提前感谢您的帮助。
我在Java TestNG中针对部署到非安全内部QA环境的api开发了一套api测试。最近,该应用程序被重新部署到一个新的安全环境中。当发生这种情况时,我开始在每个api请求上看到以下错误,包括GET和POST:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
我的第一步是安装相应的证书,即使它是由DigiCert签署的,所以默认情况下应该批准。
keytool -import -alias ca -file qa4cert.crt -keystore cacerts -storepass changeit
这没有效果。我还尝试通过IDE(Intellij)添加证书。再一次,没有效果,仍然看到相同的错误。
由于我无法在这里取得进展,而且我仍然在没有敏感数据的内部QA环境中工作,我很乐意放弃证书验证并安装一个完全信任的证书管理器。我的简单实现如下:
package test_utils;
import javax.net.ssl.*;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
public class SSLTool {
private static boolean isTrustAllCertsInitialized = false;
public static void disableCertificateValidation() {
if (isTrustAllCertsInitialized) {
return;
}
isTrustAllCertsInitialized = true;
try {
SSLContext ctx = SSLContext.getInstance("TLS");
X509TrustManager tm = new X509TrustManager() {
public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return null;
}
};
ctx.init(null, new TrustManager[]{tm}, null);
SSLContext.setDefault(ctx);
System.out.println("new trust manager should be set");
} catch (Exception e) {
e.printStackTrace();
}
return ctx;
}
}
我在测试套件中运行上述代码作为我的--before--实现的一部分,并验证我们到达try块的末尾,因此应该设置新的All_trusting TrustManager。不幸的是,这也没有效果,我仍然看到错误。
为了尝试隔离问题,我通过Postman和curl处理了相同的POST请求,两者都返回了所需的结果,没有错误。
为了理智,我还打了一些既安全又不安全的公共网址,也得到了理想的结果。
此时我很难过。由于Postman和curl工作,错误必须与我的实现有关,但我不明白为什么它适用于我们的旧环境而不是新的环境。我的代码的调试版本产生了一个失败的get请求如下。在通过ide运行时,以及通过带有maven的命令行都会失败。
测试文件
public class DebugTests extends BaseTest {
@Test
public void debug() {
BaseApi api = new BaseApi();
api.debugGet("<<MYURL>>");
}
BaseTest
@Listeners(Listener.class)
public class BaseTest {
@BeforeMethod
public void before() {
// the below function is used to disable certificate validation. It is ONLY meant to be used in testing environments
// if used in production it exposes our test suite to MITM attacks.
SSLTool.disableCertificateValidation();
}
@AfterMethod
public void after() {
}
}
API对象的相关代码
public BaseApi() {
SSLContext ctx = SSLTool.disableCertificateValidation();
client = HttpClients.custom().setSSLContext(ctx).build();
System.out.println("trust manager set");
}
public void debugGet(String endpoint) {
try {
client.execute(this.buildGetConnection(endpoint, false));
} catch (Exception e) {
e.printStackTrace();
}
}
protected HttpGet buildGetConnection(String endpoint) {
return this.buildGetConnection(endpoint, true);
}
protected HttpGet buildGetConnection(String endpoint, boolean auth) {
//TODO build a switch to change testing environments based off command line
HttpGet get = new HttpGet(rootUrl + endpoint);
if(auth) {
StsAuthApi authApi = new StsAuthApi();
get.setHeader("Authorization", "Bearer " + authApi.getToken());
}
get.setHeader("accept","application/json");
get.setHeader("Content-Type","application/xml");
System.out.println("making GET request to " + rootUrl + endpoint);
return get;
}
在我的调试实现中,rooturl是一个空字符串,因此url匹配通过测试用例提供的字符串。
答案 0 :(得分:0)
HttpClients.createDefault()不会使用您的null信任管理器。它在内部创建并初始化SSLContext,如下所示:
final SSLContext sslContext = SSLContext.getInstance(SSLContextBuilder.TLS);
sslContext.init(null, null, null);
您可以改为创建HttpClient:
HttpClients.custom()
.setSSLContext(ctx)
.build();
ctx是您在disableCertificateValidation()方法中创建的那个。
关于为什么在将证书添加到cacerts时无法正常工作的问题仍然存在。如果您正确执行了该操作,则默认客户端应该已使用它。如果要进一步调试系统属性,可以设置系统属性javax.net.debug=all(当它首次初始化到上下文中时,它将打印出您的信任库)。