本篇文章给大家分享的是有关如何解决线上Https请求报错的问题,小编觉得挺实用的,因此分享给大家学习,希望大家阅读完这篇文章后可以有所收获,话不多说,跟着小编一起来看看吧。
我们系统依赖一个外部查询接口,是HTTPS提供服务的,由于外部系统没有测试环境,所以我们都是直接请求的他们生产环境。项目里面我们使用的HttpClient,其创建SSLClient的代码如下:
private static CloseableHttpClient createSSLClientDefault() { SSLContext sslContext;try {sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {//信任所有@Overridepublic boolean isTrusted(X509Certificate[] xcs, String string) {return true;}}).build();SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext);return HttpClients.custom().setSSLSocketFactory(sslsf).build();} catch (Exception ex) {logger.error(ex.getMessage(), ex);}return HttpClients.createDefault();}
这样就可以正常的调用HTTPS服务了。但是当我们的服务部署到线上环境以后,由于生产机器找不到外部接口的域名,所以配置了host,指向该外部接口所在的Nginx服务器,但是请求一直报错:doesn't match any of the subject alternative names: []。用curl -k调用该接口,报(35) SSL connect error错误,当初还一度怀疑linux机器openssl版本问题,所以强制升级了一个版本还是没有解决。后面知道curl有个-v的参数,错误信息如下:
* Initializing NSS with certpath: sql:/etc/pki/nssdb* CAfile: /etc/pki/tls/certs/ca-bundle.crt CApath: none* NSS error -5990* Closing connection #0* SSL connect errorcurl: (35) SSL connect error
所以按照网上的流程升级了一下nss版本,最终curl -k可以调通服务了。但是通过httpclient还是报错,所以可以排除掉openssl的问题。所以只能分析下测试环境和生产环境的差异,看问题到底出现在什么地方。
后面通过咨询外部接口的同事,了解到他们的外部接口服务接入了公司内部的智能网关,在智能网关配置了统一的HTTPS证书。而且只要接入了智能网关的服务,请求都会先经过智能网关,然后转发到他们自己的服务器。但是生产环境和智能网关不在同一网络,而且解析不到外部接口的域名,只能通过host映射到他们的Nginx服务器上。看一下测试环境请求外部接口的网络拓扑:
测试环境请求网络拓扑
生产环境的请求网络拓扑:
生产环境请求网络拓扑
总算有点眉目了,测试环境能调通主要是能在内部DNS服务器解析到对应域名。而生产环境是通过host来做的映射,当去解析域名的时候发现当前网络没有该域名,所以报错doesn't match any of the subject alternative names: []。当时有两种思路,第一种:能不能在生产环境开启访问智能网关的权限,然后直接走域名,但是公司不知道基于什么考虑,不允许这样做。第二种:http client是否支持不解析域名的操作,确实http client可以设置不解析host的策略,将其创建SSLClient的代码调整为如下代码:
private static CloseableHttpClient createSSLClientDefault() { try {SSLContextBuilder builder = new SSLContextBuilder();builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());//不进行主机名验证SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(builder.build(),NoopHostnameVerifier.INSTANCE);Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create().register("http", new PlainConnectionSocketFactory()).register("https", sslConnectionSocketFactory).build();PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);cm.setMaxTotal(100);CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslConnectionSocketFactory).setDefaultCookieStore(new BasicCookieStore()).setConnectionManager(cm).build();return httpclient;} catch (Exception e) {logger.error("createSSLClientDefault error", e);}return null;}
即可解决问题。一个https的小问题确实耗费了我不少的时间,记录一下。
以上就是如何解决线上Https请求报错的问题,小编相信有部分知识点可能是我们日常工作会见到或用到的。希望你能通过这篇文章学到更多知识。更多详情敬请关注亿速云行业资讯频道。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
