关于JRE 1.6 HTTPS请求出错的问题

最近在用java请求内部的一个HTTP接口,URL是HTTPS加密形式的,大致的代码是这样的:

  1 public String sendGet(String url) {
  2         String result = "";
  3         BufferedReader in = null;
  4         try {
  5             String urlNameString = url ;
  6             URL realUrl = new URL(urlNameString);
  7             // 打开和URL之间的连接
  8             URLConnection connection = realUrl.openConnection();
  9             // 设置通用的请求属性
 10             connection.setRequestProperty("accept", "*/*");
 11             connection.setRequestProperty("connection", "Keep-Alive");
 12             connection.setRequestProperty("user-agent",
 13                     "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1;SV1)");
 14             // 建立实际的连接
 15             connection.connect();
 16 
 17             // 定义 BufferedReader输入流来读取URL的响应
 18             in = new BufferedReader(new InputStreamReader(
 19                     connection.getInputStream(),"utf-8"));
 20             String line;
 21             while ((line = in.readLine()) != null) {
 22                 result += line;
 23             }
 24         } catch (Exception e) {
 25 
 26             e.printStackTrace();
 27         }
 28         // 使用finally块来关闭输入流
 29         finally {
 30             try {
 31                 if (in != null) {
 32                     in.close();
 33                 }
 34             } catch (Exception e2) {
 35                 e2.printStackTrace();
 36             }
 37         }
 38         return result;
 39     }

从tomcat的日志来看,抛出的异常如下:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

从谷歌的一些搜索来看,基本都建议使用keytool导入CA证书,例如:

Resolving javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed Error?

发现这种方法并没有解决我的问题,而且HTTPS URL对应的证书是从GoDaddy购买的正规证书,应该不存在JRE不信任的问题。

直到搜索到这篇文章:解决PKIX:unable to find valid certification path to requested target 的问题

虽然方法大同小异,但通过执行编译后的文件发现:并不是服务器真实的证书啊!

image

域名、证书都不是,第一反应:我的服务器被黑啦?赶紧Wireshark抓包,结果证明确实是服务器返回的证书,这就更奇怪了

由于HTTPS的接口是部署在CDN上的,所以赶紧联系CDN厂商反馈问题,CDN厂商那边反复确认他们那边没有问题,一切正常。

又开始怀疑自己是否遭到了SSL中间人攻击,反复确认没有问题。在排查的过程中发现两个现象:

1、上图中的域名对应的IP就是我们CDN厂商的IP,也就是说 和我们使用同一家CDN,浏览器打开他们的网站,证书也完全吻合。

2、在一台WIN 2003上分别用FF和IE 7访问HTTPS接口站点,FF的证书是正常的,IE7的证书和上图中的是一致(即:错误的证书)。

基本可以判断要么CDN那边返回错了,要么客户端请求的时候有什么东西发错了。突然想到虚拟主机(一个IP同一个端口部署多个站点)的原理,就是根据HTTP HEADER中HOST参数来区分。那SSL怎么实现不同的域名返回不同的证书呢?

直到发现了一个叫SNI(Server Name Indication)的概念,主要的作用是允许在相同的IP地址和TCP端口号的服务器上使用多个证书,而不必所有网站都使用同一个证书。在概念上等同于HTTP/1.1基于域名的虚拟主机,只不过这是在HTTPS上实现的。

更重要的是JRE从1.7版本才开始支持SNI,而我tomcat服务器上的JRE为1.6版本,不支持SNI。原因找到了,果断升级到最新的1.8版本,重启tomcat,问题立马解决~

posted @ 2016-05-19 16:55  HaiyangYu  阅读(605)  评论(0编辑  收藏  举报