Comment envoyer une requête HTTPS via un proxy en Java?

J'essaie d'envoyer une requête à un serveur à l'aide de la HttpsUrlConnection classe. Le serveur a des problèmes de certificat, j'ai donc mis en place un TrustManager qui fait confiance à tout, ainsi qu'un nom d'hôte du vérificateur qui est aussi indulgents. Ce gestionnaire fonctionne très bien quand je fais ma demande directement, mais il ne semble pas être utilisés à tous, quand j'envoie la demande à travers un proxy.

- Je configurer mes paramètres de proxy comme ceci:

Properties systemProperties = System.getProperties();
systemProperties.setProperty( "http.proxyHost", "proxyserver" );
systemProperties.setProperty( "http.proxyPort", "8080" );
systemProperties.setProperty( "https.proxyHost", "proxyserver" );
systemProperties.setProperty( "https.proxyPort", "8080" );

La TrustManager par défaut SSLSocketFactory est mis en place comme ceci:

SSLContext sslContext = SSLContext.getInstance( "SSL" );

//set up a TrustManager that trusts everything
sslContext.init( null, new TrustManager[]
    {
        new X509TrustManager()
        {
            public X509Certificate[] getAcceptedIssuers()
            {
                return null;
            }

            public void checkClientTrusted( X509Certificate[] certs, String authType )
            {
                //everything is trusted
            }

            public void checkServerTrusted( X509Certificate[] certs, String authType )
            {
                //everything is trusted
            }
        }
    }, new SecureRandom() );

//this doesn't seem to apply to connections through a proxy
HttpsURLConnection.setDefaultSSLSocketFactory( sslContext.getSocketFactory() );

//setup a hostname verifier that verifies everything
HttpsURLConnection.setDefaultHostnameVerifier( new HostnameVerifier()
{
    public boolean verify( String arg0, SSLSession arg1 )
    {
        return true;
    }
} );

Si j'exécute le code suivant, je me retrouve avec un SSLHandshakException ("l'hôte Distant a fermé la connexion lors de la poignée de main"):

URL url = new URL( "https://someurl" );

HttpsURLConnection connection = (HttpsURLConnection)url.openConnection();
connection.setDoOutput( true );

connection.setRequestMethod( "POST" );
connection.setRequestProperty( "Content-Type", "application/x-www-form-urlencoded" );
connection.setRequestProperty( "Content-Length", "0" );

connection.connect();

Je suppose que je suis absent de certains type de paramètre d'avoir à faire avec l'aide d'un proxy lorsque vous traitez avec SSL. Si je ne pas utiliser un proxy, mon checkServerTrusted méthode est appelée; c'est ce dont j'ai besoin pour arriver quand je suis passer par le proxy en tant que bien.

Je n'ai pas l'habitude de traiter avec Java et je n'ai pas beaucoup d'expérience avec HTTP/web trucs. Je crois que j'ai fourni tous les détails nécessaires pour comprendre ce que je suis en train de faire. Si ce n'est pas le cas, faites le moi savoir.

Mise à jour:

Après la lecture de l'article proposé par ZZ Codeur, j'ai fait les modifications suivantes au code de connexion:

HttpsURLConnection connection = (HttpsURLConnection)url.openConnection();
connection.setSSLSocketFactory( new SSLTunnelSocketFactory( proxyHost, proxyPort ) );

connection.setDoOutput( true );
connection.setRequestMethod( "POST" );
connection.setRequestProperty( "Content-Type", "application/x-www-form-urlencoded" );
connection.setRequestProperty( "Content-Length", "0" );

connection.connect();

Le résultat (SSLHandshakeException) est le même. Lorsque j'ai mis le SLLSocketFactory ici à la SSLTunnelSocketFactory (la classe expliqué dans l'article), les trucs que j'ai fait avec les TrustManager et la SSLContext est remplacée. Je n'ai pas encore besoin de ça?

Une Autre Mise À Jour:

J'ai modifié le SSLTunnelSocketFactory classe pour utiliser le SSLSocketFactory qui utilise mon TrustManager qui fait confiance à tout. Il ne semble pas que cela a fait une différence. C'est le createSocket méthode de SSLTunnelSocketFactory:

public Socket createSocket( Socket s, String host, int port, boolean autoClose )
    throws IOException, UnknownHostException
{
    Socket tunnel = new Socket( tunnelHost, tunnelPort );

    doTunnelHandshake( tunnel, host, port );

    SSLSocket result = (SSLSocket)dfactory.createSocket(
        tunnel, host, port, autoClose );

    result.addHandshakeCompletedListener(
        new HandshakeCompletedListener()
        {
            public void handshakeCompleted( HandshakeCompletedEvent event )
            {
                System.out.println( "Handshake finished!" );
                System.out.println(
                    "\t CipherSuite:" + event.getCipherSuite() );
                System.out.println(
                    "\t SessionId " + event.getSession() );
                System.out.println(
                    "\t PeerHost " + event.getSession().getPeerHost() );
            }
        } );

    result.startHandshake();

    return result;
}

Lors de mes appels de code de connexion.connect, cette méthode est appelée, et l'appel à doTunnelHandshake est réussie. La prochaine ligne de code utilise mon SSLSocketFactory pour créer un SSLSocket; la toString valeur de résultat après cet appel est:

"1d49247[SSL_NULL_WITH_NULL_NULL: Socket[addr=/proxyHost,port=proxyPort,localport=24372]]".

Il n'en est rien pour moi, mais c'est peut être la raison pour laquelle les choses se décomposent après ce.

Lorsque le résultat.startHandshake() est appelée, le même createSocket méthode est appelée de nouveau à partir de, selon la pile d'appel, HttpsClient.afterConnect, avec les mêmes arguments, à l'exception de Socket s est null, et quand il vient à la suite.startHandshake() encore une fois, le résultat est le même SSLHandshakeException.

Suis-je manque encore un élément important à présent de plus en plus compliqué de puzzle?

C'est la trace de la pile:

javax.net.le protocole ssl.SSLHandshakeException: l'hôte Distant a fermé la connexion lors de la poignée de main 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:808) 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1112) 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1139) 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1123) 
au gsauthentication.SSLTunnelSocketFactory.createSocket(SSLTunnelSocketFactory.java:106) 
au coucher du soleil.net.www.le protocole.https.HttpsClient.afterConnect(HttpsClient.java:391) 
au sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166) 
au coucher du soleil.net.www.le protocole.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:133) 
au gsauthentication.GSAuthentication.principale(GSAuthentication.java:52) 
Causés par: java.io.EOFException: SSL par les pairs fermé correctement 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.InputRecord.lire(InputRecord.java:333) 
au com.soleil.net.le protocole ssl.interne.le protocole ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:789) 
... 8 plus
  • Avez-vous jamais vérifier si le proxy n'a fermer la connexion, c'est à dire le proxy a été intégrée à la validation de certificat?
  • Le message d'erreur dit "hôte Distant a fermé la connexion lors de la poignée de main". C'est que le proxy ou le serveur, je suis en train d'envoyer la demande? Je n'ai aucune idée à propos de la validation du certificat.
  • À partir d'un client de point de vue, je considère le proxy étant à distance de trop. Donc je m'assurerais de (au moins) d'exclure le proxy comme un point de défaillance. J'ai une certaine expérience avec la confiance des magasins et combien douloureux SSL peut être parfois. Mais je n'ai jamais vu une telle exception. Je n'ai jamais utilisé un proxy SSL, mais sur la première si j'avais assurez-vous que le proxy n'est pas de faire des dégâts à votre connexion.
  • Avez-vous déjà essayé de vous connecter à l'aide d'un navigateur? Si l'id ne fonctionne pas aussi bien, il doit être le proxy qui est en train de vous tromper.
  • La connexion via un navigateur fonctionne très bien (en plus des erreurs de certificat que j'ai à licencier), tout comme la connexion par programmation .NET. Le but est de faire automatisés de test de charge avec un cadre appelé Le Broyeur. Le Broyeur utilise Jython pour ses scripts de test, mais son HTTPRequest classe semble être assez limité, j'ai donc essayé de faire ce travail tout de Java premier.
  • Si je ne suis pas passer par le proxy, je reçois un UnknownHostException; le proxy est nécessaire, et non pas le problème, parce que la connexion via un navigateur ou avec C# est indolore..

InformationsquelleAutor Jeff Hillman | 2009-10-02
  1. 30

    Proxy HTTPS n'a pas de sens parce que vous ne pouvez pas mettre fin à votre connexion HTTP sur le proxy pour des raisons de sécurité. Avec votre confiance de la politique, il pourrait fonctionner si le serveur proxy a un port HTTPS. Votre erreur est provoquée par la connexion à port proxy HTTP par HTTPS.

    Vous pouvez vous connecter via un proxy à l'aide du tunnel SSL (beaucoup de gens appellent que le proxy) à l'aide de proxy commande CONNECT. Cependant, Java ne supporte pas la version la plus récente de proxy tunnel. Dans ce cas, vous devez gérer le tunneling vous-même. Vous pouvez trouver un exemple de code ici,

    http://www.javaworld.com/javaworld/javatips/jw-javatip111.html

    EDIT: Si vous voulez vaincre toutes les mesures de sécurité dans JSSE, vous avez encore besoin de votre propre TrustManager. Quelque chose comme ceci,

     public SSLTunnelSocketFactory(String proxyhost, String proxyport){
      tunnelHost = proxyhost;
      tunnelPort = Integer.parseInt(proxyport);
      dfactory = (SSLSocketFactory)sslContext.getSocketFactory();
 }

 ...

 connection.setSSLSocketFactory( new SSLTunnelSocketFactory( proxyHost, proxyPort ) );
 connection.setDefaultHostnameVerifier( new HostnameVerifier()
 {
    public boolean verify( String arg0, SSLSession arg1 )
    {
        return true;
    }
 }  );

    EDIT 2: j'ai juste essayé de faire de mon programme que j'ai écrit il y a quelques années à l'aide de SSLTunnelSocketFactory et ça ne fonctionne pas non plus. Apparemment, le Soleil a introduit un nouveau bug parfois en Java 5. Voir ce rapport de bug,

    http://bugs.sun.com/view_bug.do?bug_id=6614957

    La bonne nouvelle, c'est que le tunnel SSL bug est corrigé de sorte que vous pouvez simplement utiliser la valeur par défaut d'usine. J'ai juste essayé avec un proxy et tout fonctionne comme prévu. Voir mon code,

    public class SSLContextTest {
public static void main(String[] args) {
System.setProperty("https.proxyHost", "proxy.xxx.com");
System.setProperty("https.proxyPort", "8888");
try {
SSLContext sslContext = SSLContext.getInstance("SSL");
//set up a TrustManager that trusts everything
sslContext.init(null, new TrustManager[] { new X509TrustManager() {
public X509Certificate[] getAcceptedIssuers() {
System.out.println("getAcceptedIssuers =============");
return null;
}
public void checkClientTrusted(X509Certificate[] certs,
String authType) {
System.out.println("checkClientTrusted =============");
}
public void checkServerTrusted(X509Certificate[] certs,
String authType) {
System.out.println("checkServerTrusted =============");
}
} }, new SecureRandom());
HttpsURLConnection.setDefaultSSLSocketFactory(
sslContext.getSocketFactory());
HttpsURLConnection
.setDefaultHostnameVerifier(new HostnameVerifier() {
public boolean verify(String arg0, SSLSession arg1) {
System.out.println("hostnameVerifier =============");
return true;
}
});
URL url = new URL("https://www.verisign.net");
URLConnection conn = url.openConnection();
BufferedReader reader = 
new BufferedReader(new InputStreamReader(conn.getInputStream()));
String line;
while ((line = reader.readLine()) != null) {
System.out.println(line);
}
} catch (Exception e) {
e.printStackTrace();
} 
}
}

    C'est ce que j'obtiens quand je lance le programme,

    checkServerTrusted =============
hostnameVerifier =============
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.1//EN" "http://www.w3.org/TR/xhtml11/DTD/xhtml11.dtd">
......

    Comme vous pouvez le voir, les deux SSLContext et hostnameVerifier sont appelé. HostnameVerifier n'intervient que lorsque le nom d'hôte ne correspond pas à l'cert. J'ai utilisé "www.verisign.net" pour déclencher cette.

    • Si j'utilise le SSLTunnelSocketFactory discuté dans cet article, il remplace la valeur par défaut TrustManager trucs que j'ai mis en avant. