имеется sping-boot приложение. Появилась задача сделать так, чтобы оно работало по https.
я сделал всё как тут написано(через самоподписанный PKCS12 ключ):
https://www.thomasvitale.com/https-spring-boot-ssl-certificate/
в коде есть запросы к внешним рест сервисам. Пока что они замоканы внутренними же сервисами.
Внешние сервисы тоже будут по https.
1.
ResponseEntity<byte[]> mappingTemplateResponseEntity = restTemplate.exchange(httpsUrl, HttpMethod.GET, new HttpEntity<>(new HttpHeaders()), byte[].class);
После перевода на https такой код теперь не работает.
Читаю статью
https://myshittycode.com/2015/12/17/java-https-unable-to-find-valid-certification-path-to-requested-target-2/
соответственно если зарегать бин:
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.
26.
27.
28.
@Bean
public Boolean disableSSLValidation() throws Exception {
final SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, new TrustManager[]{new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
}
@Override
public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[0];
}
}}, null);
HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory());
HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
return true;
}
то всё работает, но это судя по всему плохо и толку от такого HTTPS мало.
Но второй способ из статьи у меня не работает. У меня винда.
в cmd:
авторkeytool -list -v -storetype pkcs12 -keystore keystore.p12
Enter keystore password:
Keystore type: PKCS12
Keystore provider: SunJSSE
Your keystore contains 1 entry
Alias name: tomcat
Creation date: Jan 9, 2018
Entry type: PrivateKeyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=localhost, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Issuer: CN=localhost, OU=Unknown, O=Unknown, L=Unknown, ST=Unknown, C=Unknown
Serial number: 64cd4d27
Valid from: Tue Jan 09 17:56:07 MSK 2018 until: Fri Jan 07 17:56:07 MSK 2028
Certificate fingerprints:
MD5: A6:F5:67:EE:87:65:21:62:50:5B:67:AE:63:F6:AE:C0
SHA1: B8:F5:F7:7D:8C:4C:90:0E:BA:CE:9D:22:3A:D3:A7:6E:BB:12:1B:D8
SHA256: 35:B5:DF:15:FC:3B:DD:D3:05:58:88:92:00:47:8F:62:2C:97:D7:20:77:FA:7D:55:00:64:E9:62:F4:7D:3B:08
Signature algorithm name: SHA256withRSA
Version: 3
Extensions:
#1: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: 3E D4 2D F8 AF D2 C2 4E 51 4F 3E A4 01 FE E2 34 >.-....NQO>....4
0010: 48 B0 5F 4F H._O
]
]
*******************************************
*******************************************
Также например тут
https://stackoverflow.com/a/37824656/2674303 пишут, что запрос надо ещё по другому писать и указывать файл сертификата. С другой стороны если я захожу в личный кабинет своего банка, то я же по https там сижу и я не нажимаю на скачивание сертификата. Может это в фоне как-то происходит? должен ли мне поставщик сервиса предоставлять сертификат отдельным урлом по http ?
Расставьте по полочкам пожалуйста.
