Ignorando o certificado SSL no Apache HttpClient 4.3

102

Como ignorar o certificado SSL (confiar em todos) para Apache HttpClient 4.3 ?

Todas as respostas que encontrei no SO tratam de versões anteriores e a API mudou.

Relacionado:

Editar:

  • É apenas para fins de teste. Crianças, não experimentem em casa (ou na produção)
java ssl apache-httpcomponents Jakub M.
fonte

Respostas:

146

O código a seguir funciona para confiar em certificados autoassinados. Você deve usar TrustSelfSignedStrategy ao criar seu cliente:

SSLContextBuilder builder = new SSLContextBuilder();
builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        builder.build());
CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
        sslsf).build();

HttpGet httpGet = new HttpGet("https://some-server");
CloseableHttpResponse response = httpclient.execute(httpGet);
try {
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
} finally {
    response.close();
}

Não incluí SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIERpropositalmente: o objetivo era permitir o teste com certificados autoassinados para que você não precisasse adquirir um certificado adequado de uma autoridade de certificação. Você pode criar facilmente um certificado autoassinado com o nome de host correto, então faça isso em vez de adicionar o SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIERsinalizador.

mavroprovato
fonte
8
Tive que adicionar o argumento SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER ao construtor para fazê-lo funcionar com o HttpClientBuilder (conforme mencionado na resposta de holmis83 ao vaskt).
dejuknow,
consulte também o exemplo no site httpclient hc.apache.org/httpcomponents-client-4.3.x/httpclient/examples/…
arajashe
2
Também tive que usar o ALLOW_ALL_HOSTNAME_VERIFIER: SSLConnectionSocketFactory (builder.build (), SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);
Nome de exibição
Este código funciona para mim sem usar o construtor obsoleto com argumentoSSLConnectionSocketFactory.ALLOW_‌​ALL_HOSTNAME_VERIFIER
user11153
Gostaria que você tivesse especificado a referência completa da classe que estava usando. Várias classes chamadas SSLContextBuildersão encontradas pelo Idea.
MasterMind
91

Se você estiver usando o procedimento PoolingHttpClientConnectionManager acima não funcionar, o SSLContext personalizado será ignorado. Você deve passar socketFactoryRegistry no contructor ao criar PoolingHttpClientConnectionManager.

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
        sslContext, new X509HostnameVerifier() {
            @Override
            public void verify(String host, SSLSocket ssl)
                    throws IOException {
            }

            @Override
            public void verify(String host, X509Certificate cert)
                    throws SSLException {
            }

            @Override
            public void verify(String host, String[] cns,
                    String[] subjectAlts) throws SSLException {
            }

            @Override
            public boolean verify(String s, SSLSession sslSession) {
                return true;
            }
        });

Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder
        .<ConnectionSocketFactory> create().register("https", sslsf)
        .build();

PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(
        socketFactoryRegistry);
CloseableHttpClient httpclient = HttpClients.custom()
        .setConnectionManager(cm).build();
VasoKt
fonte
11
Em vez de construir seu próprio X509HostnameVerifier, você pode usar SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER.
holmis83
Conforme marcado abaixo por @ rich95, o padrão para HttpClients é fornecer um PoolingHttpClient, portanto, isso é relevante com frequência. Tive que tentar algumas dessas respostas antes de descobrir que precisava disso.
SunSear
1
Tentei aplicar isso no WebSphere e obtive "java.security.KeyStoreException: IBMTrustManager: Problema ao acessar o armazenamento confiável java.io.IOException: formato de keystore inválido" Para evitar, você precisa passar KeyStore trustStore = KeyStore.getInstance (KeyStore.getDefaultType ()); em vez de null para builder.loadTrustMaterial
Georgy Gobozov
1
Na verdade, com HttpClient 4.5, HttpClients.custom().setConnectionManager(cm).build()e HttpClients.custom().setSSLSocketFactory(connectionFactory).build()funcionarão, então você não precisa criar umaPoolingHttpClientConnectionManager
soulmachine
Como usar PoolingHttpClientConnectionManager depois de criar isso, meu código está funcionando, mas eu quero saber se o pool de conexão funciona ou não
Labeo
34

Como um complemento à resposta de @mavroprovato, se você quiser confiar em todos os certificados em vez de apenas autoassinados, você o faria (no estilo do seu código)

builder.loadTrustMaterial(null, new TrustStrategy(){
    public boolean isTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        return true;
    }
});

ou (copiar e colar direto do meu próprio código):

import javax.net.ssl.SSLContext;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.ssl.SSLContexts;

// ...

        SSLContext sslContext = SSLContexts
                .custom()
                //FIXME to contain real trust store
                .loadTrustMaterial(new TrustStrategy() {
                    @Override
                    public boolean isTrusted(X509Certificate[] chain,
                        String authType) throws CertificateException {
                        return true;
                    }
                })
                .build();

E se você quiser pular a verificação do nome do host também, você precisa definir 

    CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
            sslsf).setSSLHostnameVerifier( NoopHostnameVerifier.INSTANCE).build();

também. (ALLOW_ALL_HOSTNAME_VERIFIER está obsoleto).

Aviso obrigatório: você realmente não deveria fazer isso, aceitar todos os certificados é uma coisa ruim. No entanto, existem alguns casos de uso raros em que você deseja fazer isso.

Como uma observação ao código fornecido anteriormente, você desejará fechar a resposta mesmo se httpclient.execute () lançar uma exceção

CloseableHttpResponse response = null;
try {
    response = httpclient.execute(httpGet);
    System.out.println(response.getStatusLine());
    HttpEntity entity = response.getEntity();
    EntityUtils.consume(entity);
}
finally {
    if (response != null) {
        response.close();
    }
}

O código acima foi testado usando

<dependency>
    <groupId>org.apache.httpcomponents</groupId>
    <artifactId>httpclient</artifactId>
    <version>4.5.3</version>
</dependency>

E para os interessados, aqui está meu conjunto de testes completo:

import org.apache.http.HttpEntity;
import org.apache.http.client.methods.CloseableHttpResponse;
import org.apache.http.client.methods.HttpGet;
import org.apache.http.conn.ssl.NoopHostnameVerifier;
import org.apache.http.conn.ssl.SSLConnectionSocketFactory;
import org.apache.http.conn.ssl.TrustSelfSignedStrategy;
import org.apache.http.impl.client.CloseableHttpClient;
import org.apache.http.impl.client.HttpClients;
import org.apache.http.ssl.SSLContextBuilder;
import org.apache.http.ssl.TrustStrategy;
import org.apache.http.util.EntityUtils;
import org.junit.Test;

import javax.net.ssl.HostnameVerifier;
import javax.net.ssl.SSLHandshakeException;
import javax.net.ssl.SSLPeerUnverifiedException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class TrustAllCertificatesTest {
    final String expiredCertSite = "https://expired.badssl.com/";
    final String selfSignedCertSite = "https://self-signed.badssl.com/";
    final String wrongHostCertSite = "https://wrong.host.badssl.com/";

    static final TrustStrategy trustSelfSignedStrategy = new TrustSelfSignedStrategy();
    static final TrustStrategy trustAllStrategy = new TrustStrategy(){
        public boolean isTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            return true;
        }
    };

    @Test
    public void testSelfSignedOnSelfSignedUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLHandshakeException.class)
    public void testExpiredOnSelfSignedUsingCode() throws Exception {
        doGet(expiredCertSite, trustSelfSignedStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnSelfSignedUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustSelfSignedStrategy);
    }

    @Test
    public void testSelfSignedOnTrustAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy);
    }
    @Test
    public void testExpiredOnTrustAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy);
    }
    @Test(expected = SSLPeerUnverifiedException.class)
    public void testWrongHostOnTrustAllUsingCode() throws Exception {
        doGet(wrongHostCertSite, trustAllStrategy);
    }

    @Test
    public void testSelfSignedOnAllowAllUsingCode() throws Exception {
        doGet(selfSignedCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testExpiredOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }
    @Test
    public void testWrongHostOnAllowAllUsingCode() throws Exception {
        doGet(expiredCertSite, trustAllStrategy, NoopHostnameVerifier.INSTANCE);
    }

    public void doGet(String url, TrustStrategy trustStrategy, HostnameVerifier hostnameVerifier) throws Exception {
        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).setSSLHostnameVerifier(hostnameVerifier).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
    public void doGet(String url, TrustStrategy trustStrategy) throws Exception {

