java工程调用第三方https接口异常问题汇总

1、需求
java工程内部需要调用其他工程或第三方服务接口时，对方提供的是https方式的接口，此时java工程充当客户端的角色。那么有可能在调用时产生诸多问题，总结来看基本上是https建立连接的过程中，证书异常导致。

2、问题现象

问题1：SSL握手异常，报错信息如下：

****javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names presentat sun.security.ssl.Alerts.getSSLException(Alerts.java:192)

问题2：ip不匹配，报错信息如下：

javax.net.ssl.SSLHandshakeException: Caused by: 
java.security.cert.CertificateException: No subject alternative names matching IP address 192.168.1.1 found at 
sun.security.util.HostnameChecker.matchIP(Unknown Source) at 
sun.security.util.HostnameChecker.match(Unknown Source) at 
sun.security.ssl.X509TrustManagerImpl.checkIdentity(Unknown Source) at 
sun.security.ssl.X509TrustManagerImpl.checkIdentity(Unknown Source) at 
sun.security.ssl.X509TrustManagerImpl.checkTrusted(Unknown Source) at 
sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(Unknown Source) ... 12 more

问题3：证书不受信任，报错信息如下：

org.springframework.web.client.ResourceAccessException: I/O error on GET request for "https://localhost:8100/customer/session/1b63e4b8-a91b-4742-b70a-8f113271212": 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target; nested exception is javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

3、问题分析
首先大家要理解SSL的基本工作原理，就是客户端（服务调用方）发起https请求，与服务器（服务提供方）进行SSL握手（类似TCP的三次握手），在这个过程中，服务器需要把它的证书发给客户端，客户端判断证书是否合法有效，如果是则利用证书里的公钥对后续请求的应用数据进行加密；（这里的描述进行了简化，实际过程是客户端和服务器要协商一个对称秘钥，后续的加密都是用这个对称秘钥进行加密传输的，具体流程细节读者可以自行查询SSL相关资料）那么如果证书有问题，客户端就会异常或报错。（如果大家对证书、公钥、私钥有疑问的话，可以自行查询非对称秘钥加密算法相关资料）

上述问题中的1和2都是因为证书中缺少相应的信息导致异常。问题1产生的原因是由于java工程在调用服务方接口时是通过ip地址访问的，同时服务方提供的证书里没有标识ip地址的扩展信息，所以产生了问题1的报错；问题2产生的原因是证书内有标识ip地址的扩展信息，但是跟客户端访问的地址不匹配，所以产生了问题2的报错。

上述问题3是因为服务方提供的证书不是受信任的CA机构签发导致的。CA的工作原理简单描述如下：首先用户向CA机构申请证书，然后CA机构生成用户证书，再利用非对称加密算法对证书进行加密签名，这样这张用户证书就是受信任的了。那么全球有很多公认CA机构，如verisign、cfca等，如下图：

image

一般操作系统会默认存储这些公认的CA机构信息，所以只要是由这些机构签发的证书，在发起https访问时都不会有问题，如果不是这些机构签发的证书，如自签发的证书，那么在发起https访问时，就会有异常，如浏览器通常会出现如下的提示：

image

4、解决思路

针对问题3，是因为服务方提供的证书不是CA机构签发的，所以只需要将服务方提供的证书导入进java默认的ca认证库中即可，执行如下命令：

keytool -importcert -file test.crt -alias test -keystore $JAVA_HOME/jre/lib/security/cacerts

注：其中test.crt为服务方提供的证书名称，test为证书内的别名。
针对问题1和2，是因为服务方提供的证书缺少信息导致，如果服务方的程序是我们自己可控的，那么可以重新申请证书，添加扩展信息即可，如下：

(1)、利用openssl工具生成秘钥和证书，如果没有OpenSSL，需要另行安装，首先需要复制证书配置文件到当前目录下：

cp /etc/pki/tls/openssl.cnf .

