小贝子编程

SSLPeerUnverifiedException: 对等方未使用有效证书进行身份验证



我有由Geo Trust签名的https证书。所有浏览器都可以很好地打开我的网站。我的应用程序通过https授权,大多数时候一切正常。但有时用户无法连接并出现错误:

javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated
at sun.security.ssl.SSLSessionImpl.getPeerCertificates(Unknown Source)
at org.apache.http.conn.ssl.AbstractVerifier.verify(AbstractVerifier.java:126)
at org.apache.http.conn.ssl.SSLSocketFactory.connectSocket(SSLSocketFactory.java:572)
at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:180)
at org.apache.http.impl.conn.ManagedClientConnectionImpl.open(ManagedClientConnectionImpl.java:294)
at org.apache.http.impl.client.DefaultRequestDirector.tryConnect(DefaultRequestDirector.java:645)
at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:480)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:906)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:805)
at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:784)
at org.greencubes.downloader.Downloader.downloadFile(Unknown Source)
at org.greencubes.lil.Launcher.<init>(Unknown Source)
at org.greencubes.lil.Launcher.main(Unknown Source)

最后一个用户有Windows 7 x86和java 1.7_45u。它发生在随机操作系统和随机 java 更新上,我不知道原因。有时它没有发生,但通常如果用户有这样的错误,没有什么可以帮助。

我无法将证书添加到用户的密钥中,因为这是用户应用程序。

目标网址 auth.greencubes.org(空响应必须返回403),可以检查。

因此,我在一位用户的帮助下发现了一个问题。问题在于卡巴斯基杀毒软件(也可能是其他一些防病毒软件/防火墙,ESET NOD可能是)通过替换SSL证书来检查加密连接,并且默认java密钥库没有卡巴斯基CA证书(因为它是在安装防病毒软件时生成的)。

第一种解决方案是禁用检查加密连接或完全检查连接(Web防病毒功能)或禁用防病毒软件。

正确的解决方案是尝试使用Windows的KeyStore,其中防病毒软件的CA证书是由防病毒软件本身添加的。这可以通过设置 JVM 参数来完成:

-Djavax.net.ssl.trustStoreType=Windows-ROOT

(它必须是"Windows-ROOT",而不是"Windows-MY"!)

或者通过在应用程序启动时执行此代码(最好在main()函数中):

System.setProperty("javax.net.ssl.trustStoreType", "Windows-ROOT");

您只需要确保它是Windows系统,因此命令行参数不是通用解决方案。

此代码可用于确保 Windows 密钥存储存在且有效:

if(System.getProperty("os.name").toLowerCase().contains("windows")) {
    try {
        KeyStore ks = KeyStore.getInstance("Windows-ROOT");
        ks.load(null, null);
        System.setProperty("javax.net.ssl.trustStoreType", "Windows-ROOT");
    } catch(Exception e) {
        // Ignore: windows keystore is bad, left default
    }
}

相关内容

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium