千家信息网

如何解决线上Https请求报错的问题

发表于:2024-11-22 作者:千家信息网编辑
千家信息网最后更新 2024年11月22日,本篇文章给大家分享的是有关如何解决线上Https请求报错的问题,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。进入正题:我们系统依赖一个外
千家信息网最后更新 2024年11月22日如何解决线上Https请求报错的问题

本篇文章给大家分享的是有关如何解决线上Https请求报错的问题,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。

进入正题:

我们系统依赖一个外部查询接口,是HTTPS提供服务的,由于外部系统没有测试环境,所以我们都是直接请求的他们生产环境。项目里面我们使用的HttpClient,其创建SSLClient的代码如下:

 private static CloseableHttpClient createSSLClientDefault() {        SSLContext sslContext;        try {            sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {                //信任所有                @Override                public boolean isTrusted(X509Certificate[] xcs, String string) {                    return true;                }            }).build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext); return HttpClients.custom().setSSLSocketFactory(sslsf).build(); } catch (Exception ex) { logger.error(ex.getMessage(), ex); } return HttpClients.createDefault(); }

这样就可以正常的调用HTTPS服务了。但是当我们的服务部署到线上环境以后,由于生产机器找不到外部接口的域名,所以配置了host,指向该外部接口所在的Nginx服务器,但是请求一直报错:doesn't match any of the subject alternative names: []。用curl -k调用该接口,报(35) SSL connect error错误,当初还一度怀疑linux机器openssl版本问题,所以强制升级了一个版本还是没有解决。后面知道curl有个-v的参数,错误信息如下:

* Initializing NSS with certpath: sql:/etc/pki/nssdb*   CAfile: /etc/pki/tls/certs/ca-bundle.crt  CApath: none* NSS error -5990* Closing connection #0* SSL connect errorcurl: (35) SSL connect error

所以按照网上的流程升级了一下nss版本,最终curl -k可以调通服务了。但是通过httpclient还是报错,所以可以排除掉openssl的问题。所以只能分析下测试环境和生产环境的差异,看问题到底出现在什么地方。
后面通过咨询外部接口的同事,了解到他们的外部接口服务接入了公司内部的智能网关,在智能网关配置了统一的HTTPS证书。而且只要接入了智能网关的服务,请求都会先经过智能网关,然后转发到他们自己的服务器。但是生产环境和智能网关不在同一网络,而且解析不到外部接口的域名,只能通过host映射到他们的Nginx服务器上。看一下测试环境请求外部接口的网络拓扑:

测试环境请求网络拓扑


生产环境的请求网络拓扑:

生产环境请求网络拓扑

总算有点眉目了,测试环境能调通主要是能在内部DNS服务器解析到对应域名。而生产环境是通过host来做的映射,当去解析域名的时候发现当前网络没有该域名,所以报错doesn't match any of the subject alternative names: []。当时有两种思路,第一种:能不能在生产环境开启访问智能网关的权限,然后直接走域名,但是公司不知道基于什么考虑,不允许这样做。第二种:http client是否支持不解析域名的操作,确实http client可以设置不解析host的策略,将其创建SSLClient的代码调整为如下代码:

private static CloseableHttpClient createSSLClientDefault() {        try {            SSLContextBuilder builder = new SSLContextBuilder();            builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());            //不进行主机名验证            SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(builder.build(),                    NoopHostnameVerifier.INSTANCE);            Registry registry = RegistryBuilder.create()                    .register("http", new PlainConnectionSocketFactory())                    .register("https", sslConnectionSocketFactory)                    .build();
PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry); cm.setMaxTotal(100); CloseableHttpClient httpclient = HttpClients.custom() .setSSLSocketFactory(sslConnectionSocketFactory) .setDefaultCookieStore(new BasicCookieStore()) .setConnectionManager(cm).build(); return httpclient; } catch (Exception e) { logger.error("createSSLClientDefault error", e); } return null; }

即可解决问题。一个https的小问题确实耗费了我不少的时间,记录一下。

以上就是如何解决线上Https请求报错的问题,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注行业资讯频道。

0