当前位置: 首页 > news >正文

解决Java中IP地址访问HTTPS接口的SSL证书验证问题

问题描述

在使用Java的RestTemplate访问HTTPS接口时,如果使用IP地址而不是域名,经常会遇到以下错误:

java.security.cert.CertificateException: No subject alternative names matching IP address 111.63.81.79 found nested exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names matching IP address 111.63.81.79 found

奇怪的是:使用Postman、curl等工具可以正常访问,但Java代码却报错。

问题原因

SSL证书验证机制

HTTPS协议在建立连接时,会进行SSL证书验证,主要包括两个方面:

  1. 证书有效性验证:检查证书是否过期、是否被吊销等
  2. 主机名验证:检查证书中的域名或IP地址是否与访问的地址匹配

为什么Postman可以,Java不行?

  • Postman:默认情况下,Postman可能会跳过某些SSL验证(特别是开发环境)
  • Java:Java的SSL验证非常严格,会检查证书的Subject Alternative Names (SAN)字段
  • 问题根源:当使用IP地址访问时,如果证书的SAN中没有包含该IP地址,Java就会拒绝连接

证书的Subject Alternative Names

SSL证书中有一个字段叫Subject Alternative Names (SAN),它列出了该证书可以用于哪些域名或IP地址。例如:

Subject Alternative Names: DNS: example.com DNS: www.example.com IP Address: 192.168.1.1

如果证书中没有包含你访问的IP地址(如111.63.81.79),Java就会抛出上述异常。

解决方案

方案概述

我们需要配置RestTemplate,让它跳过SSL证书验证。注意:这种方法只适用于开发/测试环境,生产环境应该使用正确的证书。

完整代码实现

创建一个RestTemplateConfig配置类:

packagecom.example.zbx.config;importorg.apache.http.client.config.RequestConfig;importorg.apache.http.conn.ssl.NoopHostnameVerifier;importorg.apache.http.conn.ssl.SSLConnectionSocketFactory;importorg.apache.http.impl.client.CloseableHttpClient;importorg.apache.http.impl.client.HttpClients;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.http.client.HttpComponentsClientHttpRequestFactory;importorg.springframework.web.client.RestTemplate;importjavax.net.ssl.SSLContext;importjavax.net.ssl.TrustManager;importjavax.net.ssl.X509TrustManager;importjava.security.cert.X509Certificate;/** * RestTemplate配置类 * 配置忽略SSL证书验证,支持使用IP地址访问HTTPS接口 * @author lxy */@ConfigurationpublicclassRestTemplateConfig{/** * 创建RestTemplate Bean * 配置忽略SSL证书验证,支持使用IP地址访问HTTPS接口 * @return RestTemplate实例 */@BeanpublicRestTemplaterestTemplate(){try{// 创建完全信任所有证书的TrustManagerTrustManager[]trustAllCerts=newTrustManager[]{newX509TrustManager(){@OverridepublicX509Certificate[]getAcceptedIssuers(){returnnull;}@OverridepublicvoidcheckClientTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有客户端证书}@OverridepublicvoidcheckServerTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有服务器证书}}};// 创建SSL上下文,使用自定义的TrustManagerSSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustAllCerts,newjava.security.SecureRandom());// 创建SSL连接工厂,忽略主机名验证(包括IP地址验证)SSLConnectionSocketFactorysslSocketFactory=newSSLConnectionSocketFactory(sslContext,NoopHostnameVerifier.INSTANCE);// 创建请求配置RequestConfigrequestConfig=RequestConfig.custom().setConnectTimeout(10000)// 连接超时10秒.setConnectionRequestTimeout(10000)// 请求超时10秒.setSocketTimeout(30000)// 读取超时30秒.build();// 创建HttpClientCloseableHttpClienthttpClient=HttpClients.custom().setSSLSocketFactory(sslSocketFactory).setDefaultRequestConfig(requestConfig).evictExpiredConnections().evictIdleConnections(30,java.util.concurrent.TimeUnit.SECONDS).build();// 创建请求工厂HttpComponentsClientHttpRequestFactoryfactory=newHttpComponentsClientHttpRequestFactory();factory.setHttpClient(httpClient);factory.setConnectTimeout(10000);factory.setConnectionRequestTimeout(10000);factory.setReadTimeout(30000);// 创建RestTemplatereturnnewRestTemplate(factory);}catch(Exceptione){thrownewRuntimeException("创建RestTemplate失败",e);}}}

关键点说明

1. 自定义TrustManager
TrustManager[]trustAllCerts=newTrustManager[]{newX509TrustManager(){@OverridepublicvoidcheckServerTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有服务器证书}// ... 其他方法}};

这个X509TrustManager会跳过所有证书验证,包括:

  • 证书是否过期
  • 证书是否被吊销
  • 证书的域名/IP是否匹配
2. 创建SSL上下文
SSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustAllCerts,newjava.security.SecureRandom());

使用自定义的TrustManager初始化SSL上下文。

3. 忽略主机名验证
SSLConnectionSocketFactorysslSocketFactory=newSSLConnectionSocketFactory(sslContext,NoopHostnameVerifier.INSTANCE// 不验证主机名);

NoopHostnameVerifier.INSTANCE会跳过主机名验证,这样即使证书中没有对应的IP地址也能通过验证。

Maven依赖

确保你的pom.xml中包含以下依赖:

