我们正在编写一款应用程序,必须使用HTTPS与几个服务器进行通信。
它需要与AWS(使用AWS库)和一些使用TLS 1.2的内部服务进行通信。
我开始通过更改我的HttpClient来使用TLS 1.2 SSLContext:
如果我在Spring中定义两个HttpClient,一个使用TLS 1.2版本,另一个是默认的,会出现以下错误。我认为这意味着Spring不允许实例化和自动装配两个HttpClient对象:
我开始通过更改我的HttpClient来使用TLS 1.2 SSLContext:
public static SchemeRegistry buildSchemeRegistry() throws Exception {
final SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
sslContext.init(createKeyManager(), createTrustManager(), new SecureRandom());
final SchemeRegistry schemeRegistry = new SchemeRegistry();
schemeRegistry.register(new Scheme("https", 443, new SSLSocketFactory(sslContext)));
return schemeRegistry;
}
我尝试将SchemeRegistry注入DefaultHttpClient对象(通过Spring),但这样做会导致来自AWS的错误,因此我认为(可能是错误的)AWS不支持TLS 1.2 (如果只使用正常的DefaultHttpClient,我就不会收到此消息):
AmazonServiceException: Status Code: 403, AWS Service: AmazonSimpleDB, AWS Request ID: 5d91d65f-7158-91b6-431d-56e1c76a844c, AWS Error Code: InvalidClientTokenId, AWS Error Message: The AWS Access Key Id you provided does not exist in our records.
如果我在Spring中定义两个HttpClient,一个使用TLS 1.2版本,另一个是默认的,会出现以下错误。我认为这意味着Spring不允许实例化和自动装配两个HttpClient对象:
SEVERE: Servlet /my-refsvc threw load() exception
java.lang.NullPointerException
at com.company.project.refsvc.base.HttpsClientFactory.<clinit>(BentoHttpsClientFactory.java:25)
...
org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.instantiateUsingFactoryMethod(AbstractAutowireCapableBeanFactory.java:1031)
at
...
org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:223)
我没有在Java中经常使用HTTPS,所以能否请好心人给些建议呢? 1)我应该如何让Spring允许两个HttpClient对象,其中一个将被连线到AWS stuff beans,而另一个则将被连线到其他服务TLS1.2的beans。 2)或者是有可能更改一个HttpClient对象来尝试TLS1.2(通过SSLContext或SchemeRegistry等),如果失败,则尝试TLS1.1或1.0吗? 3)如果两者都可行,哪种方法会更好呢?
SSLContext.getInstance("TLSv1.1")
或SSLContext.getInstance("TLS")
时,您是否会收到相同的错误? - BrunoSSLContext
(SSLContext sslContext = SSLContext.getDefault()
已初始化)。否则,尝试减少自定义:sslContext.init(createKeyManager(), null, null)
应该使用TM和SecureRandom的默认值。对于keymanager没有默认值,因此如果服务器请求客户端证书,则您的keymanager代码可能仍然存在问题(仅在这种情况下有用)。 - Bruno