeo

Answer 14

Jako dodatek do odpowiedzi @mavroprovato, jeśli chcesz ufać wszystkim certyfikatom zamiast tylko samopodpisywanym, zrób to (w stylu swojego kodu)

builder.loadTrustMaterial(null, new TrustStrategy(){
    public boolean isTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        return true;
    }
});

lub (bezpośrednie kopiowanie i wklejanie z mojego własnego kodu):

import javax.net.ssl.SSLContext;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.ssl.SSLContexts;

// ...

        SSLContext sslContext = SSLContexts
                .custom()
                //FIXME to contain real trust store
                .loadTrustMaterial(new TrustStrategy() {
                    @Override
                    public boolean isTrusted(X509Certificate[] chain,
                        String authType) throws CertificateException {
                        return true;
                    }
                })
                .build();

A jeśli chcesz również pominąć weryfikację nazwy hosta, musisz ustawić

    CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
            sslsf).setSSLHostnameVerifier( NoopHostnameVerifier.INSTANCE).build();

także. (ALLOW_ALL_HOSTNAME_VERIFIER jest przestarzały).

Obowiązkowe ostrzeżenie: naprawdę nie powinieneś tego robić, akceptowanie wszystkich certyfikatów jest złą rzeczą. Istnieją jednak rzadkie przypadki użycia, w których chcesz to zrobić.

Jako uwaga do podanego wcześniej kodu, będziesz chciał zamknąć odpowiedź, nawet jeśli httpclient.execute () zgłosi wyjątek

CloseableHttpResponse response = null;
try {
    response = httpclient.execute(httpGet);
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
}
finally {
    if (response != null) {
        response.close();
    }
}

Powyższy kod został przetestowany przy użyciu

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.3</version>
</dependency>

A dla zainteresowanych mój pełny zestaw testowy:

import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.TrustSelfSignedStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.util.EntityUtils;
import org.junit.Test;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLHandshakeException;
import javax.net.ssl.SSLPeerUnverifiedException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class TrustAllCertificatesTest {
    final String expiredCertSite = "https://expired.badssl.com/";
    final String selfSignedCertSite = "https://self-signed.badssl.com/";
    final String wrongHostCertSite = "https://wrong.host.badssl.com/";

    static final TrustStrategy trustSelfSignedStrategy = new TrustSelfSignedStrategy();
    static final TrustStrategy trustAllStrategy = new TrustStrategy(){
        public boolean isTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            return true;
        }
    };

    @Test
    public void testSelfSignedOnSelfSignedUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLHandshakeException.class)
    public void testExpiredOnSelfSignedUsingCode() throws Exception {
        doGet(expiredCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnSelfSignedUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustSelfSignedStrategy);
    }

    @Test
    public void testSelfSignedOnTrustAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy);
    }
    @Test
    public void testExpiredOnTrustAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnTrustAllUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustAllStrategy);
    }

    @Test
    public void testSelfSignedOnAllowAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testExpiredOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testWrongHostOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }

    public void doGet(String url, TrustStrategy trustStrategy, HostnameVerifier hostnameVerifier) throws Exception {
        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).setSSLHostnameVerifier(hostnameVerifier).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
    public void doGet(String url, TrustStrategy trustStrategy) throws Exception {

        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
}

(działający projekt testowy w github )

Answer 15

1

HttpClient # execute nigdy nie zwróci pustego obiektu odpowiedzi w przypadku wyjątku. Ponadto standardowe implementacje HttpClient zapewnią automatyczne zwolnienie wszystkich zasobów systemowych, takich jak dzierżawione połączenia, w przypadku wystąpienia wyjątku podczas wykonywania żądania. Obsługa wyjątków używana przez mavroprovato jest całkowicie wystarczająca.

ok2c

Answer 16

@oleg celem interfejsu Closable jest „Zamknij [...] strumień i zwolnij wszystkie powiązane z nim zasoby systemowe. Jeśli strumień jest już zamknięty, wywołanie tej metody nie przyniesie żadnego efektu”. więc najlepiej jest go używać, nawet jeśli nie jest to potrzebne. Nie rozumiem też komentarza o zwracaniu pustej odpowiedzi - oczywiście, że nie, jeśli rzuca wyjątek, to nic nie zwraca?

eis

Answer 17

1

Apache HttpClient nigdy nie zwraca zerowego lub częściowo zainicjowanego obiektu odpowiedzi. Nie ma to nic wspólnego z tym, ile razy #close jest wywoływanych, ale raczej całkowicie niepotrzebne zerowe sprawdzanie w klauzuli

last

Answer 18

@oleg i nigdy podany przeze mnie kod nie zakłada, że zwróci wartość zerową lub częściowo zainicjowany obiekt odpowiedzi, ani nawet nie sprawdzi takiego przypadku. Nie mam pojęcia, o czym mówisz?

