问题描述
在使用Java的RestTemplate访问HTTPS接口时,如果使用IP地址而不是域名,经常会遇到以下错误:
java.security.cert.CertificateException: No subject alternative names matching IP address 111.63.81.79 found nested exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names matching IP address 111.63.81.79 found奇怪的是:使用Postman、curl等工具可以正常访问,但Java代码却报错。
问题原因
SSL证书验证机制
HTTPS协议在建立连接时,会进行SSL证书验证,主要包括两个方面:
- 证书有效性验证:检查证书是否过期、是否被吊销等
- 主机名验证:检查证书中的域名或IP地址是否与访问的地址匹配
为什么Postman可以,Java不行?
- Postman:默认情况下,Postman可能会跳过某些SSL验证(特别是开发环境)
- Java:Java的SSL验证非常严格,会检查证书的
Subject Alternative Names (SAN)字段 - 问题根源:当使用IP地址访问时,如果证书的SAN中没有包含该IP地址,Java就会拒绝连接
证书的Subject Alternative Names
SSL证书中有一个字段叫Subject Alternative Names (SAN),它列出了该证书可以用于哪些域名或IP地址。例如:
Subject Alternative Names: DNS: example.com DNS: www.example.com IP Address: 192.168.1.1如果证书中没有包含你访问的IP地址(如111.63.81.79),Java就会抛出上述异常。
解决方案
方案概述
我们需要配置RestTemplate,让它跳过SSL证书验证。注意:这种方法只适用于开发/测试环境,生产环境应该使用正确的证书。
完整代码实现
创建一个RestTemplateConfig配置类:
packagecom.example.zbx.config;importorg.apache.http.client.config.RequestConfig;importorg.apache.http.conn.ssl.NoopHostnameVerifier;importorg.apache.http.conn.ssl.SSLConnectionSocketFactory;importorg.apache.http.impl.client.CloseableHttpClient;importorg.apache.http.impl.client.HttpClients;importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.http.client.HttpComponentsClientHttpRequestFactory;importorg.springframework.web.client.RestTemplate;importjavax.net.ssl.SSLContext;importjavax.net.ssl.TrustManager;importjavax.net.ssl.X509TrustManager;importjava.security.cert.X509Certificate;/** * RestTemplate配置类 * 配置忽略SSL证书验证,支持使用IP地址访问HTTPS接口 * @author lxy */@ConfigurationpublicclassRestTemplateConfig{/** * 创建RestTemplate Bean * 配置忽略SSL证书验证,支持使用IP地址访问HTTPS接口 * @return RestTemplate实例 */@BeanpublicRestTemplaterestTemplate(){try{// 创建完全信任所有证书的TrustManagerTrustManager[]trustAllCerts=newTrustManager[]{newX509TrustManager(){@OverridepublicX509Certificate[]getAcceptedIssuers(){returnnull;}@OverridepublicvoidcheckClientTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有客户端证书}@OverridepublicvoidcheckServerTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有服务器证书}}};// 创建SSL上下文,使用自定义的TrustManagerSSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustAllCerts,newjava.security.SecureRandom());// 创建SSL连接工厂,忽略主机名验证(包括IP地址验证)SSLConnectionSocketFactorysslSocketFactory=newSSLConnectionSocketFactory(sslContext,NoopHostnameVerifier.INSTANCE);// 创建请求配置RequestConfigrequestConfig=RequestConfig.custom().setConnectTimeout(10000)// 连接超时10秒.setConnectionRequestTimeout(10000)// 请求超时10秒.setSocketTimeout(30000)// 读取超时30秒.build();// 