        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(trustStrategy);
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                builder.build());
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(
                sslsf).build();

        HttpGet httpGet = new HttpGet(url);
        CloseableHttpResponse response = httpclient.execute(httpGet);
        try {
            System.out.println(response.getStatusLine());
            HttpEntity entity = response.getEntity();
            EntityUtils.consume(entity);
        } finally {
            response.close();
        }
    }
}

(projeto de teste funcionando no github )

eis
fonte
1
HttpClient # execute nunca retornará um objeto de resposta nulo no caso de uma exceção. Além disso, as implementações de estoque HttpClient garantirão a desalocação automática de todos os recursos do sistema, como conexões alugadas, no caso de uma exceção durante a execução da solicitação. O tratamento de exceções usado pelo mavroprovato é perfeitamente adequado.
ok2c
@oleg, o ponto da interface Closable é "Fechar [...] o fluxo e liberar todos os recursos do sistema associados a ele. Se o fluxo já estiver fechado, invocar este método não terá efeito." portanto, é uma prática recomendada usá-lo mesmo que não seja necessário. Além disso, não entendo o comentário de retornar uma resposta nula - claro que não, se ele lançar uma exceção, ele não retorna nada?
eis
1
Apache HttpClient não sempre retorna um valor nulo ou objeto de resposta parcialmente inicializado. Isso não tem nada a ver com quantas vezes #close é invocado, mas sim com a verificação de nulos completamente desnecessária na cláusula finally
ok2c
@oleg e nunca o código que forneci assume que ele retornaria um objeto de resposta nulo ou parcialmente inicializado, ou mesmo verifica esse caso. Eu não tenho ideia do que você está falando?
eis
1
[ suspiro ] completamente desnecessário, visto que HttpResponse nunca pode ser nulo e no caso de uma exceção, o método #execute será encerrado sem retornar uma resposta ;-)
ok2c
22

Um pequeno acréscimo à resposta de vasekt:

A solução fornecida com o SocketFactoryRegistry funciona ao usar PoolingHttpClientConnectionManager.

No entanto, as conexões via http simples não funcionam mais. Você precisa adicionar um PlainConnectionSocketFactory para o protocolo http para fazê-los funcionar novamente:

Registry<ConnectionSocketFactory> socketFactoryRegistry = 
  RegistryBuilder.<ConnectionSocketFactory> create()
  .register("https", sslsf)
  .register("http", new PlainConnectionSocketFactory()).build();
migo
fonte
Eu acredito que o httpprotocolo está sendo usado PlainConnectionSocketFactory por padrão. Eu apenas me registrei httpse httpclientainda posso obter URLs HTTP simples. portanto, não acho que essa etapa seja necessária.
soulmachine
@soulmachine não será paraPoolingHttpClientConnectionManager
amseager
15

Depois de tentar várias opções, a configuração a seguir funcionou para http e https

        SSLContextBuilder builder = new SSLContextBuilder();
        builder.loadTrustMaterial(null, new TrustSelfSignedStrategy());
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(builder.build(),SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);


        Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
                .register("http", new PlainConnectionSocketFactory())
                .register("https", sslsf)
                .build();


        PoolingHttpClientConnectionManager cm = new PoolingHttpClientConnectionManager(registry);
        cm.setMaxTotal(2000);//max connection


        //System.setProperty("jsse.enableSNIExtension", "false"); //""
        CloseableHttpClient httpClient = HttpClients.custom()
                .setSSLSocketFactory(sslsf)
                .setConnectionManager(cm)
                .build();

Estou usando http-client 4.3.3 -

compile 'org.apache.httpcomponents:httpclient:4.3.3'

Saurabh
fonte
1
Obrigado por fornecer um exemplo abrangente e totalmente funcional! Eu estava encontrando vários problemas com as soluções anteriores e isso ajudou imensamente. Também ajudou o fato de você ter fornecido as instruções de importação, pois existem várias classes com os mesmos nomes, aumentando a confusão.
Helmy
8

Código de trabalho mais simples e curto:

Estamos usando HTTPClient 4.3.5 e tentamos quase todas as soluções existentes no stackoverflow, mas nada. Depois de pensar e descobrir o problema, chegamos ao seguinte código que funciona perfeitamente, basta adicioná-lo antes de criar a instância de HttpClient.

algum método que você usa para fazer a solicitação de postagem ...

