如何解决线上Https请求报错的问题
本篇文章给大家分享的是有关如何解决线上Https请求报错的问题,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
我们提供的服务有:做网站、成都网站设计、微信公众号开发、网站优化、网站认证、玉山ssl等。为上千企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的玉山网站制作公司
进入正题:
我们系统依赖一个外部查询接口,是HTTPS提供服务的,由于外部系统没有测试环境,所以我们都是直接请求的他们生产环境。项目里面我们使用的HttpClient,其创建SSLClient的代码如下:
private static CloseableHttpClient createSSLClientDefault() { SSLContext sslContext;
try {
sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
//信任所有
@Override
public boolean isTrusted(X509Certificate[] xcs, String string) {
return true;
}
}).build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext);
return HttpClients.custom().setSSLSocketFactory(sslsf).build();
} catch (Exception ex) {
logger.error(ex.getMessage(), ex);
}
return HttpClients.createDefault();
}
这样就可以正常的调用HTTPS服务了。但是当我们的服务部署到线上环境以后,由于生产机器找不到外部接口的域名,所以配置了host,指向该外部接口所在的Nginx服务器,但是请求一直报错:doesn't match any of the subject alternative names: []
。用curl -k
调用该接口,报(35) SSL connect error
错误,当初还一度怀疑linux机器openssl版本问题,所以强制升级了一个版本还是没有解决。后面知道curl有个-v
的参数,错误信息如下:
* Initializing NSS with certpath: sql:/etc/pki/nssdb* CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none* NSS error -5990* Closing connection #0* SSL connect errorcurl: (35) SSL connect error
所以按照网上的流程升级了一下nss版本,最终curl -k可以调通服务了。但是通过httpclient还是报错,所以可以排除掉openssl的问题。所以只能分析下测试环境和生产环境的差异,看问题到底出现在什么地方。
后面通过咨询外部接口的同事,了解到他们的外部接口服务接入了公司内部的智能网关,在智能网关配置了统一的HTTPS证书。而且只要接入了智能网关的服务,请求都会先经过智能网关,然后转发到他们自己的服务器。但是生产环境和智能网关不在同一网络,而且解析不到外部接口的域名,只能通过host映射到他们的Nginx服务器上。看一下测试环境请求外部接口的网络拓扑:
测试环境请求网络拓扑
生产环境的请求网络拓扑:
生产环境请求网络拓扑
总算有点眉目了,测试环境能调通主要是能在内部DNS服务器解析到对应域名。而生产环境是通过host来做的映射,当去解析域名的时候发现当前网络没有该域名,所以报错doesn't match any of the subject alternative names: []
。当时有两种思路,第一种:能不能在生产环境开启访问智能网关的权限,然后直接走域名,但是公司不知道基于什么考虑,不允许这样做。第二种:http client是否支持不解析域名的操作,确实http client可以设置不解析host的策略,将其创建SSLClient的代码调整为如下代码:
private static CloseableHttpClient createSSLClientDefault() { try {
SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
//不进行主机名验证
SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(builder.build(),
NoopHostnameVerifier.INSTANCE);
Registry
registry = RegistryBuilder. create() .register("http", new PlainConnectionSocketFactory())
.register("https", sslConnectionSocketFactory)
.build();
PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);
cm.setMaxTotal(100);
CloseableHttpClient httpclient = HttpClients.custom()
.setSSLSocketFactory(sslConnectionSocketFactory)
.setDefaultCookieStore(new BasicCookieStore())
.setConnectionManager(cm).build();
return httpclient;
} catch (Exception e) {
logger.error("createSSLClientDefault error", e);
}
return null;
}
即可解决问题。一个https的小问题确实耗费了我不少的时间,记录一下。
以上就是如何解决线上Https请求报错的问题,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联行业资讯频道。
分享文章:如何解决线上Https请求报错的问题
网页地址:http://myzitong.com/article/iicddi.html