创建HttpClientCloseableHttpClienthttpClient=HttpClients.custom().setSSLSocketFactory(sslSocketFactory).setDefaultRequestConfig(requestConfig).evictExpiredConnections().evictIdleConnections(30,java.util.concurrent.TimeUnit.SECONDS).build();// 创建请求工厂HttpComponentsClientHttpRequestFactoryfactory=newHttpComponentsClientHttpRequestFactory();factory.setHttpClient(httpClient);factory.setConnectTimeout(10000);factory.setConnectionRequestTimeout(10000);factory.setReadTimeout(30000);// 创建RestTemplatereturnnewRestTemplate(factory);}catch(Exceptione){thrownewRuntimeException("创建RestTemplate失败",e);}}}关键点说明
1. 自定义TrustManager
TrustManager[]trustAllCerts=newTrustManager[]{newX509TrustManager(){@OverridepublicvoidcheckServerTrusted(X509Certificate[]certs,StringauthType){// 不进行任何检查,信任所有服务器证书}// ... 其他方法}};这个X509TrustManager会跳过所有证书验证,包括:
- 证书是否过期
- 证书是否被吊销
- 证书的域名/IP是否匹配
2. 创建SSL上下文
SSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustAllCerts,newjava.security.SecureRandom());使用自定义的TrustManager初始化SSL上下文。
3. 忽略主机名验证
SSLConnectionSocketFactorysslSocketFactory=newSSLConnectionSocketFactory(sslContext,NoopHostnameVerifier.INSTANCE// 不验证主机名);NoopHostnameVerifier.INSTANCE会跳过主机名验证,这样即使证书中没有对应的IP地址也能通过验证。
Maven依赖
确保你的pom.xml中包含以下依赖:
<!-- HttpClient4 (for RestTemplate SSL configuration) --><dependency><groupId>org.apache.httpcomponents</groupId><artifactId>httpclient</artifactId></dependency>使用示例
配置完成后,直接使用RestTemplate即可,无需额外代码:
@AutowiredprivateRestTemplaterestTemplate;publicvoidcallApi(){Stringurl="https://111.63.81.79:10091/api/endpoint";ResponseEntity<String>response=restTemplate.postForEntity(url,request,String.class);// 处理响应...}注意事项
⚠️ 安全警告
- 仅用于开发/测试环境:跳过SSL验证会带来安全风险,生产环境不应该使用
- 中间人攻击风险:攻击者可以伪造证书,你的应用无法识别
- 数据泄露风险:无法保证连接的安全性
生产环境建议
如果必须在生产环境使用,建议:
- 使用正确的证书:让服务器提供包含IP地址的证书
- 配置证书信任:只信任特定的证书颁发机构(CA)
- 使用域名访问:尽量使用域名而不是IP地址
示例:生产环境的正确做法
// 只信任特定的证书KeyStoretrustStore=KeyStore.getInstance("JKS");trustStore.load(newFileInputStream("truststore.jks"),"password".toCharArray());TrustManagerFactorytrustManagerFactory=TrustManagerFactory.getInstance("X509");trustManagerFactory.init(trustStore);SSLContextsslContext=SSLContext.getInstance("TLS");sslContext.init(null,trustManagerFactory.getTrustManagers(),null);常见问题
Q1: 为什么之前可以,现在不行了?
可能的原因:
- Java版本更新,SSL验证更严格了
- 服务器证书更新了,新证书没有包含IP地址
- 网络环境变化,使用了不同的IP地址
Q2: 有没有更简单的办法?
对于开发环境,可以设置JVM参数(不推荐):
-Dcom.sun.net.ssl.checkRevocation=false但这种方法不够灵活,建议使用配置类的方式。
Q3: 会影响其他HTTP请求吗?
不会。这个配置只影响使用RestTemplate的HTTPS请求,HTTP请求不受影响。
Q4: 如何验证配置是否生效?
在代码中添加日志,观察是否还有证书验证错误:
log.info("RestTemplate配置完成,SSL验证已禁用");如果不再出现CertificateException,说明配置生效了。
总结
- 问题根源:Java的SSL验证严格,证书中没有IP地址时会拒绝连接
- 解决方案:配置
RestTemplate跳过SSL证书验证 - 关键代码:自定义
X509TrustManager+NoopHostnameVerifier - 安全提醒:仅用于开发/测试环境,生产环境应使用正确的证书
参考资源
- Apache HttpClient SSL配置文档
- Java SSL/TLS编程指南
- Spring RestTemplate文档