SSLContextBuilder builder = new SSLContextBuilder();
    builder.loadTrustMaterial(null, new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            return true;
        }
    });

    SSLConnectionSocketFactory sslSF = new SSLConnectionSocketFactory(builder.build(),
            SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

    HttpClient httpClient = HttpClients.custom().setSSLSocketFactory(sslSF).build();
    HttpPost postRequest = new HttpPost(url);

continue chamando e usando a instância HttpPost na forma normal

Hamed MP
fonte
Como podemos postar dados nos cabeçalhos? Se tivermos, consulte HTTP / 1.1 400 Bad Request
6

Aqui está uma destilação de trabalho das técnicas acima, equivalente a "curl --insecure":

HttpClient getInsecureHttpClient() throws GeneralSecurityException {
    TrustStrategy trustStrategy = new TrustStrategy() {
        @Override
        public boolean isTrusted(X509Certificate[] chain, String authType) {
            return true;
        }
    };

    HostnameVerifier hostnameVerifier = new HostnameVerifier() {
        @Override
        public boolean verify(String hostname, SSLSession session) {
            return true;
        }
    };

    return HttpClients.custom()
            .setSSLSocketFactory(new SSLConnectionSocketFactory(
                    new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(),
                    hostnameVerifier))
            .build();
}
divbyzero
fonte
5

Ao usar o cliente http 4.5, tive que usar o javasx.net.ssl.HostnameVerifier para permitir qualquer nome de host (para fins de teste). Aqui está o que acabei fazendo:

CloseableHttpClient httpClient = null;
    try {
        SSLContextBuilder sslContextBuilder = new SSLContextBuilder();
        sslContextBuilder.loadTrustMaterial(null, new TrustSelfSignedStrategy());

        HostnameVerifier hostnameVerifierAllowAll = new HostnameVerifier() 
            {
                public boolean verify(String hostname, SSLSession session) {
                    return true;
                }
            };

        SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), hostnameVerifierAllowAll);

        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
            new AuthScope("192.168.30.34", 8443),
            new UsernamePasswordCredentials("root", "password"));

        httpClient = HttpClients.custom()
            .setSSLSocketFactory(sslSocketFactory)
            .setDefaultCredentialsProvider(credsProvider)
            .build();

        HttpGet httpGet = new HttpGet("https://192.168.30.34:8443/axis/services/getStuff?firstResult=0&maxResults=1000");

        CloseableHttpResponse response = httpClient.execute(httpGet);

        int httpStatus = response.getStatusLine().getStatusCode();
        if (httpStatus >= 200 && httpStatus < 300) { [...]
        } else {
            throw new ClientProtocolException("Unexpected response status: " + httpStatus);
        }

    } catch (Exception ex) {
        ex.printStackTrace();
    }
    finally {
        try {
            httpClient.close();
        } catch (IOException ex) {
            logger.error("Error while closing the HTTP client: ", ex);
        }
    }
Kurt
fonte
A implementação de HostnameVerifier resolveu o problema do HTTPClient 4.5.
digz6666
para quem adora lambdas (JDK1.8), pode substituir SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), hostnameVerifierAllowAll);por SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContextBuilder.build(), (hostName, sslSession) -> true);. Isso evita a classe anônima e torna o código um pouco mais legível.
Vielinko
3

No topo da PoolingHttpClientConnectionManagerjuntamente com Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory> create().register("https", sslFactory).build(); Se você quiser um assíncrono httpclient usando PoolingNHttpClientConnectionManagero código shoudl ser semelhante ao seguinte

