开发者社区> trinea-cn> 正文

Android or java https ssl exception

2016-04-11 2480

简介:
+关注继续查看

详细分析Android及Java中访问https请求exception(SSLHandshakeException, SSLPeerUnverifiedException)的原因及解决方法。
1、现象
用Android(或Java)测试程序访问下面两个链接。
https链接一:web服务器为jetty,后台语言为java。
https链接二:web服务器为nginx,后台语言为php。
链接一能正常访问,访问链接二报异常,且用HttpURLConnection和apache的HttpClient两种不同的api访问异常信息不同,具体如下:
(1) 用HttpURLConnection访问,测试代码如下:

HttpURLConnection访问https

异常信息为:

1

javax.net.ssl.SSLPeerUnverifiedException: No peer certificate

(2) 用apache的HttpClient访问,测试代码如下:

HttpClient访问https

异常信息为:

1

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

2、原因分析
需要快速寻求答案的可直接看第3部分 解决方式,这部分详细分析原因。
google发现stackoverflow上不少人反应,twitter和新浪微博的api也会报这个异常,不少人反映客户端需要导入证书,其实大可不必,如果要导证书的话,用户不得哭了。。

从上面的情况可以看出,用jetty做为容器是能正常访问的,只是当容器为nginx时才会异常。

配合后台开发调试了很久,开始以为是cipher suite的问题,为此特地把
ssl_ciphers EDH-RSA-DES-CBC3-SHA;
加入了nginx的配置中,后来发现依然无效。stackoverflow发现,如下代码是能正常访问上面异常的https url

HttpURLConnection访问https并相信所有证书

可以看出其中与之前的HttpsURLConnection测试代码主要的不同就是加入了

1

trustAllHosts();

1

https.setHostnameVerifier(DO_NOT_VERIFY);

表示相信所有证书,并且所有host name验证返回true,这样就能定位到之前的异常是证书验证不通过的问题了。

在上面checkServerTrusted函数中添加断点,查看X509Certificate[] chain的值,即证书信息,发现访问两个不同链接X509Certificate[] chain值有所区别,nginx传过来证书信息缺少了startssl 的ca证书,证书如下:

至此原因大白:
android的证书库里已经带了startssl ca证书,而nginx默认不带startssl ca证书,这样android端访问nginx为容器的https url校验就会失败,jetty默认带startssl ca证书,所以正常
PS:后来对windows和mac下java访问https也做了测试,发现mac上的jdk缺省不带startssl ca证书所以能访问通过,而加上startssl ca证书后同android一样访问不通过。而windows上的jdk缺省带startssl ca证书同android一样访问失败。

3、解决方式
上面的分析中已经介绍了一种解决方法即客户端相信所有证书,不过这种方式只是规避了问题,同时也给客户端带来了风险,比较合适的解决方式是为nginx添加startssl ca证书,添加方法如下:

First, use the StartSSL™ Control Panel to create a private key and certificate and transfer them to your server. Then execute the following steps (if you use a class 2 certificate replace class1 by class2 in the instructions below):

  • Decrypt the private key by using the password you entered when you created your key:

openssl rsa -in ssl.key -out /etc/nginx/conf/ssl.key

Alternatively you can also use the Tool Box decryption tool of your StartSSL™ account.

  • Protect your key from prying eyes:

chmod 600 /etc/nginx/conf/ssl.key

  • Fetch the Root CA and Class 1 Intermediate Server CA certificates:

wget http://www.startssl.com/certs/ca.pem
wget http://www.startssl.com/certs/sub.class1.server.ca.pem

  • Create a unified certificate from your certificate and the CA certificates:

cat ssl.crt sub.class1.server.ca.pem ca.pem > /etc/nginx/conf/ssl-unified.crt

  • Configure your nginx server to use the new key and certificate (in the global settings or a server section):

ssl on;
ssl_certificate /etc/nginx/conf/ssl-unified.crt;
ssl_certificate_key /etc/nginx/conf/ssl.key;

  • Tell nginx to reload its configuration:

