我有一个地图应用程序可以添加地理信息系统 9.3+给定 URL 的底图。我想要添加的 URL 之一来自客户的 URL,并且是安全的。我的地图应用程序之前使用 Java 6,并且能够毫无问题地添加安全 URL。我现在升级到 Java 7 并得到了
"java.security.cert.CertificateException: Certificates does not conform to algorithm constraints"
例外。起初,我相信情况确实如此,因为在 Java 7 中,默认情况下,MD2签名 SSL 证书的算法已禁用。您可以在 java.security 文件中看到这一点:
"jdk.certpath.disabledAlgorithms=MD2"
但是当我检查Certification Signature Algorithm该网址的内容是SHA-1。更奇怪的是如果我注释掉"jdk.certpath.disabledAlgorithms=MD2"线在java.security文件,URL 将毫无问题地工作。是MD2在 SSL 过程中在其他地方使用过?我在这里错过了什么吗?
背景
MD2 被广泛认为是不安全的,因此在 JDK 6u17 版本的 Java 中被禁用(请参阅发行说明http://www.oracle.com/technetwork/java/javase/6u17-141447.html http://www.oracle.com/technetwork/java/javase/6u17-141447.html,“在证书链验证中禁用 MD2”)以及 JDK 7,根据您在中指出的配置java.security.
Verisign 使用 3 类根证书md2WithRSAEncryption签名算法(串行70:ba:e4:1d:10:d9:29:34:b6:38:ca:7b:03:cc:ba:bf),但已弃用它,并将其替换为具有相同密钥和名称但使用算法签名的另一个证书sha1WithRSAEncryption。然而,一些服务器在 SSL 握手期间仍然发送旧的 MD2 签名证书(讽刺的是,我在 Verisign 运行的服务器上遇到了这个问题!)。
您可以通过以下方式验证情况是否如此获取证书链 https://stackoverflow.com/questions/7885785/using-openssl-to-get-the-certificate-from-a-server从服务器并检查它:
openssl s_client -showcerts -connect <server>:<port>
最新版本的 JDK(例如 6u21 和 7 的所有发布版本)应该resolve http://bugs.java.com/view_bug.do?bug_id=6948803通过自动删除与可信锚点具有相同颁发者和公钥的证书(默认在 cacerts 中)来解决此问题。
如果您在使用较新的 JDK 时仍然遇到此问题
检查您是否有自定义信任管理器来实现旧版本X509TrustManager界面。 JDK 7+ 应该与此接口兼容,但是根据我在信任管理器实现时的调查X509TrustManager而不是较新的X509ExtendedTrustManager (docs http://docs.oracle.com/javase/7/docs/technotes/guides/security/jsse/JSSERefGuide.html#X509ExtendedTrustManager),JDK使用自己的包装器(AbstractTrustManagerWrapper)并以某种方式绕过此问题的内部修复。
解决办法是:
-
使用默认的信任管理器,或者
-
修改您的自定义信任管理器以扩展X509ExtendedTrustManager直接(一个简单的改变)。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