SSLContextBuilder builder = SSLContexts.custom();
builder.loadTrustMaterial(null, new TrustStrategy() {
    @Override
    public boolean isTrusted(X509Certificate[] chain, String authType)
            throws CertificateException {
        return true;
    }
});
SSLContext sslContext = builder.build();
SchemeIOSessionStrategy sslioSessionStrategy = new SSLIOSessionStrategy(sslContext, 
                new HostnameVerifier(){
            @Override
            public boolean verify(String hostname, SSLSession session) {
                return true;// TODO as of now allow all hostnames
            }
        });
Registry<SchemeIOSessionStrategy> sslioSessionRegistry = RegistryBuilder.<SchemeIOSessionStrategy>create().register("https", sslioSessionStrategy).build();
PoolingNHttpClientConnectionManager ncm  = new PoolingNHttpClientConnectionManager(new DefaultConnectingIOReactor(),sslioSessionRegistry);
CloseableHttpAsyncClient asyncHttpClient = HttpAsyncClients.custom().setConnectionManager(ncm).build();
asyncHttpClient.start();
Anant Laxmikant Bobde
fonte
3

Se você estiver usando HttpClient 4.5.x, seu código pode ser semelhante ao seguinte:

SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null,
        TrustSelfSignedStrategy.INSTANCE).build();
SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(
        sslContext, NoopHostnameVerifier.INSTANCE);

HttpClient httpClient = HttpClients.custom()
                                   .setDefaultCookieStore(new BasicCookieStore())
                                   .setSSLSocketFactory(sslSocketFactory)
                                   .build();
Paul Vargas
fonte
não funcionou para mim. Estou usando o HttpClient: 4.5.5. e HttpCore 4.4.9
Vijay Kumar
2 
class ApacheHttpClient {

    /***
     * This is a https get request that bypasses certificate checking and hostname verifier.
     * It uses basis authentication method.
     * It is tested with Apache httpclient-4.4.
     * It dumps the contents of a https page on the console output.
     * It is very similar to http get request, but with the additional customization of
     *   - credential provider, and
     *   - SSLConnectionSocketFactory to bypass certification checking and hostname verifier.
     * @param path String
     * @param username String
     * @param password String
     * @throws IOException
     */
    public void get(String path, String username, String password) throws IOException {
        final CloseableHttpClient httpClient = HttpClients.custom()
                .setDefaultCredentialsProvider(createCredsProvider(username, password))
                .setSSLSocketFactory(createGenerousSSLSocketFactory())
                .build();

        final CloseableHttpResponse response = httpClient.execute(new HttpGet(path));
        try {
            HttpEntity entity = response.getEntity();
            if (entity == null)
                return;
            System.out.println(EntityUtils.toString(entity));
        } finally {
            response.close();
            httpClient.close();
        }
    }

    private CredentialsProvider createCredsProvider(String username, String password) {
        CredentialsProvider credsProvider = new BasicCredentialsProvider();
        credsProvider.setCredentials(
                AuthScope.ANY,
                new UsernamePasswordCredentials(username, password));
        return credsProvider;
    }

    /***
     * 
     * @return SSLConnectionSocketFactory that bypass certificate check and bypass HostnameVerifier
     */
    private SSLConnectionSocketFactory createGenerousSSLSocketFactory() {
        SSLContext sslContext;
        try {
            sslContext = SSLContext.getInstance("SSL");
            sslContext.init(null, new TrustManager[]{createGenerousTrustManager()}, new SecureRandom());
        } catch (KeyManagementException | NoSuchAlgorithmException e) {
            e.printStackTrace();
            return null;
        }
        return new SSLConnectionSocketFactory(sslContext, NoopHostnameVerifier.INSTANCE);
    }

    private X509TrustManager createGenerousTrustManager() {
        return new X509TrustManager() {
            @Override
            public void checkClientTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public void checkServerTrusted(X509Certificate[] cert, String s) throws CertificateException {
            }

            @Override
            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };
    }
}
Dahai Li
fonte
2