eis

Answer 19

1

[ wzdychanie ] co jest całkowicie niepotrzebne, biorąc pod uwagę, że HttpResponse nigdy nie może mieć wartości null iw przypadku wyjątku metoda #execute zakończy działanie bez zwrócenia odpowiedzi ;-)

ok2c

Answer 20

22

Jeden mały dodatek do odpowiedzi przez vasekt:

Rozwiązanie dostarczone z SocketFactoryRegistry działa podczas korzystania z PoolingHttpClientConnectionManager.

Jednak połączenia przez zwykły http nie działają już wtedy. Musisz dodatkowo dodać PlainConnectionSocketFactory dla protokołu http, aby ponownie działały:

Registry<ConnectionSocketFactory> socketFactoryRegistry = 
  RegistryBuilder.<ConnectionSocketFactory> create()
  .register("https", sslsf)
  .register("http", new PlainConnectionSocketFactory()).build();

migo
źródło

Uważam, że httpprotokół jest używany PlainConnectionSocketFactory domyślnie. Zarejestrowałem się tylko httpsi httpclientnadal mogę otrzymywać zwykłe adresy URL HTTP. więc nie sądzę, aby ten krok był konieczny.

soulmachine

@soulmachine to nie będziePoolingHttpClientConnectionManager

amseager

Answer 21

Uważam, że httpprotokół jest używany PlainConnectionSocketFactory domyślnie. Zarejestrowałem się tylko httpsi httpclientnadal mogę otrzymywać zwykłe adresy URL HTTP. więc nie sądzę, aby ten krok był konieczny.

soulmachine

Answer 22

@soulmachine to nie będziePoolingHttpClientConnectionManager

amseager

Answer 23

Po wypróbowaniu różnych opcji następująca konfiguracja działała zarówno dla protokołu http, jak i https:

SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build(), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

Registry<ConnectionSocketFactory> registry = RegistryBuilder. 
                 <ConnectionSocketFactory> create()
                .register("http", new PlainConnectionSocketFactory())
                .register("https", sslsf)
                .build();

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);
cm.setMaxTotal(2000);

CloseableHttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(sslsf)
                .setConnectionManager(cm)
                .build();

Używam klienta http 4.3.3: compile 'org.apache.httpcomponents:httpclient:4.3.3'

Answer 24

1

Dziękujemy za udostępnienie wyczerpującego, w pełni działającego przykładu! Miałem wiele problemów z poprzednimi rozwiązaniami i to bardzo pomogło. Pomogło również to, że podałeś instrukcje importu, ponieważ istnieje wiele klas o takich samych nazwach, co pogłębia zamieszanie.

helmy

Answer 25

Prostszy i krótszy działający kod:

Używamy HTTPClient 4.3.5 i wypróbowaliśmy prawie wszystkie rozwiązania, które istnieją w przepływie stosu, ale nic. Po przemyśleniu i rozwiązaniu problemu dochodzimy do następującego kodu, który działa idealnie, po prostu dodaj go przed utworzeniem instancji HttpClient.

jakaś metoda, której używasz do wysyłania żądań pocztowych ...

SSLContextBuilder builder = new SSLContextBuilder();
    builder.loadTrustMaterial(null, new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            return true;
        }
    });

    SSLConnectionSocketFactory sslSF = new SSLConnectionSocketFactory(builder.build(),
            SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

    HttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslSF).build();
    HttpPost postRequest = new HttpPost(url);

kontynuuj wywoływanie i używanie wystąpienia HttpPost w normalnej formie

Answer 26

Jak możemy publikować dane w nagłówkach? Jeśli tak, zobacz HTTP / 1.1 400 Bad Request

Answer 27

Oto destylacja robocza powyższych technik, odpowiednik „curl --insecure”:

HttpClient getInsecureHttpClient() throws GeneralSecurityException {
    TrustStrategy trustStrategy = new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) {
            return true;
        }
    };

    HostnameVerifier hostnameVerifier = new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    };

    return HttpClients.custom()
            .setSSLSocketFactory(new SSLConnectionSocketFactory(
                    new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(),
                    hostnameVerifier))
            .build();
}

Answer 28

Korzystając z klienta http 4.5 musiałem użyć javasx.net.ssl.HostnameVerifier, aby zezwolić na dowolną nazwę hosta (do celów testowych). Oto, co ostatecznie zrobiłem:

