使用可信证书和所有信任管理的 PKIX 路径构建失败
PKIX path building failure with trusted certificate and all Trusting manage
在此先感谢您的帮助。
我在 Java TestNG 中针对部署到非安全内部 QA 环境的 api 开发了一套 api 测试。最近,这个应用程序被重新部署到一个新的、安全的环境中。发生这种情况时,我开始在每个 api 请求中看到以下错误,包括 GET 和 POST:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
我的第一步是安装适当的证书,即使它是由 DigiCert 签名的,所以它应该默认被批准。
keytool -import -alias ca -file qa4cert.crt -keystore cacerts -storepass changeit
那没有效果。我还尝试通过 IDE (Intellij) 添加证书。同样,没有效果,仍然看到相同的错误。
由于我在这里无法取得进展,而且我仍在没有敏感数据的内部 QA 环境中工作,所以我很乐意放弃证书验证并安装一个完全信任的证书管理器。我的简单实现如下:
package test_utils;
import javax.net.ssl.*;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
public class SSLTool {
private static boolean isTrustAllCertsInitialized = false;
public static void disableCertificateValidation() {
if (isTrustAllCertsInitialized) {
return;
}
isTrustAllCertsInitialized = true;
try {
SSLContext ctx = SSLContext.getInstance("TLS");
X509TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return null;
}
};
ctx.init(null, new TrustManager[]{tm}, null);
SSLContext.setDefault(ctx);
System.out.println("new trust manager should be set");
} catch (Exception e) {
e.printStackTrace();
}
return ctx;
}
}
我 运行 上面的代码作为我在测试套件中的 --before-- 实现的一部分,并验证我们到达了 try 块的末尾,所以新的 All_trusting TrustManager 应该是放。不幸的是,这也没有效果,我仍然看到错误。
为了尝试隔离问题,我通过 Postman 和 curl 处理了相同的 POST 请求,都返回了所需的结果,没有错误。
为了理智起见,我还点击了一些 public url 安全和不安全的,也得到了预期的结果。
此时我被难住了。由于 Postman 和 curl 工作,错误必须与我的实现有关,但我不明白为什么它可以在我们的旧环境中工作,但不能在新环境中工作。下面是我的代码的调试版本,它发出了失败的 get 请求。当 运行 通过 ide 和使用 maven 的命令行时,这都失败了。
测试文件
public class DebugTests extends BaseTest {
@Test
public void debug() {
BaseApi api = new BaseApi();
api.debugGet("<<MYURL>>");
}
基础测试
@Listeners(Listener.class)
public class BaseTest {
@BeforeMethod
public void before() {
// the below function is used to disable certificate validation. It is ONLY meant to be used in testing environments
// if used in production it exposes our test suite to MITM attacks.
SSLTool.disableCertificateValidation();
}
@AfterMethod
public void after() {
}
}
来自 API 对象的相关代码
public BaseApi() {
SSLContext ctx = SSLTool.disableCertificateValidation();
client = HttpClients.custom().setSSLContext(ctx).build();
System.out.println("trust manager set");
}
public void debugGet(String endpoint) {
try {
client.execute(this.buildGetConnection(endpoint, false));
} catch (Exception e) {
e.printStackTrace();
}
}
protected HttpGet buildGetConnection(String endpoint) {
return this.buildGetConnection(endpoint, true);
}
protected HttpGet buildGetConnection(String endpoint, boolean auth) {
//TODO build a switch to change testing environments based off command line
HttpGet get = new HttpGet(rootUrl + endpoint);
if(auth) {
StsAuthApi authApi = new StsAuthApi();
get.setHeader("Authorization", "Bearer " + authApi.getToken());
}
get.setHeader("accept","application/json");
get.setHeader("Content-Type","application/xml");
System.out.println("making GET request to " + rootUrl + endpoint);
return get;
}
在我的调试实现中,rooturl 是一个空字符串,因此 url 匹配通过测试用例提供的字符串。
HttpClients.createDefault() 不会使用您的空信任管理器。它在内部创建并初始化一个 SSLContext,如下所示:
final SSLContext sslContext = SSLContext.getInstance(SSLContextBuilder.TLS);
sslContext.init(null, null, null);
您可以像这样创建 HttpClient:
HttpClients.custom()
.setSSLContext(ctx)
.build();
其中 ctx 是您在 disableCertificateValidation() 方法中创建的。
为什么当您将证书添加到 cacerts 时它不起作用的问题仍然悬而未决。如果你做得正确,那么默认客户端应该已经使用了它。如果你想进一步调试系统,你可以设置系统 属性 javax.net.debug=all(它会在第一次初始化到上下文时打印出你的信任库)。
