189 8069 5689

如何解决线上Https请求报错的问题

本篇文章给大家分享的是有关如何解决线上Https请求报错的问题,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

我们提供的服务有:做网站、成都网站设计、微信公众号开发、网站优化、网站认证、玉山ssl等。为上千企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务,是有科学管理、有技术的玉山网站制作公司

进入正题:

        我们系统依赖一个外部查询接口,是HTTPS提供服务的,由于外部系统没有测试环境,所以我们都是直接请求的他们生产环境。项目里面我们使用的HttpClient,其创建SSLClient的代码如下:

 private static CloseableHttpClient createSSLClientDefault() {        SSLContext sslContext;        try {            sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {                //信任所有                @Override                public boolean isTrusted(X509Certificate[] xcs, String string) {                    return true;                }            }).build();
           SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext);            return HttpClients.custom().setSSLSocketFactory(sslsf).build();        } catch (Exception ex) {            logger.error(ex.getMessage(), ex);        }        return HttpClients.createDefault();    }
 

这样就可以正常的调用HTTPS服务了。但是当我们的服务部署到线上环境以后,由于生产机器找不到外部接口的域名,所以配置了host,指向该外部接口所在的Nginx服务器,但是请求一直报错:doesn't match any of the subject alternative names: []。用curl -k调用该接口,报(35) SSL connect error错误,当初还一度怀疑linux机器openssl版本问题,所以强制升级了一个版本还是没有解决。后面知道curl有个-v的参数,错误信息如下:

* Initializing NSS with certpath: sql:/etc/pki/nssdb*   CAfile: /etc/pki/tls/certs/ca-bundle.crt  CApath: none* NSS error -5990* Closing connection #0* SSL connect errorcurl: (35) SSL connect error
 

所以按照网上的流程升级了一下nss版本,最终curl -k可以调通服务了。但是通过httpclient还是报错,所以可以排除掉openssl的问题。所以只能分析下测试环境和生产环境的差异,看问题到底出现在什么地方。
        后面通过咨询外部接口的同事,了解到他们的外部接口服务接入了公司内部的智能网关,在智能网关配置了统一的HTTPS证书。而且只要接入了智能网关的服务,请求都会先经过智能网关,然后转发到他们自己的服务器。但是生产环境和智能网关不在同一网络,而且解析不到外部接口的域名,只能通过host映射到他们的Nginx服务器上。看一下测试环境请求外部接口的网络拓扑:

如何解决线上Https请求报错的问题  

测试环境请求网络拓扑


 

生产环境的请求网络拓扑:

如何解决线上Https请求报错的问题  

生产环境请求网络拓扑

        总算有点眉目了,测试环境能调通主要是能在内部DNS服务器解析到对应域名。而生产环境是通过host来做的映射,当去解析域名的时候发现当前网络没有该域名,所以报错doesn't match any of the subject alternative names: []。当时有两种思路,第一种:能不能在生产环境开启访问智能网关的权限,然后直接走域名,但是公司不知道基于什么考虑,不允许这样做。第二种:http client是否支持不解析域名的操作,确实http client可以设置不解析host的策略,将其创建SSLClient的代码调整为如下代码:

private static CloseableHttpClient createSSLClientDefault() {        try {            SSLContextBuilder builder = new SSLContextBuilder();            builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());            //不进行主机名验证            SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(builder.build(),                    NoopHostnameVerifier.INSTANCE);            Registry registry = RegistryBuilder.create()                    .register("http", new PlainConnectionSocketFactory())                    .register("https", sslConnectionSocketFactory)                    .build();
           PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);            cm.setMaxTotal(100);            CloseableHttpClient httpclient = HttpClients.custom()                    .setSSLSocketFactory(sslConnectionSocketFactory)                    .setDefaultCookieStore(new BasicCookieStore())                    .setConnectionManager(cm).build();            return httpclient;        } catch (Exception e) {            logger.error("createSSLClientDefault error", e);        }        return null;    }
 

即可解决问题。一个https的小问题确实耗费了我不少的时间,记录一下。

以上就是如何解决线上Https请求报错的问题,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注创新互联行业资讯频道。


当前名称:如何解决线上Https请求报错的问题
URL标题:http://cdxtjz.com/article/iicddi.html

其他资讯