使用自定义签名的https的ssl安全问题解决和metro的webservice调用

最近一直在忙新的项目，每天加班到8点多，都没来写博客了。新的项目遇到了很多问题，现在趁着突然停电来记录下调用https的问题吧。

我们服务主要是，我们调用数据源数据，并且再提供接口供外部数据调用。

我们提供给客户的接口采用https+post的方式，调用数据源的数据是以https的webservice。由于我们的签名是自签的，所以客户调用我们的接口要绕过安全认证，我们都要在sdk里面提供给他。

    　　private static volatile RestfulRemoteHttpsHelper instance;

    　　private ConnectionConfig connConfig;

    　　private SocketConfig socketConfig;

   　　 private ConnectionSocketFactory plainSF;

   　　 private KeyStore trustStore;

    　　private SSLContext sslContext;

   　　 private LayeredConnectionSocketFactory sslSF;

  　　  private Registry<ConnectionSocketFactory> registry;

 　　   private PoolingHttpClientConnectionManager connManager;

   　　 private volatile HttpClient client;

  　　  private volatile BasicCookieStore cookieStore;

  　　  public static String defaultEncoding= "utf-8";    

        private HttpsHelper(){

        //设置连接参数

        connConfig = ConnectionConfig.custom().setCharset(Charset.forName(defaultEncoding)).build();

        socketConfig = SocketConfig.custom().setSoTimeout(100000).build();

        RegistryBuilder<ConnectionSocketFactory> registryBuilder = RegistryBuilder.<ConnectionSocketFactory>create();

        plainSF = new PlainConnectionSocketFactory();

        registryBuilder.register("http", plainSF);

        //指定信任密钥存储对象和连接套接字工厂

        try {

            trustStore = KeyStore.getInstance(KeyStore.getDefaultType());

            sslContext = SSLContexts.custom().useTLS().loadTrustMaterial(trustStore, new AnyTrustStrategy()).build();

            sslSF = new SSLConnectionSocketFactory(sslContext, SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);

            registryBuilder.register("https", sslSF);

        } catch (KeyStoreException e) {

            throw new RuntimeException(e);

        } catch (KeyManagementException e) {

            throw new RuntimeException(e);

        } catch (NoSuchAlgorithmException e) {

            throw new RuntimeException(e);

        }

        registry = registryBuilder.build();

        //设置连接管理器

        connManager = new PoolingHttpClientConnectionManager(registry);

        connManager.setDefaultConnectionConfig(connConfig);

        connManager.setDefaultSocketConfig(socketConfig);

        //指定cookie存储对象

        cookieStore = new BasicCookieStore();

        //构建客户端

        client= HttpClientBuilder.create().setDefaultCookieStore(cookieStore).setConnectionManager(connManager).build();

    }

上面代码是用httpClient4.3来绕过https的请求调用。

通过webservice调用数据源的数据由于他们有专门的信任证书签发,所以可以把他们的签名证书加入信任库。关于怎么根据keystore生成truststore可以使用jdk的keytool工具，在jdk安装目录下的bin文件夹里面。

keystore生成truststore:

通过cmd进入jdk的的bin目录下,输入keytool -export -alias 别名 -keystore client.keystore -rfc -file client.cer,会提示输入密码，别名和密码需要签名方提供。生成.cer文件，文件在jdk安装目录下。再输入keytool import -alias 别名 -file client.cer -keystore client.truststore生成truststore，记住输入的密码。

把keystore和truststore加入到信任库里。

　　　　 System.setProperty("javax.net.ssl.keyStore", keyPath);

        System.setProperty("javax.net.ssl.keyStorePassword", "key-password");

        System.setProperty("javax.net.ssl.trustStore", trustPath);

        System.setProperty("javax.net.ssl.trustStorePassword", "trust-password");

如果用axis做webservice的调用framework的话就可以使用了，这次我们用的是metro。

关于metro可以参考官网。https://metro.java.net

把metro加入到gradle依赖 --> compile 'org.glassfish.metro:webservices-rt:2.3'。

生成client代码调用？可以借助wsimport这个工具，注意在生成代码时,加上-keep 属性,不然只会生成class文件，而木有Java文件。

生成的文件目录:

使用自定义签名的https的ssl安全问题解决和metro的webservice调用

把生成的client代码导入项目中，如果不出意外的话会报subject-alternative-names-present这个异常，如果是jdk8的话，用lambda表达式

HttpsURLConnection.setDefaultHostnameVerifier((hostname, session) -> hostname.equals("主机ip"));

如果是低版本，这样

HttpsURLConnection.setDefaultHostnameVerifier(new HostnameVerifier()

        {

            public boolean verify(String hostname, SSLSession session)

            {

                // ip address of the service URL(like.23.28.244.244)

                if (hostname.equals("主机ip"))

                    return true;

                return false;

            }

        });

现在可以测试了,测试代码

　　@Test

    public void testMetro() {

        StopWatch clock = new StopWatch("metro clock");

        QueryService queryService = queryServiceService.getQueryService();

        for (int i = 0; i < 20; i++) {

            clock.start("start the " + i + "connection");

            String result = queryService.getMethod("xxx", "xxx", "xxx", "xxx", "xxx", "xxx", null, "xxx", null, null, null, null);

            System.out.println("the first number result :" + result);

            clock.stop();

        }

 }

为了测试性能，用到了StopWatch 这个类做时间计时器，关于StopWatch的使用搜索一大把。测试结果的效果不怎么样，因为这样是每次调用都握手，而握手的时间太长了。为了优化可以让连接keep-alive，详情参考官网

https://metro.java.net/guide/ch05.html#http-persistent-connections-keep-alive

在Java代码里实现，后面的value值可以根据实际情况来改变。

System.setProperty("http.keepAlive", "true");

System.setProperty("http.maxConnections", "250");

System.setProperty("keep-alive.max-connections", "1000");

测试结果

使用自定义签名的https的ssl安全问题解决和metro的webservice调用

经过添加keep-alive，明显调用效果好了很多(这是我本机测试的，用nginx做了代理，实际部署到服务器还没测试，效果应该会更好)。

这里的webservice的性能还能再次优化，只是现在还没做。等优化好了再来记录！

语文水平不怎么样，东说一句西说一句，有点乱。关于这个项目的问题还有好多没能记录，有时间再来整理。

秒客网

使用自定义签名的https的ssl安全问题解决和metro的webservice调用

相关文章