我正在尝试解决我的Jetty servlet在HTTPS上运行的问题。
它在浏览器中显示此错误页面:
我做了什么:
1.我创建了我的密钥库和信任库,如下所述:How to generate keystore and truststore
1.这两个文件都放在我的项目目录中,并编写了加载这些文件的代码。
package sk.cood.metahost.server;
import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.eclipse.jetty.server.*;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.eclipse.jetty.util.ssl.SslContextFactory;
import java.io.*;
@WebServlet(displayName = "MetaHostServlet", urlPatterns = { "/*" })
public class MetaHostServlet extends HttpServlet {
private static File keyStoreFile;
private static File trustStoreFile;
public static void main(String[] args) throws Exception {
loadKeyStores();
Server server = new Server(8080);
ServerConnector connector = createSSLConnector(server, "password", "password", false);
server.addConnector(connector);
ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
context.addServlet(new ServletHolder(new MetaHostServlet()),"/*");
context.setContextPath("/");
server.setHandler(context);
server.start();
server.join();
}
private static void loadKeyStores() {
keyStoreFile = new File("keystore.jks");
trustStoreFile = new File("truststore.jks");
if (!keyStoreFile.exists()) {
throw new RuntimeException("Key store file does not exist on path '"+keyStoreFile.getAbsolutePath()+"'");
}
if (!trustStoreFile.exists()) {
throw new RuntimeException("Trust store file does not exist on path '"+trustStoreFile.getAbsolutePath()+"'");
}
}
private static ServerConnector createSSLConnector(Server server, String keyStorePassword, String trustStorePassword, boolean isClientAuthNeeded) {
SslContextFactory.Server sslContextFactory = new SslContextFactory.Server();
sslContextFactory.setKeyStorePath(keyStoreFile.getAbsolutePath());
sslContextFactory.setKeyStorePassword(keyStorePassword);
sslContextFactory.setTrustStorePath(trustStoreFile.getAbsolutePath());
sslContextFactory.setTrustStorePassword(trustStorePassword);
sslContextFactory.setNeedClientAuth(isClientAuthNeeded);
HttpConfiguration https_config = new HttpConfiguration();
https_config.setSendServerVersion(false);
https_config.setRequestHeaderSize(512 * 1024);
https_config.setResponseHeaderSize(512 * 1024);
SecureRequestCustomizer src = new SecureRequestCustomizer();
https_config.addCustomizer(src);
return new ServerConnector(server, sslContextFactory, new HttpConnectionFactory(https_config));
}
@Override
public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
res.setContentType("text/html");
res.setStatus(HttpServletResponse.SC_OK);
res.getWriter().println("<h1>Hello World!</h1>");
res.getWriter().println("session=" + req.getSession(true).getId());
}
}1.我用jetty启动了我的servlet,并尝试连接到localhost:8080,出现了提到的错误。
然后我尝试通过其他指南创建其他密钥库和信任库,例如,我将DNS替代名称添加到我的新密钥库中,如下所述:但是什么都帮不了我。
我不知道在我的情况下是什么问题,也许有人更有经验的码头和证书会有所帮助。
太感谢你了!
3条答案
按热度按时间g2ieeal71#
此消息意味着HTTP客户端的TLS层提供的SNI与密钥库中的SNI主机不匹配。
了解SNI本身的限制:
localhost192.168.1.215或fe80::3831:400c:dc07:7c40).(因此不要使用简写主机名/域名,请使用完全限定的规范主机名/域名)这些限制在规范中,并且通常是大多数问题(如您所遇到的问题)的原因。
根据您的Java版本,这些SNI限制在Java网络堆栈中的检查速度比其他版本的Java要快。(Java 11在主机名限制中的
.限制比Java 17+更少,Java 17+会强制执行它)mrphzbgm2#
当我从本地运行我的应用程序时,我也遇到了同样的问题。由于本地主机不允许SNI,我在代码中暂时禁用了SNI检查。下面是我修改的本地运行应用程序的代码:
注意:对于PROD版本,SniHostCheck仍然被设置为true。我不建议任何人将其设置为false。
rwqw0loc3#
对于自签名密钥库,需要将主机名(例如localhost)放入名称中是很棘手的。
https://community.pivotal.io/s/article/Generating-a-self-signed-SSL-certificate-using-the-Java-keytool-command?language=en_US
当提示输入名字和姓氏时,请输入服务器的域名。例如,myserver或myserver.mycompany.com