logo标签列表

使用 Feign 和 SSL 证书

javaspringspring-bootsslspring-cloud-feign
7

我正在尝试访问一个使用https保护的应用程序,我有一个p12证书(已导入为.cer到jdk的cacerts文件夹中)。

我已经尝试了这个教程,但没有成功: https://dzone.com/articles/ssl-based-feignclient-example-in-java-microcervice

我还使用了这个解决方案的一部分: How to use p12 client certificate with spring feign client

调试ssl连接时,我得到了以下错误: javax.net.ssl|ERROR|25|http-nio-auto-1-exec-1|2021-01-26 16:56:34.789 BRT|TransportContext.java:317|Fatal (HANDSHAKE_FAILURE): Received fatal alert: handshake_failure

我的当前feign配置类:

    @Bean
    @ConditionalOnMissingBean
    public Feign.Builder feignBuilder(Retryer retryer) {
        return Feign.builder().retryer(retryer);
    }
    
    @Bean
    public Feign.Builder feignBuilder() {
        return Feign.builder()
            .retryer(Retryer.NEVER_RETRY)
            .client(new Client.Default(getSSLSocketFactory(), null));
    }
    
    private SSLSocketFactory getSSLSocketFactory() {
        String keyStorePassword = "myPassword";
        char[] allPassword = keyStorePassword.toCharArray();
        SSLContext sslContext = null;
        try {
            sslContext = SSLContextBuilder
                .create()
                .setKeyStoreType("PKCS12")
                .loadKeyMaterial(ResourceUtils.getFile("keypath"), allPassword, allPassword)
                .build();
        } catch (Exception e) {  }
        return sslContext.getSocketFactory();
    }

在代码的调试部分,我可以看到我的证书存在,但是我的java仍然出现了握手错误。我对ssl概念还很陌生,可能配置错了一些东西。
最后一点需要注意的是,在feign配置类中,通过系统设置信任库和密码。
         System.setProperty("javax.net.ssl.trustStorePassword", "pass");
        System.setProperty("javax.net.ssl.trustStore", "pathtocerth.p12");

错误变成了这样:

javax.net.ssl|ERROR|25|http-nio-auto-1-exec-1|2021-01-26 16:48:58.551 BRT|TransportContext.java:317|致命错误(CERTIFICATE_UNKNOWN):PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException: 无法找到请求目标的有效认证路径

4个回答
2
如果有人在2023年遇到同样的问题,我将客户端配置为Feign配置中的Bean,并在那里设置了SSL Socket Factory详细信息。
Gradle导入:
implementation 'org.springframework.cloud:spring-cloud-starter-openfeign:3.1.6'
implementation 'io.github.openfeign:feign-httpclient:12.3'

Feign配置中的客户端Bean:

@Bean
public Client feignClient() throws Exception {
    log.info("Configuring SSL Context for Feign Client");
    return new Client.Default(createSSLContext(), SSLConnectionSocketFactory.getDefaultHostnameVerifier());
}

并从资源文件中创建了SSL Socket Factory,如下所示:

private SSLSocketFactory createSSLContext() throws Exception {
    String trustStorePath = "classpath:cacerts"
    String keyStorePath = "classpath:client-key.pfx"

    log.info("Trust Store for Feign Client: " + trustStorePath);
    log.info("Key Store for Feign Client: " + keyStorePath);

    KeyStore keyStore = KeyStore.getInstance("PKCS12"); // PKCS12 for PFX files. Change this to 'JKS' if you are using java keystore
    keyStore.load(new FileInputStream(ResourceUtils.getFile(keyStorePath)), keyStorePassword.toCharArray());

    SSLContext context = SSLContextBuilder.create()
            .loadTrustMaterial(ResourceUtils.getFile(trustStorePath), trustStorePassword.toCharArray())
            .loadKeyMaterial(keyStore, keyStorePassword.toCharArray())
            .build();
    return context.getSocketFactory();
}
0
我自己回答,因为我找到了问题所在。如果有人遇到同样的问题,解决方案非常简单。
在应用程序属性中,您需要添加以下属性:
feign.httpclient.disableSslValidation=true
feign.httpclient.enabled=false
feign.okhttp.enabled=true

来自

<dependency>
    <groupId>io.github.openfeign</groupId>
    <artifactId>feign-httpclient</artifactId>
    <version>9.4.0</version>
</dependency>

设置 Feign 的配置类

@Configuration
public class CustomFeignConfiguration {

    @Bean
    public void Config() {  
        System.setProperty("javax.net.ssl.keyStoreType", "PKCS12");    
        System.setProperty("javax.net.ssl.keyStore", "path to p12");  
        System.setProperty("javax.net.ssl.keyStorePassword", "key password"); 
    }

在Feign请求中使用Feign配置

@FeignClient(name = "foo", url = "https://foo/foo",
configuration = CustomFeignConfiguration.class)
public interface IFeingRequest {

request here

}

使用这个解决方案,我不需要将证书转换并存储到Java信任存储中。
我认为这是错误的,因为您正在设置默认密钥库。 - Diego Ramos
6
你为什么禁用SSL验证? - George Thomas
1
我本来要和乔治说一样的话。这并不是解决方案。实际上,你是在禁用SSL验证。 - Sidney de Moraes
这是非常不正确的 :) 它禁用了SSL验证。 - undefined
0

您可以通过Spring应用程序属性直接添加密钥(和可选的其他信任存储)。

server:
  ssl:
    #trust-store: path_to_your_truststore
    #trust-store-password: changeit
    #trust-store-type: JKS
    #trust-store-provider: SUN
    key-store: path_to_your_keystore
    key-store-password: changeit
    key-alias: 1
    key-store-type: PKCS12
    key-store-provider: SUN
    key-password: changeit
    protocol: TLS

要识别关键别名、密钥库类型和密钥库提供程序,您可以使用以下命令:

keytool -list -keystore  path_to_keystore

但是如果您只想关闭主机名验证,那么上述步骤是不必要的。您可以通过添加以下属性来为 Feign HttpClient 进行配置:

feign.httpclient.disableSslValidation=true

还有这个 Maven 依赖项:

<dependency>
    <groupId>io.github.openfeign</groupId>
    <artifactId>feign-httpclient</artifactId>
</dependency>

不需要 okhttp。

谢谢。我可以问一下,在不使用其他库(如 io.github.openfeign 中的 feign-httpclient)的情况下,是否可以在 openfeign 上配置和启用 HTTPS? - Nick Wills
如果没有将库作为Maven依赖项提供,则OpenFeign将默认使用一些已配置的客户端。但在这种情况下,像disableSslValidation之类的某些配置参数将无法正常工作。 - Bertolt
0
这个问题与特定证书未包含在受信任的证书存储中有关。 为了开发目的,我们可以创建一个接受 TrustStrategy,如下所示:
TrustStrategy acceptingTrustStrategy = (cert, authType) -> true;

然后可以直接在SSLContextBuilder中使用它:

.loadTrustMaterial(null, acceptingTrustStrategy)
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接