如何在 Java 中處理自簽名或過期的 SSL 憑證？

覆蓋Java 用戶端中的SSL 憑證驗證

連接到具有自簽章或過期SSL 憑證的伺服器時，預設Java 行為是拒絕連線。要允許此類連接，您有兩個主要選項：

選項1：將憑證新增至信任庫

這涉及透過匯入伺服器的憑證來建立信任鏈進入JVM 的信任庫：

<JAVA_HOME>/bin/keytool -import -v -trustcacerts \
-alias server-alias -file server.cer \
-keystore cacerts.jks -keypass changeit \
-storepass changeit

選項2：停用憑證驗證

不建議此方法，因為它會削弱安全性，但可以使用以下程式碼來完成：

// Create a trust manager that doesn't validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[] {
    new X509TrustManager() {
        public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; }
        public void checkClientTrusted(X509Certificate[] certs, String authType) {}
        public void checkServerTrusted(X509Certificate[] certs, String authType) {}
    }
};

// Install the all-trusting trust manager
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

// Access the HTTPS URL without certificate validation
URL url = new URL("https://hostname/index.html");

建議

為了增強安全性，強烈建議避免停用憑證驗證（選項2），而是使用信譽良好的CA來簽署您的憑證伺服器的憑證（或將自簽名憑證匯入信任庫）。

以上是如何在 Java 中處理自簽名或過期的 SSL 憑證？的詳細內容。更多資訊請關注PHP中文網其他相關文章！