CloseableHttpClient httpClient = null;
    try {
        SSLContextBuilder sslContextBuilder = new SSLContextBuilder();
        sslContextBuilder.loadTrustMaterial(null, new TrustSelfSignedStrategy());

        HostnameVerifier hostnameVerifierAllowAll = new HostnameVerifier() 
            {
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            };

        SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), hostnameVerifierAllowAll);

        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
            new AuthScope("192.168.30.34", 8443),
            new UsernamePasswordCredentials("root", "password"));

        httpClient = HttpClients.custom()
            .setSSLSocketFactory(sslSocketFactory)
            .setDefaultCredentialsProvider(credsProvider)
            .build();

        HttpGet httpGet = new HttpGet("https://192.168.30.34:8443/axis/services/getStuff?firstResult=0&maxResults=1000");

        CloseableHttpResponse response = httpClient.execute(httpGet);

        int httpStatus = response.getStatusLine().getStatusCode();
        if (httpStatus >= 200 && httpStatus < 300) { [...]
        } else {
            throw new ClientProtocolException("Unexpected response status: " + httpStatus);
        }

    } catch (Exception ex) {
        ex.printStackTrace();
    }
    finally {
        try {
            httpClient.close();
        } catch (IOException ex) {
            logger.error("Error while closing the HTTP client: ", ex);
        }
    }

Answer 29

Implementacja HostnameVerifier rozwiązała problem dla HTTPClient 4.5.

digz6666

Answer 30

dla tych, którzy kochają lambdas (JDK1.8), można zastąpić

SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), hostnameVerifierAllowAll);

z

SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), (hostName, sslSession) -> true);

. Pozwala uniknąć anonimowych klas i sprawia, że kod jest trochę bardziej czytelny.

Vielinko

Answer 31

Na szczycie PoolingHttpClientConnectionManagerwraz z Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory> create().register("https", sslFactory).build(); Jeśli chcesz asynchroniczny httpclient używając PoolingNHttpClientConnectionManagerkodu shoudl być podobny do następującego

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SchemeIOSessionStrategy sslioSessionStrategy = new SSLIOSessionStrategy(sslContext, 
                new HostnameVerifier(){
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;// TODO as of now allow all hostnames
            }
        });
Registry<SchemeIOSessionStrategy> sslioSessionRegistry = RegistryBuilder.<SchemeIOSessionStrategy>create().register("https", sslioSessionStrategy).build();
PoolingNHttpClientConnectionManager ncm  = new PoolingNHttpClientConnectionManager(new DefaultConnectingIOReactor(),sslioSessionRegistry);
CloseableHttpAsyncClient asyncHttpClient = HttpAsyncClients.custom().setConnectionManager(ncm).build();
asyncHttpClient.start();

Answer 32

Jeśli używasz HttpClient 4.5.x, Twój kod może być podobny do następującego:

SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null,
        TrustSelfSignedStrategy.INSTANCE).build();
SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(
        sslContext, NoopHostnameVerifier.INSTANCE);

HttpClient httpClient = HttpClients.custom()
                                   .setDefaultCookieStore(new BasicCookieStore())
                                   .setSSLSocketFactory(sslSocketFactory)
                                   .build();

Answer 33

Nie działa dla mnie. Używam HttpClient: 4.5.5. i HttpCore 4.4.9

Vijay Kumar

Answer 34

class ApacheHttpClient {

    /***
     * This is a https get request that bypasses certificate checking and hostname verifier.
     * It uses basis authentication method.
     * It is tested with Apache httpclient-4.4.
     * It dumps the contents of a https page on the console output.
     * It is very similar to http get request, but with the additional customization of
     *   - credential provider, and
     *   - SSLConnectionSocketFactory to bypass certification checking and hostname verifier.
     * @param path String
     * @param username String
     * @param password String
     * @throws IOException
     */
    public void get(String path, String username, String password) throws IOException {
        final CloseableHttpClient httpClient = HttpClients.custom()
                .setDefaultCredentialsProvider(createCredsProvider(username, password))
                .setSSLSocketFactory(createGenerousSSLSocketFactory())
                .build();

        final CloseableHttpResponse response = httpClient.execute(new HttpGet(path));
        try {
            HttpEntity entity = response.getEntity();
            if (entity == null)
                return;
            System.out.println(EntityUtils.toString(entity));
        } finally {
            response.close();
            httpClient.close();
        }
    }

    private CredentialsProvider createCredsProvider(String username, String password) {
        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
                AuthScope.ANY,
                new UsernamePasswordCredentials(username, password));
        return credsProvider;
    }

