如何在Groovy中绕过SSL证书验证？

在软件开发中,通过Groovy实现HTTP/HTTPS请求时，可能会遇到SSL证书验证失败的问题（尤其是在测试环境或使用自签名证书时）。本文提供两种技术方案，但必须强调：禁用SSL验证会降低系统安全性，仅建议在非生产环境或调试阶段使用。

配置信任所有证书（推荐可控场景）

此方法通过自定义TrustManager覆盖证书验证逻辑，适用于临时调试或内部封闭环境。

@Grab('org.apache.httpcomponents:httpclient:4.5.13')
import org.apache.http.conn.ssl.*
import org.apache.http.impl.client.*
import javax.net.ssl.*
// 创建信任所有证书的SSL上下文
SSLContext sslContext = SSLContext.getInstance("TLS")
sslContext.init(null, [new X509TrustManager() {
    void checkClientTrusted(X509Certificate[] certs, String authType) {}
    void checkServerTrusted(X509Certificate[] certs, String authType) {}
    X509Certificate[] getAcceptedIssuers() { null }
}] as TrustManager[], new SecureRandom())
// 创建HTTP客户端
def httpClient = HttpClients.custom()
    .setSSLContext(sslContext)
    .setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE)
    .build()
// 执行请求示例
def response = httpClient.execute(new HttpGet("https://your-insecure-domain.com"))
println EntityUtils.toString(response.entity)

关键说明：

1. X509TrustManager重写方法跳过证书链验证
2. NoopHostnameVerifier忽略域名不匹配问题
3. Apache HttpClient版本需≥4.4以兼容此配置

导入自签名证书（更安全实践）

长期解决方案是将证书加入本地信任库,避免完全禁用安全验证：

# 1. 导出服务器证书
openssl s_client -connect your-domain.com:443 </dev/null | openssl x509 -out cert.pem
# 2. 将证书导入Java信任库
keytool -importcert -alias groovy_cert -keystore $JAVA_HOME/lib/security/cacerts -file cert.pem

Groovy代码保持标准HTTPS请求：

new URL("https://your-domain.com").getText()

️ 安全警告

技术原理补充

SSL/TLS协议通过证书链验证确保通信方身份真实性，当Groovy（基于JVM）发起HTTPS请求时，会通过以下流程：

1. 检查证书是否由可信CA签发
2. 验证证书域名与请求目标匹配
3. 确认证书未过期且未被吊销

禁用验证意味着可能遭受中间人攻击（MITM），导致数据泄露或改动。

替代方案建议

• 开发环境使用工具生成有效证书（如mkcert）
• 使用curl -k等工具单独测试证书问题
• 通过JVM参数临时禁用验证：

  java -Djavax.net.ssl.trustStore=truststore.jks -Djavax.net.ssl.trustStorePassword=changeit YourGroovyScript

参考来源：

1. Oracle官方文档：JSSE参考指南
2. OWASP传输安全指南
3. Apache HttpClient SSL配置文档