在此先感谢您的帮助。
我在 Java TestNG 中针对部署到非安全内部 QA 环境的 api 开发了一套 api 测试。最近,这个应用程序被重新部署到一个新的、安全的环境中。发生这种情况时,我开始在每个 api 请求中看到以下错误,包括 GET 和 POST:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
我的第一步是安装适当的证书,即使它是由 DigiCert 签名的,所以它应该默认被批准。
keytool -import -alias ca -file qa4cert.crt -keystore cacerts -storepass changeit
那没有效果。我还尝试通过 IDE (Intellij) 添加证书。同样,没有效果,仍然看到相同的错误。
由于我在这里无法取得进展,而且我仍在没有敏感数据的内部 QA 环境中工作,所以我很乐意放弃证书验证并安装一个完全信任的证书管理器。我的简单实现如下:
package test_utils;
import javax.net.ssl.*;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
public class SSLTool {
private static boolean isTrustAllCertsInitialized = false;
public static void disableCertificateValidation() {
if (isTrustAllCertsInitialized) {
return;
}
isTrustAllCertsInitialized = true;
try {
SSLContext ctx = SSLContext.getInstance("TLS");
X509TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return null;
}
};
ctx.init(null, new TrustManager[]{tm}, null);
SSLContext.setDefault(ctx);
System.out.println("new trust manager should be set");
} catch (Exception e) {
e.printStackTrace();
}
return ctx;
}
}
我 运行 上面的代码作为我在测试套件中的 --before-- 实现的一部分,并验证我们到达了 try 块的末尾,所以新的 All_trusting TrustManager 应该是放。不幸的是,这也没有效果,我仍然看到错误。
为了尝试隔离问题,我通过 Postman 和 curl 处理了相同的 POST 请求,都返回了所需的结果,没有错误。
为了理智起见,我还点击了一些 public url 安全和不安全的,也得到了预期的结果。
此时我被难住了。由于 Postman 和 curl 工作,错误必须与我的实现有关,但我不明白为什么它可以在我们的旧环境中工作,但不能在新环境中工作。下面是我的代码的调试版本,它发出了失败的 get 请求。当 运行 通过 ide 和使用 maven 的命令行时,这都失败了。
测试文件
public class DebugTests extends BaseTest {
@Test
public void debug() {
BaseApi api = new BaseApi();
api.debugGet("<<MYURL>>");
}
基础测试
@Listeners(Listener.class)
public class BaseTest {
@BeforeMethod
public void before() {
// the below function is used to disable certificate validation. It is ONLY meant to be used in testing environments
// if used in production it exposes our test suite to MITM attacks.
SSLTool.disableCertificateValidation();
}
@AfterMethod
public void after() {
}
}
来自 API 对象的相关代码
public BaseApi() {
SSLContext ctx = SSLTool.disableCertificateValidation();
client = HttpClients.custom().setSSLContext(ctx).build();
System.out.println("trust manager set");
}
public void debugGet(String endpoint) {
try {
client.execute(this.buildGetConnection(endpoint, false));
} catch (Exception e) {
e.printStackTrace();
}
}
protected HttpGet buildGetConnection(String endpoint) {
return this.buildGetConnection(endpoint, true);
}
protected HttpGet buildGetConnection(String endpoint, boolean auth) {
//TODO build a switch to change testing environments based off command line
HttpGet get = new HttpGet(rootUrl + endpoint);
if(auth) {
StsAuthApi authApi = new StsAuthApi();
get.setHeader("Authorization", "Bearer " + authApi.getToken());
}
get.setHeader("accept","application/json");
get.setHeader("Content-Type","application/xml");
System.out.println("making GET request to " + rootUrl + endpoint);
return get;
}
在我的调试实现中,rooturl 是一个空字符串,因此 url 匹配通过测试用例提供的字符串。
HttpClients.createDefault() 不会使用您的空信任管理器。它在内部创建并初始化一个 SSLContext,如下所示:
final SSLContext sslContext = SSLContext.getInstance(SSLContextBuilder.TLS);
sslContext.init(null, null, null);
您可以像这样创建 HttpClient:
HttpClients.custom()
.setSSLContext(ctx)
.build();
其中 ctx 是您在 disableCertificateValidation() 方法中创建的。
为什么当您将证书添加到 cacerts 时它不起作用的问题仍然悬而未决。如果你做得正确,那么默认客户端应该已经使用了它。如果你想进一步调试系统,你可以设置系统 属性 javax.net.debug=all(它会在第一次初始化到上下文时打印出你的信任库)。