java org.eclipse.jetty.http.BadMessageException:400:无效的SNI

35g0bw71  于 2023-02-28  发布在  Java
关注(0)|答案(3)|浏览(801)

我正在尝试解决我的Jetty servlet在HTTPS上运行的问题。
它在浏览器中显示此错误页面:

我做了什么:
1.我创建了我的密钥库和信任库,如下所述:How to generate keystore and truststore
1.这两个文件都放在我的项目目录中,并编写了加载这些文件的代码。

package sk.cood.metahost.server;

import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.eclipse.jetty.server.*;
import org.eclipse.jetty.servlet.ServletContextHandler;
import org.eclipse.jetty.servlet.ServletHolder;
import org.eclipse.jetty.util.ssl.SslContextFactory;

import java.io.*;

@WebServlet(displayName = "MetaHostServlet", urlPatterns = { "/*" })
public class MetaHostServlet extends HttpServlet {
    private static File keyStoreFile;
    private static File trustStoreFile;

    public static void main(String[] args) throws Exception {
        loadKeyStores();

        Server server = new Server(8080);
        ServerConnector connector = createSSLConnector(server, "password", "password", false);
        server.addConnector(connector);

        ServletContextHandler context = new ServletContextHandler(ServletContextHandler.SESSIONS);
        context.addServlet(new ServletHolder(new MetaHostServlet()),"/*");
        context.setContextPath("/");
        server.setHandler(context);

        server.start();
        server.join();
    }

    private static void loadKeyStores() {
        keyStoreFile = new File("keystore.jks");
        trustStoreFile = new File("truststore.jks");
        if (!keyStoreFile.exists()) {
            throw new RuntimeException("Key store file does not exist on path '"+keyStoreFile.getAbsolutePath()+"'");
        }
        if (!trustStoreFile.exists()) {
            throw new RuntimeException("Trust store file does not exist on path '"+trustStoreFile.getAbsolutePath()+"'");
        }
    }

    private static ServerConnector createSSLConnector(Server server, String keyStorePassword, String trustStorePassword, boolean isClientAuthNeeded) {
        SslContextFactory.Server sslContextFactory = new SslContextFactory.Server();
        sslContextFactory.setKeyStorePath(keyStoreFile.getAbsolutePath());
        sslContextFactory.setKeyStorePassword(keyStorePassword);
        sslContextFactory.setTrustStorePath(trustStoreFile.getAbsolutePath());
        sslContextFactory.setTrustStorePassword(trustStorePassword);
        sslContextFactory.setNeedClientAuth(isClientAuthNeeded);

        HttpConfiguration https_config = new HttpConfiguration();
        https_config.setSendServerVersion(false);
        https_config.setRequestHeaderSize(512 * 1024);
        https_config.setResponseHeaderSize(512 * 1024);

        SecureRequestCustomizer src = new SecureRequestCustomizer();
        https_config.addCustomizer(src);

        return new ServerConnector(server, sslContextFactory, new HttpConnectionFactory(https_config));
    }

    @Override
    public void doGet(HttpServletRequest req, HttpServletResponse res) throws IOException, ServletException {
        res.setContentType("text/html");
        res.setStatus(HttpServletResponse.SC_OK);
        res.getWriter().println("<h1>Hello World!</h1>");
        res.getWriter().println("session=" + req.getSession(true).getId());
    }
}

1.我用jetty启动了我的servlet,并尝试连接到localhost:8080,出现了提到的错误。
然后我尝试通过其他指南创建其他密钥库和信任库,例如,我将DNS替代名称添加到我的新密钥库中,如下所述:但是什么都帮不了我。
我不知道在我的情况下是什么问题,也许有人更有经验的码头和证书会有所帮助。
太感谢你了!

g2ieeal7

g2ieeal71#

此消息意味着HTTP客户端的TLS层提供的SNI与密钥库中的SNI主机不匹配。
了解SNI本身的限制:

  • 不允许使用localhost
  • 不允许使用IP地址文字(例如:192.168.1.215fe80::3831:400c:dc07:7c40
  • 所有SNI主机名的名称中必须至少包含1个.(因此不要使用简写主机名/域名,请使用完全限定的规范主机名/域名)

这些限制在规范中,并且通常是大多数问题(如您所遇到的问题)的原因。
根据您的Java版本,这些SNI限制在Java网络堆栈中的检查速度比其他版本的Java要快。(Java 11在主机名限制中的.限制比Java 17+更少,Java 17+会强制执行它)

mrphzbgm

mrphzbgm2#

当我从本地运行我的应用程序时,我也遇到了同样的问题。由于本地主机不允许SNI,我在代码中暂时禁用了SNI检查。下面是我修改的本地运行应用程序的代码:

SecureRequestCustomizer src = new SecureRequestCustomizer();
src.setSniHostCheck(false);
https_config.addCustomizer(src);

注意:对于PROD版本,SniHostCheck仍然被设置为true。我不建议任何人将其设置为false。

rwqw0loc

rwqw0loc3#

对于自签名密钥库,需要将主机名(例如localhost)放入名称中是很棘手的。
https://community.pivotal.io/s/article/Generating-a-self-signed-SSL-certificate-using-the-Java-keytool-command?language=en_US
当提示输入名字和姓氏时,请输入服务器的域名。例如,myserver或myserver.mycompany.com

相关问题