HTTP ERROR 400 无效的 SNI - Jetty HTTPS servlet
HTTP ERROR 400 Invalid SNI - Jetty HTTPS servlet
我正在尝试通过 HTTPS 解决我的 Jetty servlet 运行 的问题。
它在浏览器中显示此错误页面:
我做了什么:
我创建了我的密钥库和信任库,如下所述:
这两个文件都放在我的项目目录中,并编写了代码来加载这些文件。
package sk.cood.metahost.server;
import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.eclipse.jetty.server.*;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.eclipse.jetty.util.ssl.SslContextFactory;
import java.io.*;
@WebServlet(displayName = "MetaHostServlet", urlPatterns = { "/*" })
public class MetaHostServlet extends HttpServlet {
private static File keyStoreFile;
private static File trustStoreFile;
public static void main(String[] args) throws Exception {
loadKeyStores();
Server server = new Server(8080);
ServerConnector connector = createSSLConnector(server, "password", "password", false);
server.addConnector(connector);
ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
context.addServlet(new ServletHolder(new MetaHostServlet()),"/*");
context.setContextPath("/");
server.setHandler(context);
server.start();
server.join();
}
private static void loadKeyStores() {
keyStoreFile = new File("keystore.jks");
trustStoreFile = new File("truststore.jks");
if (!keyStoreFile.exists()) {
throw new RuntimeException("Key store file does not exist on path '"+keyStoreFile.getAbsolutePath()+"'");
}
if (!trustStoreFile.exists()) {
throw new RuntimeException("Trust store file does not exist on path '"+trustStoreFile.getAbsolutePath()+"'");
}
}
private static ServerConnector createSSLConnector(Server server, String keyStorePassword, String trustStorePassword, boolean isClientAuthNeeded) {
SslContextFactory.Server sslContextFactory = new SslContextFactory.Server();
sslContextFactory.setKeyStorePath(keyStoreFile.getAbsolutePath());
sslContextFactory.setKeyStorePassword(keyStorePassword);
sslContextFactory.setTrustStorePath(trustStoreFile.getAbsolutePath());
sslContextFactory.setTrustStorePassword(trustStorePassword);
sslContextFactory.setNeedClientAuth(isClientAuthNeeded);
HttpConfiguration https_config = new HttpConfiguration();
https_config.setSendServerVersion(false);
https_config.setRequestHeaderSize(512 * 1024);
https_config.setResponseHeaderSize(512 * 1024);
SecureRequestCustomizer src = new SecureRequestCustomizer();
https_config.addCustomizer(src);
return new ServerConnector(server, sslContextFactory, new HttpConnectionFactory(https_config));
}
@Override
public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
res.setContentType("text/html");
res.setStatus(HttpServletResponse.SC_OK);
res.getWriter().println("<h1>Hello World!</h1>");
res.getWriter().println("session=" + req.getSession(true).getId());
}
}
- 我用 jetty 启动了我的 servlet 并尝试连接到 localhost:8080 并出现了提到的错误。
然后我尝试通过其他指南创建其他密钥库和信任库,例如,我将 DNS 备用名称添加到我的新密钥库,如下所述:https://serverfault.com/questions/488003/keytool-subjectalternativename 但没有任何帮助。
我不知道我的情况出了什么问题,也许对码头和证书更有经验的人会有所帮助。
非常感谢!
此消息表示您的 HTTP 客户端的 TLS 层提供的 SNI 与您密钥库中的 SNI 主机之一不匹配。
知道SNI本身是有限制的:
localhost 不允许- 不允许使用 IP 地址文字(例如:
192.168.1.215 或 fe80::3831:400c:dc07:7c40)
- 所有 SNI 主机名的名称中必须至少包含 1 个
.(所以不要使用 shorthand host/domain 名称,使用完全限定的规范 host/domain 名称)
这些限制在规范中,通常是导致您遇到的大多数问题的原因。
根据您的 Java 版本,这些 SNI 限制会在 Java 网络堆栈中比其他版本的 Java 更快地被检查。 (Java 11 在主机名限制中的 . 与强制执行它的 Java 17+ 相比限制较少)
我在本地 运行 申请时也遇到了同样的问题。由于 SNI 不允许使用 localhost,因此我在我的代码中暂时禁用了 SNI 检查。下面是我在本地为 运行 我的应用程序修改的代码:
SecureRequestCustomizer src = new SecureRequestCustomizer();
src.setSniHostCheck(false);
https_config.addCustomizer(src);
注意:对于 PROD 版本,SniHostCheck 对我们来说仍然设置为 true。而且我不建议任何人将其设置为 false。
我正在尝试通过 HTTPS 解决我的 Jetty servlet 运行 的问题。
它在浏览器中显示此错误页面:
我做了什么:
我创建了我的密钥库和信任库,如下所述:
这两个文件都放在我的项目目录中,并编写了代码来加载这些文件。
package sk.cood.metahost.server;
import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.eclipse.jetty.server.*;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.eclipse.jetty.util.ssl.SslContextFactory;
import java.io.*;
@WebServlet(displayName = "MetaHostServlet", urlPatterns = { "/*" })
public class MetaHostServlet extends HttpServlet {
private static File keyStoreFile;
private static File trustStoreFile;
public static void main(String[] args) throws Exception {
loadKeyStores();
Server server = new Server(8080);
ServerConnector connector = createSSLConnector(server, "password", "password", false);
server.addConnector(connector);
ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
context.addServlet(new ServletHolder(new MetaHostServlet()),"/*");
context.setContextPath("/");
server.setHandler(context);
server.start();
server.join();
}
private static void loadKeyStores() {
keyStoreFile = new File("keystore.jks");
trustStoreFile = new File("truststore.jks");
if (!keyStoreFile.exists()) {
throw new RuntimeException("Key store file does not exist on path '"+keyStoreFile.getAbsolutePath()+"'");
}
if (!trustStoreFile.exists()) {
throw new RuntimeException("Trust store file does not exist on path '"+trustStoreFile.getAbsolutePath()+"'");
}
}
private static ServerConnector createSSLConnector(Server server, String keyStorePassword, String trustStorePassword, boolean isClientAuthNeeded) {
SslContextFactory.Server sslContextFactory = new SslContextFactory.Server();
sslContextFactory.setKeyStorePath(keyStoreFile.getAbsolutePath());
sslContextFactory.setKeyStorePassword(keyStorePassword);
sslContextFactory.setTrustStorePath(trustStoreFile.getAbsolutePath());
sslContextFactory.setTrustStorePassword(trustStorePassword);
sslContextFactory.setNeedClientAuth(isClientAuthNeeded);
HttpConfiguration https_config = new HttpConfiguration();
https_config.setSendServerVersion(false);
https_config.setRequestHeaderSize(512 * 1024);
https_config.setResponseHeaderSize(512 * 1024);
SecureRequestCustomizer src = new SecureRequestCustomizer();
https_config.addCustomizer(src);
return new ServerConnector(server, sslContextFactory, new HttpConnectionFactory(https_config));
}
@Override
public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
res.setContentType("text/html");
res.setStatus(HttpServletResponse.SC_OK);
res.getWriter().println("<h1>Hello World!</h1>");
res.getWriter().println("session=" + req.getSession(true).getId());
}
}
- 我用 jetty 启动了我的 servlet 并尝试连接到 localhost:8080 并出现了提到的错误。
然后我尝试通过其他指南创建其他密钥库和信任库,例如,我将 DNS 备用名称添加到我的新密钥库,如下所述:https://serverfault.com/questions/488003/keytool-subjectalternativename 但没有任何帮助。
我不知道我的情况出了什么问题,也许对码头和证书更有经验的人会有所帮助。
非常感谢!
此消息表示您的 HTTP 客户端的 TLS 层提供的 SNI 与您密钥库中的 SNI 主机之一不匹配。
知道SNI本身是有限制的:
localhost不允许- 不允许使用 IP 地址文字(例如:
192.168.1.215或fe80::3831:400c:dc07:7c40) - 所有 SNI 主机名的名称中必须至少包含 1 个
.(所以不要使用 shorthand host/domain 名称,使用完全限定的规范 host/domain 名称)
这些限制在规范中,通常是导致您遇到的大多数问题的原因。
根据您的 Java 版本,这些 SNI 限制会在 Java 网络堆栈中比其他版本的 Java 更快地被检查。 (Java 11 在主机名限制中的 . 与强制执行它的 Java 17+ 相比限制较少)
我在本地 运行 申请时也遇到了同样的问题。由于 SNI 不允许使用 localhost,因此我在我的代码中暂时禁用了 SNI 检查。下面是我在本地为 运行 我的应用程序修改的代码:
SecureRequestCustomizer src = new SecureRequestCustomizer();
src.setSniHostCheck(false);
https_config.addCustomizer(src);
注意:对于 PROD 版本,SniHostCheck 对我们来说仍然设置为 true。而且我不建议任何人将其设置为 false。