killall -HUP nginx

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

Java 应用服务中间件 网络安全 nginx Android开发 容器 Apache API Windows PHP
apache SSL证书https java https证书 java网站https exception.com java apache SSL证书php
开发者社区 > 开发与运维 > 文章
云迁移中心
作者高分内容
更多
WordPress和github page的选择和搭建 3739 Android性能调优 2104 Android APK反编译查看源码及资源文件 4672 多个ViewPager引发的Fragment未初始化 2066 Android应用如何开机自启动、自启动失败原因 3299
相关文章
游客q7kad4qi72ppc
Java调用ssl异常,javax.net.ssl.SSLHandshakeException: No appropriate protocol
Java调用ssl异常,javax.net.ssl.SSLHandshakeException: No appropriate protocol
210 0
游客s3dic7gfly4vg
Android | Socket & Https(Java&Android)原理及API使用架构概述
Android | Socket & Https(Java&Android)原理及API使用架构概述
70 0
小陆要努力
Glide显示不出图片,监听报javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException:
Glide框架是当前比较流行的图片加载框架,使用起来也很简单,肯定有人在使用的时候加载不出图片的,情况有多种,下面讲一下加载不出来捕获到的Exception:javax.net.ssl.SSLHandshakeException: java.security.cert.CertPathValidatorException: 。出现这种情况基本上都是加载https出现的
280 0
爆走de萝卜
Java通过SSLEngine与NIO实现HTTPS访问
Java使用NIO进行HTTPS协议访问的时候,离不开SSLContext和SSLEngine两个类。我们只需要在Connect操作、Connected操作、Read和Write操作中加入SSL相关的处理即可。
158 0
youcongtech
Java之Https请求
import java.io.BufferedReader; import java.io.InputStream; import java.io.InputStreamReader; import java.
2074 0
sealin
Android--Https编程
概述 SSL(Secure Sockets Layer 安全套接层),为网景公司(Netscape)所研发,用以保障在Internet 上数据传输之安全,利用数据加密(Encryption)技术,可确保数据在网络上之传输过程中不会被截取及窃听。
1284 0
老朱教授
从头写个http client(java)
829 0
huasc
java | HttpsURLConnection 实现https请求
转载一篇关于实现https请求的博文,写的非常详尽,原文出处:http://www.blogjava.net/etlan/archive/2006/06/29/55767.html 摘 要 JSSE是一个SSL和TLS的纯Java实现,通过JSSE可以很容易地编程实现对HTTPS站点的访问。
2300 0
技术小胖子
获取服务端https证书 - Java版
2310 0
神棍先生
java ssl通信
版权声明:本文可能为博主原创文章,若标明出处可随便转载。 https://blog.
837 0
+关注
trinea-cn
www.trinea.cn
文章
问答
作者高分内容
更多
WordPress和github page的选择和搭建 3739 Android性能调优 2104 Android APK反编译查看源码及资源文件 4672 多个ViewPager引发的Fragment未初始化 2066 Android应用如何开机自启动、自启动失败原因 3299
文章排行榜
最热
最新
1 fastjson2为什么这么快 74770
2 7年资深后端带你读懂Redis源码,共总结了这7点心得 67931
3 Meetup 报名丨 共话云原生架构升级,微服务x容器开源 Meetup 北京站来啦! 64526
4 CVPR2021 | 视觉推理解释框架VRX:用结构化视觉概念作为解释网络推理逻辑的「语言」 63516
5 结构化总结与结构化思考之《金字塔原理》总结 56334
6 实现人机协同高稳定性,阿里云5G专网IoT方案入选工信部优秀解决方案 54123
7 C语言题解 | 移除元素(多种解法) 49967
8 jasypt-spring-boot敏感信息加密解密利器使用指南 47661
9 快速开发光伏电站数字孪生运维系统(一) 44669
10 Hive数据倾斜的原因以及常用解决方案 33190
11 高并发编程之阻塞队列 32750
12 Spring 事务【隔离级别与传播机制】 30497
13 性能优化之使用vue-worker插件(基于Web Worker)开启多线程运算提高效率 29501
14 计网之初识网络(理解网络传输的基本流程) 28022
15 DataWorks管控台无法配置PAI引擎临时解决方案 42526
16 Android体系课之--LeakCanary内存泄露检测原理解析 25940
17 零基础快速开发Vue图书管理系统—登录注册篇(一) 22688
18 IoT设备数据的存储、解析和价值挖掘实践 22653
19 【实战企业级Java二】渐进式理解Redis分布式锁 22493
20 IoT Studio 物联网可视化应用搭建开发实践 21306
1 关于几天前出的 MinIO 敏感信息泄露漏洞,分享两种扫描方法 81
2 数据备份浅谈 133
3 Flink Table Store 独立孵化启动 ,Apache Paimon 诞生 366
4 云原生一站式:以PolarDB为代表的阿里云瑶池数据库,带领国产数据库换道超车 148
5 银行卡四要素验证API接口怎么用 61
6 云数据库行业动态【2023年3月版】 139
7 【ASPLOS 2023】图神经网络统一图算子抽象uGrapher,大幅提高计算性能 56
8 【数据库设计与实现】第6章:并发控制 90
9 整理常用ecs命令 56
10 全面分析!ThreadLocal内存泄漏的原因! 80
11 架构设计:系统时序图 62
12 如何将「知识」体系化管理 4183
13 JVM学习.04. Java内存模型与线程模型 72
14 m基于GRNN神经网络和高阶累积量的信号类型识别matlab仿真 55
15 Flink CDC 专题首发|每天 10 分钟,解锁新一代数据集成框架 241
16 关于职场晋升,有这些步骤你都了解吗?(附完整指导图) 36147
17 ChatGPT4 给出数据库开发者最容易犯的 10 个错误和解决方案 100
18 性能最大提升60%,阿里云第八代企业级实例ECS g8i正式上线 7427
19 [版本更新]PolarDB-X v2.2.1 生产级关键能力开源升级 140
20 阿里云68元、36元和20.2元域名注册代金券如何领取和使用? 57
推荐文章
参与OCR文档自学习产品评测,赢Airpods 2 参与云效代码管理Codeup评测,赢Redmi Watch 3 参与IoT小程序框架评测,赢CHERRY机械键盘 乘风者计划邀您入驻社区,精彩权益即刻享
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载