    /***
     * 
     * @return SSLConnectionSocketFactory that bypass certificate check and bypass HostnameVerifier
     */
    private SSLConnectionSocketFactory createGenerousSSLSocketFactory() {
        SSLContext sslContext;
        try {
            sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, new TrustManager[]{createGenerousTrustManager()}, new SecureRandom());
        } catch (KeyManagementException | NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
        return new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
    }

    private X509TrustManager createGenerousTrustManager() {
        return new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
    }
}

Answer 35

Ufaj wszystkim certyfikatom w kliencie HTTP Apache

TrustManager[] trustAllCerts = new TrustManager[]{
                    new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return null;
                        }
                        public void checkClientTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                        public void checkServerTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                    }
                };

          try {
                SSLContext sc = SSLContext.getInstance("SSL");
                sc.init(null, trustAllCerts, new java.security.SecureRandom());
                SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                        sc);
                httpclient = HttpClients.custom().setSSLSocketFactory(
                        sslsf).build();
                HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

Answer 36

To działało dobrze z httpclient 4.5.9, po prostu skopiuj i wklej całą zawartość to wszystko.

satja,

Answer 37

(Dodałbym komentarz bezpośrednio do odpowiedzi vasekt, ale nie mam wystarczającej liczby punktów reputacji (nie jestem pewien, jaka jest tam logika)

W każdym razie ... chciałem powiedzieć, że nawet jeśli nie tworzysz jawnie / nie pytasz o połączenie PoolingConnection, nie oznacza to, że go nie otrzymujesz.

Szalałem, próbując dowiedzieć się, dlaczego oryginalne rozwiązanie nie działa dla mnie, ale zignorowałem odpowiedź vasekt, ponieważ „nie dotyczyło mojego przypadku” - źle!

Wpatrywałem się w mój ślad stosu, gdy był nisko, a oto zobaczyłem połączenie PoolingConnection w środku. Bang - zmęczyłem się jego dodatkiem i sukcesem !! (nasze demo jest jutro i byłem zdesperowany) :-)

Answer 38

Możesz użyć następującego fragmentu kodu, aby uzyskać wystąpienie HttpClient bez sprawdzania certyfikatu ssl.

private HttpClient getSSLHttpClient() throws KeyStoreException, NoSuchAlgorithmException, KeyManagementException {

        LogLoader.serverLog.trace("In getSSLHttpClient()");

        SSLContext context = SSLContext.getInstance("SSL");

        TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };

        context.init(null, new TrustManager[] { tm }, null);

        HttpClientBuilder builder = HttpClientBuilder.create();
        SSLConnectionSocketFactory sslConnectionFactory = new SSLConnectionSocketFactory(context);
        builder.setSSLSocketFactory(sslConnectionFactory);

        PlainConnectionSocketFactory plainConnectionSocketFactory = new PlainConnectionSocketFactory();
        Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
                .register("https", sslConnectionFactory).register("http", plainConnectionSocketFactory).build();

        PoolingHttpClientConnectionManager ccm = new PoolingHttpClientConnectionManager(registry);
        ccm.setMaxTotal(BaseConstant.CONNECTION_POOL_SIZE);
        ccm.setDefaultMaxPerRoute(BaseConstant.CONNECTION_POOL_SIZE);
        builder.setConnectionManager((HttpClientConnectionManager) ccm);

        builder.disableRedirectHandling();

        LogLoader.serverLog.trace("Out getSSLHttpClient()");

        return builder.build();
    }

Answer 39

Drobne poprawki, aby odpowiedzieć od @divbyzero powyżej, aby naprawić ostrzeżenia dotyczące bezpieczeństwa sonaru

CloseableHttpClient getInsecureHttpClient() throws GeneralSecurityException {
            TrustStrategy trustStrategy = (chain, authType) -> true;

            HostnameVerifier hostnameVerifier = (hostname, session) -> hostname.equalsIgnoreCase(session.getPeerHost());

            return HttpClients.custom()
                    .setSSLSocketFactory(new SSLConnectionSocketFactory(new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(), hostnameVerifier))
                    .build();
        }

Answer 40

Początkowo mogłem wyłączyć dla hosta lokalnego przy użyciu strategii zaufania, później dodałem NoopHostnameVerifier. Teraz będzie działać zarówno dla localhost, jak i dla dowolnej nazwy komputera

SSLContext sslContext = SSLContextBuilder.create().loadTrustMaterial(null, new TrustStrategy() {

            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                return true;
            }

        }).build();
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();

Ignorowanie certyfikatu SSL w Apache HttpClient 4.3

Odpowiedzi: