Как исправить ошибку «java.security.cert.CertificateException: альтернативные имена субъектов отсутствуют»?
У меня есть клиент веб-службы Java, который использует веб-службу через HTTPS.
import javax.xml.ws.Service;
@WebServiceClient(name = "ISomeService", targetNamespace = "http://tempuri.org/", wsdlLocation = "...")
public class ISomeService
extends Service
{
public ISomeService() {
super(__getWsdlLocation(), ISOMESERVICE_QNAME);
}
Когда я подключаюсь к сервису URL (https://AAA.BBB.CCC.DDD:9443/ISomeService
), Я получаю исключениеjava.security.cert.CertificateException: No subject alternative names present
.
Чтобы это исправить я сначала побежалopenssl s_client -showcerts -connect AAA.BBB.CCC.DDD:9443 > certs.txt
и получил следующий контент в файлеcerts.txt
:
CONNECTED(00000003)
---
Certificate chain
0 s:/CN=someSubdomain.someorganisation.com
i:/CN=someSubdomain.someorganisation.com
-----BEGIN CERTIFICATE-----
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=someSubdomain.someorganisation.com
issuer=/CN=someSubdomain.someorganisation.com
---
No client certificate CA names sent
---
SSL handshake has read 489 bytes and written 236 bytes
---
New, TLSv1/SSLv3, Cipher is RC4-MD5
Server public key is 512 bit
Compression: NONE
Expansion: NONE
SSL-Session:
Protocol : TLSv1
Cipher : RC4-MD5
Session-ID: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Session-ID-ctx:
Master-Key: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
Key-Arg : None
Start Time: 1382521838
Timeout : 300 (sec)
Verify return code: 21 (unable to verify the first certificate)
---
AFAIK, теперь мне нужно
извлечь частьcerts.txt
между-----BEGIN CERTIFICATE-----
а также-----END CERTIFICATE-----
,измените его так, чтобы имя сертификата было равноAAA.BBB.CCC.DDD
а такжезатем импортируйте результат, используяkeytool -importcert -file fileWithModifiedCertificate
(гдеfileWithModifiedCertificate
является результатом операций 1 и 2).Это верно?
Если да, то как именно можно заставить сертификат из шага 1 работать с IP-адресом (AAA.BBB.CCC.DDD
)
Обновление 1 (23.10.2013 15:37 мск): В ответ нааналогичный вопросЯ прочитал следующее:
Если вы не контролируете этот сервер, используйте его имя хоста (при условии, что хотя бы CN соответствует этому имени хоста в существующем сертификате).
Что именно означает «использовать»?