Настраиваем Axis для работы с некорректными сертификатами при запросе по протоколу HTTPS.

Apache Axis - фреймворк, позволяющий создавать клиент-серверные приложения, использующие протокол SOAP для обмена сообщениями.

Описание проблемы: иногда возникает ситуация, когда серверное приложение использует HTTPS-соединение с некорректным сертификатом (к таким относятся самозаверенные, или self-signed, и неоплаченные сертификаты). В этом случае Axis выдает исключение javax.net.ssl.SSLHandshakeException каждый раз при попытке соединения. Рассмотрим вариант решения данной проблемы.

Внимание: приведенный ниже способ отключает любую валидацию сертификатов при HTPPS-соединении. Если Вам важна безопасность при передаче данных, то думаю можно смело пропускать данную статью и прочитать другую.

Axis 1.4 (или ниже)

Для  данной версии Axis решение довольно простое:

AxisProperties.setProperty("axis.socketSecureFactory", "org.apache.axis.components.net.SunFakeTrustSocketFactory");

Класс SunFakeTrustSocketFactory позволяет обойти валидацию сертификата.

Axis 2

Здесь все обстоит несколько сложнее.

1. Нам понадобится написать собственную версию фабрики сокетов (socket factory), реализующую интерфейс org.apache.commons.httpclient.protocol.ProtocolSocketFactory.

Для этого воспользуемся готовым классом EasySSLProtocolSocketFactory от Apache, немного модифицировав его:

import java.io.IOException;
import java.net.InetAddress;
import java.net.InetSocketAddress;
import java.net.Socket;
import java.net.SocketAddress;
import java.net.UnknownHostException;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.SocketFactory;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;

import org.apache.commons.httpclient.ConnectTimeoutException;
import org.apache.commons.httpclient.HttpClientError;
import org.apache.commons.httpclient.params.HttpConnectionParams;
import org.apache.commons.httpclient.protocol.ProtocolSocketFactory;
import org.apache.commons.httpclient.protocol.SecureProtocolSocketFactory;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;

/**
 * Класс предоставляет возможность обходить проверку SSL-сертификата при https-запросе
 */
public class EasySSLProtocolSocketFactory implements ProtocolSocketFactory {

    /** Log object for this class. */
    private static final Log LOG = LogFactory.getLog(EasySSLProtocolSocketFactory.class);

    private SSLContext sslcontext = null;

    /**
     * Constructor for EasySSLProtocolSocketFactory.
     */
    public EasySSLProtocolSocketFactory() {
        super();
    }

    private static SSLContext createEasySSLContext() {
        try {
            SSLContext context = SSLContext.getInstance("SSL");
            context.init(
                    null,
                    new TrustManager[] {new X509TrustManager() {
                        @Override
                        public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {}

                        @Override
                        public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {}

                        @Override
                        public X509Certificate[] getAcceptedIssuers() {
                            return new X509Certificate[0];
                        }
                    }},
                    null);
            return context;
        } catch (Exception e) {
            LOG.error(e.getMessage(), e);
            throw new HttpClientError(e.toString());
        }
    }

    private SSLContext getSSLContext() {
        if (this.sslcontext == null) {
            this.sslcontext = createEasySSLContext();
        }
        return this.sslcontext;
    }

    /**
     * @see SecureProtocolSocketFactory#createSocket(java.lang.String, int, java.net.InetAddress, int)
     */
    public Socket createSocket(String host, int port, InetAddress clientHost, int clientPort) throws IOException, UnknownHostException {
        return getSSLContext().getSocketFactory().createSocket(host, port, clientHost, clientPort);
    }

    /**
     * Attempts to get a new socket connection to the given host within the given time limit.
     * <p>
     * To circumvent the limitations of older JREs that do not support connect timeout a
     * controller thread is executed. The controller thread attempts to create a new socket
     * within the given limit of time. If socket constructor does not return until the
     * timeout expires, the controller terminates and throws an {@link ConnectTimeoutException}
     * </p>
     *
     * @param host the host name/IP
     * @param port the port on the host
     * @param params {@link HttpConnectionParams Http connection parameters}
     *
     * @return Socket a new socket
     *
     * @throws IOException if an I/O error occurs while creating the socket
     * @throws UnknownHostException if the IP address of the host cannot be
     * determined
     */
    public Socket createSocket(
            final String host,
            final int port,
            final InetAddress localAddress,
            final int localPort,
            final HttpConnectionParams params
    ) throws IOException, UnknownHostException, ConnectTimeoutException {
        if (params == null) {
            throw new IllegalArgumentException("Parameters may not be null");
        }
        int timeout = params.getConnectionTimeout();
        SocketFactory socketfactory = getSSLContext().getSocketFactory();
        if (timeout == 0) {
            return socketfactory.createSocket(host, port, localAddress, localPort);
        } else {
            Socket socket = socketfactory.createSocket();
            SocketAddress localAddr = new InetSocketAddress(localAddress, localPort);
            SocketAddress remoteAddr = new InetSocketAddress(host, port);
            socket.bind(localAddr);
            socket.connect(remoteAddr, timeout);
            return socket;
        }
    }

    /**
     * @see SecureProtocolSocketFactory#createSocket(java.lang.String, int)
     */
    public Socket createSocket(String host, int port) throws IOException {
        return getSSLContext().getSocketFactory().createSocket(host, port);
    }

    /**
     * @see SecureProtocolSocketFactory#createSocket(java.net.Socket, java.lang.String, int, boolean)
     */
    public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException {
        return getSSLContext().getSocketFactory().createSocket(socket, host, port, autoClose);
    }

    public boolean equals(Object obj) {
        return ((obj != null) && obj.getClass().equals(EasySSLProtocolSocketFactory.class));
    }

    public int hashCode() {
        return EasySSLProtocolSocketFactory.class.hashCode();
    }
}

2. Создаем экземпляр класса org.apache.commons.httpclient.protocol.Protocol. В качестве аргументов конструктора класса передаем URI протокола, экземпляр ранее написанной фабрики сокетов и стандартный номер порта (для https-соединений это обычно 443):

new Protocol("https", new EasySSLProtocolSocketFactory(), 443);

3. Последний шаг. Необходимо перерегистрировать стандартный протокол для работы с https-соединением, используя метод Protocol.registerProtocol:

Protocol.unregisterProtocol("https");
Protocol.registerProtocol("https", new Protocol("https", new EasySSLProtocolSocketFactory(), 443));

На этом всё. Далее можно создавать экземпляр сгенерированного Axis класса и передавать сообщения серверу.

Ссылки в помощь:

  1. http://hc.apache.org/httpclient-3.x/sslguide.html
  2. http://ws.apache.org/xmlrpc/ssl.html
  3. http://axis.apache.org/axis/java/user-guide.html

Теги: