javax.net.ssl.SSLPeerUnverifiedException:主机名未验证:
javax.net.ssl.SSLPeerUnverifiedException: Hostname not verified:
我正在尝试使用 HTTPS 与自签名证书的连接。
我已经按照此处提到的创建自签名证书的步骤进行操作 - Creating Self-signed certificate.
即使在浏览器中也一切正常,它只显示一条消息,表明我的证书是由未知 CA 签名的。
但是我在证书中的 FQDN(服务器名称不匹配)名称有问题,因为我在生成证书时设置了不正确的名称。
我已经重新生成它,现在没有这样的错误。
我需要从移动 Android 客户端使用我的服务器证书,我找到了关于这个问题的好文章 - Use Retrofit with a self-signed or unknown SSL certificate in Android。
我已按照所有步骤操作,但不幸的是出现错误(异常)。
javax.net.ssl.SSLPeerUnverifiedException: Hostname 195.xx.xx.xx not verified:
certificate: sha1/qvH7lFeijE/ZXxNHI0B/M+AU/aA=
DN: 1.2.840.113549.1.9.1=#160e63726f73704078616b65702e7275,CN=195.xx.xx.xx,OU=Departament of Development,O=CROSP Solutions,L=Chernihiv,ST=Chernihiv,C=UA
subjectAltNames: []
at com.squareup.okhttp.internal.http.SocketConnector.connectTls(SocketConnector.java:124)
如您所见,主机名相同,但错误仍然存在。
请帮助处理这个问题,我将不胜感激。
谢谢。
伪解
当然之前搜索过,发现HostName Verifier Solution.
我试过了,它有效。但是可以使用这个解决方法吗,我将证书添加到我的应用程序中以便像前面的示例一样动态读取它,在这种情况下它是否仍在使用。
OkHttp 的解决方案是一条线。 (如果您遵循教程中的所有步骤)。
okHttpClient.setHostnameVerifier(new NullHostNameVerifier());
但我仍然觉得这不是最好的解决方案,请您有什么想法?
有趣的是,如果请求主机是IP,则不使用“CN”来匹配;相反,
https://www.rfc-editor.org/rfc/rfc2818#section-3.1
the iPAddress subjectAltName must be present in the certificate and must exactly match the IP in the URI"
如果你使用java的keytool,可以通过
完成
keytool -genkeypair -ext SAN=IP:195.xx.xx.xx ........
NullHostNameVerifier 也适用于您的用例。您的客户只信任一个证书;只要连接使用该证书,您就是安全的;主机名在这里无关紧要。
自签名证书仅适用于开发。你不能接受它,因为你知道它没有经过验证,没有 CA 的批准,应用程序和浏览器不会信任你。
因此,这不是针对您的实时应用程序的 'solution',而只是为了测试它是否有效(并且将使用有效的证书,如果您获得证书的话)。因为您允许所有主机名(或者至少是硬编码的主机名,如果您将其限制为少数)并且两者都不好。
您是否也打算在您的实时应用中使用自签名证书?
对于HttpsURLConnection,您可以使用:
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setHostnameVerifier(new AllowAllHostnameVerifier());
我正在尝试使用 HTTPS 与自签名证书的连接。
我已经按照此处提到的创建自签名证书的步骤进行操作 - Creating Self-signed certificate.
即使在浏览器中也一切正常,它只显示一条消息,表明我的证书是由未知 CA 签名的。
但是我在证书中的 FQDN(服务器名称不匹配)名称有问题,因为我在生成证书时设置了不正确的名称。
我已经重新生成它,现在没有这样的错误。
我需要从移动 Android 客户端使用我的服务器证书,我找到了关于这个问题的好文章 - Use Retrofit with a self-signed or unknown SSL certificate in Android。 我已按照所有步骤操作,但不幸的是出现错误(异常)。
javax.net.ssl.SSLPeerUnverifiedException: Hostname 195.xx.xx.xx not verified:
certificate: sha1/qvH7lFeijE/ZXxNHI0B/M+AU/aA=
DN: 1.2.840.113549.1.9.1=#160e63726f73704078616b65702e7275,CN=195.xx.xx.xx,OU=Departament of Development,O=CROSP Solutions,L=Chernihiv,ST=Chernihiv,C=UA
subjectAltNames: []
at com.squareup.okhttp.internal.http.SocketConnector.connectTls(SocketConnector.java:124)
如您所见,主机名相同,但错误仍然存在。
请帮助处理这个问题,我将不胜感激。
谢谢。
伪解
当然之前搜索过,发现HostName Verifier Solution.
我试过了,它有效。但是可以使用这个解决方法吗,我将证书添加到我的应用程序中以便像前面的示例一样动态读取它,在这种情况下它是否仍在使用。
OkHttp 的解决方案是一条线。 (如果您遵循教程中的所有步骤)。
okHttpClient.setHostnameVerifier(new NullHostNameVerifier());
但我仍然觉得这不是最好的解决方案,请您有什么想法?
有趣的是,如果请求主机是IP,则不使用“CN”来匹配;相反,
https://www.rfc-editor.org/rfc/rfc2818#section-3.1
the iPAddress subjectAltName must be present in the certificate and must exactly match the IP in the URI"
如果你使用java的keytool,可以通过
完成keytool -genkeypair -ext SAN=IP:195.xx.xx.xx ........
NullHostNameVerifier 也适用于您的用例。您的客户只信任一个证书;只要连接使用该证书,您就是安全的;主机名在这里无关紧要。
自签名证书仅适用于开发。你不能接受它,因为你知道它没有经过验证,没有 CA 的批准,应用程序和浏览器不会信任你。
因此,这不是针对您的实时应用程序的 'solution',而只是为了测试它是否有效(并且将使用有效的证书,如果您获得证书的话)。因为您允许所有主机名(或者至少是硬编码的主机名,如果您将其限制为少数)并且两者都不好。
您是否也打算在您的实时应用中使用自签名证书?
对于HttpsURLConnection,您可以使用:
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setHostnameVerifier(new AllowAllHostnameVerifier());