Я тестировал систему, которая получает доступ к группе https серверов с различными ключами, некоторые из которых недопустимы и все они не находятся в локальной базе ключей для моей JVM. Я действительно только проверяю вещи, таким образом, я не забочусь о безопасности на данном этапе. Существует ли хороший способ выполнить вызовы POST к серверу и сказать Java не волноваться о сертификатах безопасности?
Мои поиски Google этого подняли некоторые примеры кода, которые делают класс, чтобы сделать проверку, которая всегда работает, но я не могу заставить ее соединяться с любым из серверов.
Согласно комментариям:
С гугловскими примерами, вы имеете в виду среди прочих этот?
Обновление: ссылка сломалась, поэтому вот выдержка, которую я сохранил из интернет-архива:
// Create a trust manager that does not validate certificate chains
TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
public java.security.cert.X509Certificate[] getAcceptedIssuers() {
return null;
}
public void checkClientTrusted(
java.security.cert.X509Certificate[] certs, String authType) {
}
public void checkServerTrusted(
java.security.cert.X509Certificate[] certs, String authType) {
}
}
};
// Install the all-trusting trust manager
try {
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, trustAllCerts, new java.security.SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
}
// Now you can access an https URL without having the certificate in the truststore
try {
URL url = new URL("https://hostname/index.html");
} catch (MalformedURLException e) {
}
Вам необходимо создать X509TrustManager, который обходит все проверки безопасности. Вы можете найти пример в моем ответе на этот вопрос
Как игнорировать ошибки сертификата SSL в Apache HttpClient 4.0