当前位置：首页 > 行业动态 > 正文

httpclient带证书访问未验证的证书https

admin
行业动态
2025-04-30
1

通过自定义SSLContext信任证书或禁用验证，使HttpClient访问未认证的

使用HttpClient携带证书访问未验证的HTTPS服务

背景说明

当目标HTTPS服务使用未被系统信任的证书（如自签名证书）时，默认情况下HttpClient会因证书验证失败而无法建立连接，若需强制访问此类服务，需同时满足以下两个条件：

禁用证书校验（信任所有证书）
携带客户端证书（用于服务端认证）

实现步骤（以Java为例）

准备工作

操作	说明
导出客户端证书	从CA或服务端获取`.p12`格式的客户端证书文件
导入服务器公钥	将服务器证书导入本地信任库（可选，若需双向认证）

配置SSLContext

// 创建信任所有证书的TrustManager
TrustManager[] trustAllCerts = new TrustManager[]{
    new X509TrustManager() {
        public void checkClientTrusted(X509Certificate[] chain, String authType) {}
        public void checkServerTrusted(X509Certificate[] chain, String authType) {}
        public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; }
    }
};
// 初始化SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(getKeyManagers(), trustAllCerts, new SecureRandom());

加载客户端证书

// 加载客户端证书（PKCS12格式）
KeyStore keyStore = KeyStore.getInstance("PKCS12");
keyStore.load(new FileInputStream("client.p12"), "password".toCharArray());
// 创建KeyManager
KeyManagerFactory kmf = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
kmf.init(keyStore, "password".toCharArray());

构建HttpClient

CloseableHttpClient httpClient = HttpClients.custom()
    .setSSLContext(sslContext) // 设置自定义SSL上下文
    .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE) // 禁用主机名验证
    .build();

发送请求

HttpGet request = new HttpGet("https://untrusted-server.com/api");
CloseableHttpResponse response = httpClient.execute(request);
// 处理响应...

关键配置项说明

配置项	作用	风险提示
`TrustManager`	信任所有证书	安全风险：易受中间人攻击
`KeyManager`	加载客户端证书	无直接风险
`NoopHostnameVerifier`	禁用主机名校验	可能导致域名劫持

其他语言实现参考

Python (requests库)

import requests
# 禁用证书验证并携带客户端证书
response = requests.get(
    "https://untrusted-server.com/api",
    verify=False, # 禁用服务端证书验证
    cert=("client.crt", "client.key") # 客户端证书路径
)