<!-- HttpClient4 (for RestTemplate SSL configuration) --><dependency><groupId>org.apache.httpcomponents</groupId><artifactId>httpclient</artifactId></dependency>

使用示例

配置完成后,直接使用RestTemplate即可,无需额外代码:

@AutowiredprivateRestTemplaterestTemplate;publicvoidcallApi(){Stringurl="https://111.63.81.79:10091/api/endpoint";ResponseEntity<String>response=restTemplate.postForEntity(url,request,String.class);// 处理响应...}

注意事项

⚠️ 安全警告

  1. 仅用于开发/测试环境:跳过SSL验证会带来安全风险,生产环境不应该使用
  2. 中间人攻击风险:攻击者可以伪造证书,你的应用无法识别
  3. 数据泄露风险:无法保证连接的安全性

生产环境建议

如果必须在生产环境使用,建议:

  1. 使用正确的证书:让服务器提供包含IP地址的证书
  2. 配置证书信任:只信任特定的证书颁发机构(CA)
  3. 使用域名访问:尽量使用域名而不是IP地址

示例:生产环境的正确做法

// 只信任特定的证书KeyStoretrustStore=KeyStore.getInstance("JKS");trustStore.load(newFileInputStream("truststore.jks"),"password".toCharArray());TrustManagerFactorytrustManagerFactory=TrustManagerFactory.getInstance("X509");trustManagerFactory.init(trustStore);SSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustManagerFactory.getTrustManagers(),null);

常见问题

Q1: 为什么之前可以,现在不行了?

可能的原因:

  • Java版本更新,SSL验证更严格了
  • 服务器证书更新了,新证书没有包含IP地址
  • 网络环境变化,使用了不同的IP地址

Q2: 有没有更简单的办法?

对于开发环境,可以设置JVM参数(不推荐):

-Dcom.sun.net.ssl.checkRevocation=false

但这种方法不够灵活,建议使用配置类的方式。

Q3: 会影响其他HTTP请求吗?

不会。这个配置只影响使用RestTemplate的HTTPS请求,HTTP请求不受影响。

Q4: 如何验证配置是否生效?

在代码中添加日志,观察是否还有证书验证错误:

log.info("RestTemplate配置完成,SSL验证已禁用");

如果不再出现CertificateException,说明配置生效了。

总结

  1. 问题根源:Java的SSL验证严格,证书中没有IP地址时会拒绝连接
  2. 解决方案:配置RestTemplate跳过SSL证书验证
  3. 关键代码:自定义X509TrustManager+NoopHostnameVerifier
  4. 安全提醒:仅用于开发/测试环境,生产环境应使用正确的证书

参考资源

  • Apache HttpClient SSL配置文档
  • Java SSL/TLS编程指南
  • Spring RestTemplate文档
http://www.cnnetsun.cn/news/132585.html

相关文章:

  • 终极指南:5步快速上手OPC-UA客户端工具
  • Univer表格数据验证与条件格式的终极技巧:5个必备技能快速掌握
  • 焦圈儿“复刻”功能实战:如何让好提示词发挥最大价值?
  • 心理咨询师试用焦圈儿:AI社交能否提供情感支持?
  • PT助手Plus核心架构:模块化设计与事件驱动实战
  • 新手必看:5步解决JDBC连接失败问题
  • Mermaid Live Editor:5个技巧打造专业级图表制作流程
  • RKLLM加速框架:在Rockchip平台实现AI模型高效部署的终极方案
  • 在线答题考试小程序源码系统功能全览 带完整的搭建部署教程以及源代码包
  • marked.min.js入门:5分钟创建你的第一个Markdown解析器
  • vue+Spring Boot的实验室设备监控管理系统的设计与实现_g6499xa5
  • 如何用AI优化Cloudflare配置,提升网站性能
  • 如何高效集成TDesign Vue Next组件库提升开发效率
  • 信息管理毕设2026选题汇总
  • Kotaemon跨境电商客服:多语言支持全球用户
  • YUM707在实际项目中的应用案例分享
  • 医疗产品超声波焊接技术案例是什么?德诺超声波在医疗行业的应用有什么优势?
  • 如何灵活掌控B站API认证?自定义Cookie功能深度指南
  • 【MWORKS使用技巧80】Sysplorer如何读取外部txt文件(二):组件参数设置
  • 手机号码归属地查询库:5分钟快速上手实战指南
  • SKYNET Steam模拟器:零网络依赖的终极局域网游戏解决方案
  • 淋巴瘤化疗越做越糟?偶遇 “抗癌老乡”,4年活成生活达人!
  • 小白也能懂:PostConstruct注解图解指南
  • 快速搭建NAS导航面板:Sun-Panel终极配置指南
  • QR码修复终极指南:让损坏的二维码重获新生
  • 报警管理升级!这款智能安全系统,让隐患无处可藏
  • 基于SpringBoot前后端分离的宠物服务平台
  • 工业散热风扇 24 V 三相 BLDC 驱动:如何用单 N 沟 40 V SGT 把 Rdson 做到 0.75 mΩ
  • DashPlayer:英语学习者的智能视频伴侣,让语言习得事半功倍
  • 指纹特征提取实战:FingerJetFXOSE从入门到精通