(2)、给该配置文件增加证书扩展字段如下：

echo '[ subject_alt_name ]' >> openssl.cnfecho 'subjectAltName = DNS: localhost,DNS:test.com.cn, IP: 192.168.1.1'>> openssl.cnf

注：第二个DNS及IP的配置要根据实际生成证书对应的服务进行修改，此处以web服务在测试环境上生成证书距离。
(3)、根据以上配置文件生成证书和秘钥

openssl req -x509 -nodes -newkey rsa:1024 -config openssl.cnf -extensions subject_alt_name -keyout private.key -out selfsigned.pem -subj '/C=cn/ST=beijing/L=beijing/O=beijing/OU=beijing/CN=test.com.cn/emailAddress=libaokun@nantian.com.cn' -days 3650

注：其中标红字体需要根据实际服务进行修改。

5、举例说明
背景：有2个java工程，1个是客户端工程，部署在服务器192.168.1.2上；1个是服务器工程，部署在服务器192.168.1.2上，服务器工程提供https的接口供客户端工程使用，接口通过ip地址访问，不通过域名。

服务器工程配置：
首先需要给服务器工程申请证书，如果不想花钱，那就自己签发一张证书，自签发具体操作需要在一台安装openssl和jdk的操作系统上进行，如下（以linux为例）：
（1）登录Linux后，复制ssl配置文件到当前目录下：

cp /etc/pki/tls/openssl.cnf .

（2）给该配置文件增加证书扩展字段：

echo '[ subject_alt_name ]' >> openssl.cnf
echo 'subjectAltName = DNS: localhost,DNS:test, IP: 192.168.1.2'>> openssl.cnf

注：上面命令中的DNS字段可以为空，IP要根据你得服务器ip进行修改。
（3）根据以上配置文件生成证书和秘钥：

openssl req -x509 -nodes -newkey rsa:1024 -config openssl.cnf -extensions subject_alt_name -keyout private.key -out selfsigned.pem -subj '/C=CN/ST=Beijing/L=Beijing/O=Baidu/OU=Search/CN=test/emailAddress=test@baidu.com' -days 3650

注：CN:应该填写的是服务器的域名，但此处服务端是通过ip地址访问，所以随便填写；days 3650表示证书的有效期为10年，过期一样会报错；

（4）检查生成的证书是否有问题，如果没有报错则进行下一步：

openssl x509 -in selfsigned.pem -text -noout

（5）转换证书格式为java可读的pkcs12格式，并生成秘钥库：

openssl pkcs12 -export -keypbe PBE-SHA1-3DES -certpbe PBE-SHA1-3DES -export -in selfsigned.pem -inkey private.key -name test -out keystore.p12

注：命令会提示输入密码，输入“123456”；-name后表示证书的名字，记住这个名字，后面java配置文件需要用到；-out 后表示秘钥库的名字。

（6）利用java自带的keytool工具生成java的秘钥库，并将上一步生成的秘钥库导入到该新建的秘钥库：

keytool -importkeystore -destkeystore keystore.jks -deststoretype PKCS12 -srcstoretype PKCS12 -srckeystore keystore.p12

注：命令会提示输入密码，输入“123456”；keytool工具在java安装目录的bin目录下；
此步骤会生产一个keystore.jks的文件，该文件为java认识的秘钥库格式文件，后续会导入至服务端工程里。

（7）检查新生成的秘钥库，如果没有问题则进行下一步：

keytool -list -v -keystore keystore.jks

注：提示输入密码，输入“123456”

（8）从新生成的秘钥库中导出证书：

keytool -export -keystore keystore.jks -alias test -file test.crt

注：其中-alias后面要填写证书的别名。提示输入密码，输入“123456”；

至此，完成了服务端自签名证书的签发。下面需要配置服务端工程使用https代替http对外提供接口。此处以spring boot工程举例，修改工程application.yam配置文件，添加一下内容：

server:
  ssl:
    key-store-type: PKCS12
    key-store: 'classpath:keystore.jks'
    key-store-password: 123456
    key-alias: test

注：上面的key-alias后面要跟上面申请证书时填写的证书名称。
然后需要将上面生成的keystore.jks文件拷贝至工程内的src/main/resources路径下，至此完成了服务端的所有配置，可以通过浏览器或swagger验证htpps接口是否成功。

客户端工程配置：

需要将上面在服务端生成的证书文件test.crt，拷贝至客户端工程所在服务器的java信任证书路径下：

keytool -importcert -file test.crt -alias test -keystore $JAVA_HOME/jre/lib/security/cacerts

注：提示输入密码，输入“changeit”，此密码为java自带秘钥库cacerts的默认密码；

6、总结
至此，已经完成了服务端和客户端所有的配置，如果以上每一步的命令都成功执行，那么恭喜您，java工程客户端调用服务器端https接口已经可以成功返回数据了。