Confie em todos os certificados no cliente Apache HTTP

TrustManager[] trustAllCerts = new TrustManager[]{
                    new X509TrustManager() {
                        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
                            return null;
                        }
                        public void checkClientTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                        public void checkServerTrusted(
                            java.security.cert.X509Certificate[] certs, String authType) {
                        }
                    }
                };

          try {
                SSLContext sc = SSLContext.getInstance("SSL");
                sc.init(null, trustAllCerts, new java.security.SecureRandom());
                SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                        sc);
                httpclient = HttpClients.custom().setSSLSocketFactory(
                        sslsf).build();
                HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
Jeff Z
fonte
Funcionou bem com o httpclient 4.5.9, basta copiar e colar todo o conteúdo é isso.
sathya de
1

(Eu teria acrescentado um comentário diretamente à resposta de vasekt, mas não tenho pontos de reputação suficientes (não tenho certeza da lógica aqui)

Enfim ... o que eu queria dizer é que mesmo que você não esteja explicitamente criando / solicitando um PoolingConnection, não significa que você não esteja recebendo um.

Eu estava enlouquecendo tentando descobrir por que a solução original não funcionou para mim, mas ignorei a resposta de vinekt, pois "não se aplicava ao meu caso" - errado!

Eu estava olhando para o meu stack-trace quando baixo e eis que vi um PoolingConnection no meio dele. Bang - cansei sua adição e sucesso !! (nossa demonstração é amanhã e eu estava ficando desesperado) :-)

rico 95
fonte
0

Você pode usar o seguinte snippet de código para obter a instância HttpClient sem a verificação de certificação SSL.

private HttpClient getSSLHttpClient() throws KeyStoreException, NoSuchAlgorithmException, KeyManagementException {

        LogLoader.serverLog.trace("In getSSLHttpClient()");

        SSLContext context = SSLContext.getInstance("SSL");

        TrustManager tm = new X509TrustManager() {
            public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
            }

            public X509Certificate[] getAcceptedIssuers() {
                return null;
            }
        };

        context.init(null, new TrustManager[] { tm }, null);

        HttpClientBuilder builder = HttpClientBuilder.create();
        SSLConnectionSocketFactory sslConnectionFactory = new SSLConnectionSocketFactory(context);
        builder.setSSLSocketFactory(sslConnectionFactory);

        PlainConnectionSocketFactory plainConnectionSocketFactory = new PlainConnectionSocketFactory();
        Registry<ConnectionSocketFactory> registry = RegistryBuilder.<ConnectionSocketFactory>create()
                .register("https", sslConnectionFactory).register("http", plainConnectionSocketFactory).build();

        PoolingHttpClientConnectionManager ccm = new PoolingHttpClientConnectionManager(registry);
        ccm.setMaxTotal(BaseConstant.CONNECTION_POOL_SIZE);
        ccm.setDefaultMaxPerRoute(BaseConstant.CONNECTION_POOL_SIZE);
        builder.setConnectionManager((HttpClientConnectionManager) ccm);

        builder.disableRedirectHandling();

        LogLoader.serverLog.trace("Out getSSLHttpClient()");

        return builder.build();
    }
Radadiya Nikunj
fonte
0

Leve ajuste para responder de @divbyzero acima para corrigir os avisos de segurança do sonar

CloseableHttpClient getInsecureHttpClient() throws GeneralSecurityException {
            TrustStrategy trustStrategy = (chain, authType) -> true;

            HostnameVerifier hostnameVerifier = (hostname, session) -> hostname.equalsIgnoreCase(session.getPeerHost());

            return HttpClients.custom()
                    .setSSLSocketFactory(new SSLConnectionSocketFactory(new SSLContextBuilder().loadTrustMaterial(trustStrategy).build(), hostnameVerifier))
                    .build();
        }
andyd
fonte
0

Inicialmente, consegui desabilitar o host local usando a estratégia de confiança, depois adicionei NoopHostnameVerifier. Agora funcionará tanto para localhost quanto para qualquer nome de máquina

SSLContext sslContext = SSLContextBuilder.create().loadTrustMaterial(null, new TrustStrategy() {

            @Override
            public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException {
                return true;
            }

        }).build();
        SSLConnectionSocketFactory sslsf = new SSLConnectionSocketFactory(
                sslContext, NoopHostnameVerifier.INSTANCE);
        CloseableHttpClient httpclient = HttpClients.custom().setSSLSocketFactory(sslsf).build();
U_R_Naveen UR_Naveen
fonte