HTTPS 和 SSL 的安全性：-javax.net.ssl.SSLHandshakeException：证书已过期

2024-01-01

我已经尝试过命令进行检查缺少中间证书颁发机构使用这个命令

$ openssl s_client -connect mail.google.com:443

对于我的网站，应该显示证书链，但它只显示一个已经过期的证书。但是当我检查服务器证书配置时https://www.digicert.com/help/ https://www.digicert.com/help/

它显示 SSL 证书已正确安装并显示正确的中间证书链，当我尝试在 Android 应用程序中访问 Web api 时，它显示以下错误：-

javax.net.ssl.SSLHandshakeException: Certificate expired at Thu Jun 11 21:58:21 GMT+05:30 2015 (compared to Wed May 18 10:48:45 GMT+05:30 2016)
05-18 10:48:45.750 28372-28412/com.src.giveup1 W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:327)
05-18 10:48:45.750 28372-28412/com.src.giveup1 W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.waitForHandshake(OpenSSLSocketImpl.java:638)
05-18 10:48:45.750 28372-28412/com.src.giveup1 W/System.err:     at com.android.org.conscrypt.OpenSSLSocketImpl.getInputStream(OpenSSLSocketImpl.java:600)
05-18 10:48:45.750 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.io.SocketInputBuffer.<init>(SocketInputBuffer.java:75)
05-18 10:48:45.750 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.SocketHttpClientConnection.createSessionInputBuffer(SocketHttpClientConnection.java:93)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.conn.DefaultClientConnection.createSessionInputBuffer(DefaultClientConnection.java:187)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.SocketHttpClientConnection.bind(SocketHttpClientConnection.java:123)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.conn.DefaultClientConnection.openCompleted(DefaultClientConnection.java:134)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.conn.DefaultClientConnectionOperator.openConnection(DefaultClientConnectionOperator.java:196)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.conn.AbstractPoolEntry.open(AbstractPoolEntry.java:169)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.conn.AbstractPooledConnAdapter.open(AbstractPooledConnAdapter.java:124)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.client.DefaultRequestDirector.execute(DefaultRequestDirector.java:365)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:602)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:522)
05-18 10:48:45.751 28372-28412/com.src.giveup1 W/System.err:     at org.apache.http.impl.client.AbstractHttpClient.execute(AbstractHttpClient.java:500)

我正在使用以下链接来检查 Android 应用程序中的服务器证书：-http://blog.fordemobile.com/2012/04/https-requests-on-android.html http://blog.fordemobile.com/2012/04/https-requests-on-android.html

证书是否在服务器上正确配置，或者我使用了错误的代码来检查证书。

你已经得到你的问题了。其实你的证书已经过期了。您的网络服务的应用程序服务器需要更新其证书。

如需完整教程创建并检查证书你可以按照教程操作：

最常见的 OpenSSL 命令 https://www.sslshopper.com/article-most-common-openssl-commands.html
如何从 Shell 提示符验证 SSL 证书 http://www.cyberciti.biz/faq/test-ssl-certificates-diagnosis-ssl-certificate/

更改证书，您可以按照教程操作：

http://www.albeesonline.com/blog/2009/06/24/javax-net-ssl-sslhandshakeexception-certificate-expired/ http://www.albeesonline.com/blog/2009/06/24/javax-net-ssl-sslhandshakeexception-certificate-expired/

完整教程：

出于测试目的，我将使用mail.google.com:443SSL 证书由以下机构颁发Go Daddy.

步骤#1：获取证书

创建存储证书的目录：

$ mkdir -p ~/.cert/mail.google.com/
$ cd ~/.cert/mail.google.com/

检索mail.google.comgoogle邮件服务器提供的证书：

$ openssl s_client -showcerts -connect mail.google.com:443

从“----BEGIN CERTIFICATE-----”复制到“-----END CERTIFICATE-----”，并将其保存在您的~/.cert/mail.google.com/目录为mail.google.com.pem.

步骤#2：获取发行人的证书

如果此证书是由 GoDaddy 颁发的，那么您需要获取“证书颁发机构根证书”（访问您的 CA 网站获取根证书）：

$ wget https://certs.godaddy.com/repository/gd_bundle.crt -O ~/.cert/mail.google.com/gd.pem

步骤#3：重新哈希证书

使用以下命令创建指向由哈希值命名的文件的符号链接c_rehash, enter:

$ c_rehash ~/.cert/mail.google.com/

示例输出：

Doing  ~/.cert/mail.google.com/
mail.google.com.pem => 1d97af50.0
gd.pem => 219d9499.0

Test It

要确认您拥有正确的工作证书，请输入：

$ openssl s_client -CApath ~/.cert/mail.google.com/ -connect mail.google.com:443

示例输出：

CONNECTED(00000003)
......
....
 Verify return code: 0 (ok)
---

应该有很多数据，但是要注意的重要一点是最后一行“Verify return code: 0 (ok)”。我对 dovecot IMAP 邮件服务器使用相同的证书，输入以下内容来验证邮件服务器 SSL 证书：

$ openssl s_client -CApath ~/.cert/mail.google.com/ -connect mail.google.com:993

示例输出：

CONNECTED(00000003)
.....
.....
    Verify return code: 0 (ok)
---
* OK [CAPABILITY IMAP4rev1 SASL-IR SORT THREAD=REFERENCES MULTIAPPEND UNSELECT LITERAL+ IDLE CHILDREN NAMESPACE LOGIN-REFERRALS UIDPLUS LIST-EXTENDED I18NLEVEL=1 QUOTA AUTH=PLAIN AUTH=LOGIN] Dovecot ready.

再次是最后的“鸽舍准备就绪”线0 return code indicates that everything is working fine.

资源链接：

验证私钥与证书是否匹配 https://kb.wisc.edu/middleware/page.php?id=4064

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)