В процессе разработки исключение установления соединения Java SSL (безопасный уровень сокетов) является распространенной ошибкой сетевой связи.,Особенно при использованииHTTPSпротокол При безопасном общении。В этой статье будет подробно разобранjavax.net.ssl.SSLHandshakeException: SSLЭтот необычный фон、возможные причины,Приведены примеры кода, которые помогут вам понять и решить проблему.

1. Проанализируйте предысторию проблемы

javax.net.ssl.SSLHandshakeExceptionэто своего родаSSL/TLSИсключение произошло во время рукопожатия,Обычно происходит, когда между клиентом и сервером установлено безопасное соединение. Подтверждение SSL является важным шагом в обеспечении безопасности связи между обеими сторонами.,К ним относятся проверка сертификатов, согласование алгоритмов шифрования и генерация симметричных ключей. Если в ходе этого процесса возникнут какие-либо проблемы,Например, сертификат недействителен или не доверен, не совпадает версия протокола и т. д.,Это приведет к сбою установления связи SSL.,таким образом бросаяSSLHandshakeException。

Пример сценария

Предположим, мы пытаемся получить доступ к API через HTTPS-запрос в Java-приложении:

URL url = new URL("https://example.com/api");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setRequestMethod("GET");
InputStream response = connection.getInputStream();

Если SSL-сертификат сервера не пользуется доверием клиента,Или проблема с сертификатом,При запуске приведенного выше кода он выдастSSLHandshakeException。

2. Причины возможных ошибок

привести кjavax.net.ssl.SSLHandshakeExceptionПричины в основном заключаются в следующем：

1. Выдача сертификата：серверпредоставленоSSLСертификат не былклиентдоверять。Вероятно, потому что сертификат самоподписанный,Или у клиента отсутствует доверенный корневой сертификат для сертификата.
2. несоответствие протокола：клиентисерверподдерживаетсяSSL/TLSпротокол Версия несовместима。напримерсервер Поддерживает толькоTLSv1.2,И клиент пытается использовать TLSv1.3.
3. Срок действия сертификата истек：сервер Срок действия сертификата истек или еще не действителен,Вызывает сбой подтверждения SSL.
4. Ошибка конфигурации сертификата：сервер Ошибка конфигурации,Сертификат SSL не установлен или настроен неправильно,В результате клиент не может успешно выполнить рукопожатие.
5. атака «человек посередине»：в некоторых случаях,Сбой SSL-квитирования может быть связан с атакой «человек посередине», в результате чего клиент получил поддельный сертификат.

3. Примеры кодов ошибок

Следующее дает возможностьпривести кSSLHandshakeExceptionпример кода：

import javax.net.ssl.HttpsURLConnection;
import java.io.InputStream;
import java.net.URL;

public class SSLHandshakeExample {
    public static void main(String[] args) {
        try {
            URL url = new URL("https://self-signed.badssl.com/");
            HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
            connection.setRequestMethod("GET");
            InputStream response = connection.getInputStream();
            // Обработка ответа
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

Анализ ошибок

В этом примере,клиент Попытка доступа к серверу с использованием самозаверяющего сертификатасерверhttps://self-signed.badssl.com/。из-за самоподписанного Сертификат не былдоверять,SSLБудет брошен во время рукопожатияSSLHandshakeException,и соединение не будет установлено.

4. Правильные примеры кода

чтобы решитьSSLHandshakeException,Мы можем выбрать один из следующих методов:

1. Доверяйте самозаверяющим сертификатам：В среде разработки или тестирования,Вы можете доверять всем сертификатам (включая самозаверяющие сертификаты), настроив контекст SSL. но, пожалуйста, обратите внимание,Этот метод подходит только для непроизводственных сред.,Потому что это снижает безопасность.

import javax.net.ssl.*;
import java.io.InputStream;
import java.net.URL;
import java.security.cert.X509Certificate;

public class SSLHandshakeSolution {
    public static void main(String[] args) {
        try {
            // Создайте диспетчер доверия, который доверяет всем сертификатам.
            TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    public X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }

                    public void checkClientTrusted(X509Certificate[] certs, String authType) {
                    }

                    public void checkServerTrusted(X509Certificate[] certs, String authType) {
                    }
                }
            };

            // Установите глобальный диспетчер доверия
            SSLContext sc = SSLContext.getInstance("TLS");
            sc.init(null, trustAllCerts, new java.security.SecureRandom());
            HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

            // Выполнение HTTPS-запросов
            URL url = new URL("https://self-signed.badssl.com/");
            HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
            connection.setRequestMethod("GET");
            InputStream response = connection.getInputStream();
            // Обработка ответа
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

1. Обновить хранилище доверенных сертификатов：в производственной среде,Вам следует добавить сертификат сервера в хранилище доверенных сертификатов клиента.,для обеспечения безопасности SSL-квитирования.

# Используйте keytool для импорта сертификата сервера в хранилище доверенных сертификатов клиента.
keytool -import -alias example -file server-cert.pem -keystore cacerts

1. Включить совместимые версии TLS：если это из-запротоколнесоответствие версий,Версии TLS, поддерживаемые клиентом, могут быть указаны явно.

HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.setSSLSocketFactory(SSLSocketFactory.getDefault());
// Обязательно используйте совместимую версию TLS.
connection.setEnabledProtocols(new String[]{"TLSv1.2", "TLSv1.3"});

5. На что следует обратить внимание

РазрешениеSSLHandshakeExceptionчас,Обратите внимание на следующее:

1. Доверяйте сертификатам с осторожностью：не хочув производственной средеслучайныйдоверять Все сертификаты,Это повлечет за собой большие риски для безопасности. Может использоваться временно во время разработки и тестирования.,Но в производственных средах должны использоваться правильно настроенные сертификаты.
2. Проверить действительность сертификата：убеждатьсясервер Сертификат действителен,В том числе проверка того, истек ли срок действия сертификата, выдан ли он доверенным центром сертификации и т. д.
3. Поддерживать совместимость протоколов：убеждатьсяклиентисервериспользуется междуSSL/TLSСовместимая версия,Особенно в системах с высокими требованиями безопасности.
4. обычный Обновить хранилище доверенных сертификатов：вместе счастечение времени,Корневые и промежуточные сертификаты могут быть обновлены.,Поэтому хранилище доверительных отношений клиента необходимо регулярно поддерживать.

С помощью вышеуказанных методов,Вы можете эффективно решитьjavax.net.ssl.SSLHandshakeException: SSLвопрос,Убедитесь, что ваши Java-приложения могут безопасно и стабильно обмениваться данными по сети. Надеюсь, эта статья будет вам полезна,Позволяет глубже понять и устранить эту распространенную аномалию установления связи SSL.