У мене є клієнт веб-служби Java, який користується веб-сервісом через HTTPS.
import javax.xml.ws.Service;
@WebServiceClient(name = "ISomeService", targetNamespace = "http://tempuri.org/", wsdlLocation = "...")
public class ISomeService
extends Service
{
public ISomeService() {
super(__getWsdlLocation(), ISOMESERVICE_QNAME);
}
Коли я підключаюсь до URL-адреси сервісу ( https://AAA.BBB.CCC.DDD:9443/ISomeService
), я отримую виняток java.security.cert.CertificateException: No subject alternative names present
.
Щоб виправити це, я спершу запустив openssl s_client -showcerts -connect AAA.BBB.CCC.DDD:9443 > certs.txt
та отримав у файлі такий вміст certs.txt
:
CONNECTED(00000003)
---
Certificate chain
0 s:/CN=someSubdomain.someorganisation.com
i:/CN=someSubdomain.someorganisation.com
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=someSubdomain.someorganisation.com
issuer=/CN=someSubdomain.someorganisation.com
---
No client certificate CA names sent
---
SSL handshake has read 489 bytes and written 236 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 512 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Session-ID-ctx:
Master-Key: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Key-Arg : None
Start Time: 1382521838
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
AFAIK, зараз мені потрібно
- витягти частину
certs.txt
між-----BEGIN CERTIFICATE-----
і-----END CERTIFICATE-----
, - змінити його так, щоб ім'я сертифіката було рівним
AAA.BBB.CCC.DDD
та - потім імпортуйте результат, використовуючи
keytool -importcert -file fileWithModifiedCertificate
(деfileWithModifiedCertificate
результат 1 та 2).
Це правильно?
Якщо так, то як саме я можу змусити сертифікат з кроку 1 працювати з адресною адресою ( AAA.BBB.CCC.DDD
)?
Оновлення 1 (23.10.2013 15:37 MSK): У відповіді на подібне запитання я прочитав наступне:
Якщо ви не контролюєте цей сервер, використовуйте його ім'я хоста (за умови, що принаймні CN відповідає цьому імені хоста в існуючому сертифіката).
Що саме означає "використання"?