进入正题:
我们系统依赖一个外部查询接口,是HTTPS提供服务的,由于外部系统没有测试环境,所以我们都是直接请求的他们生产环境。项目里面我们使用的HttpClient,其创建SSLClient的代码如下:
private static CloseableHttpClient createSSLClientDefault() {
SSLContext sslContext;
try {
sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
//信任所有
@Override
public boolean isTrusted(X509Certificate[] xcs, String string) {
return true;
}
}).build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(sslContext);
return HttpClients.custom().setSSLSocketFactory(sslsf).build();
} catch (Exception ex) {
logger.error(ex.getMessage(), ex);
}
return HttpClients.createDefault();
}
这样就可以正常的调用HTTPS服务了。但是当我们的服务部署到线上环境以后,由于生产机器找不到外部接口的域名,所以配置了host,指向该外部接口所在的Nginx服务器,但是请求一直报错:doesn't match any of the subject alternative names: []。用curl -k调用该接口,报(35) SSL connect error错误,当初还一度怀疑linux机器openssl版本问题,所以强制升级了一个版本还是没有解决。后面知道curl有个-v的参数,错误信息如下:
* Initializing NSS with certpath: sql:/etc/pki/nssdb
* CAfile: /etc/pki/tls/certs/ca-bundle.crt
CApath: none
* NSS error -5990
* Closing connection #0
* SSL connect error
curl: (35) SSL connect error
所以按照网上的流程升级了一下nss版本,最终curl -k可以调通服务了。但是通过httpclient还是报错,所以可以排除掉openssl的问题。所以只能分析下测试环境和生产环境的差异,看问题到底出现在什么地方。
后面通过咨询外部接口的同事,了解到他们的外部接口服务接入了公司内部的智能网关,在智能网关配置了统一的HTTPS证书。而且只要接入了智能网关的服务,请求都会先经过智能网关,然后转发到他们自己的服务器。但是生产环境和智能网关不在同一网络,而且解析不到外部接口的域名,只能通过host映射到他们的Nginx服务器上。看一下测试环境请求外部接口的网络拓扑:
生产环境的请求网络拓扑:
总算有点眉目了,测试环境能调通主要是能在内部DNS服务器解析到对应域名。而生产环境是通过host来做的映射,当去解析域名的时候发现当前网络没有该域名,所以报错doesn't match any of the subject alternative names: []。当时有两种思路,第一种:能不能在生产环境开启访问智能网关的权限,然后直接走域名,但是公司不知道基于什么考虑,不允许这样做。第二种:http client是否支持不解析域名的操作,确实http client可以设置不解析host的策略,将其创建SSLClient的代码调整为如下代码:
private static CloseableHttpClient createSSLClientDefault() {
try {
SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
//不进行主机名验证
SSLConnectionSocketFactory sslConnectionSocketFactory = new SSLConnectionSocketFactory(builder.build(),
NoopHostnameVerifier.INSTANCE);
Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
.register("http", new PlainConnectionSocketFactory())
.register("https", sslConnectionSocketFactory)
.build();
PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);
cm.setMaxTotal(100);
CloseableHttpClient httpclient = HttpClients.custom()
.setSSLSocketFactory(sslConnectionSocketFactory)
.setDefaultCookieStore(new BasicCookieStore())
.setConnectionManager(cm).build();
return httpclient;
} catch (Exception e) {
logger.error("createSSLClientDefault error", e);
}
return null;
}
即可解决问题。一个https的小问题确实耗费了我不少的时间,所以有必要记录一下。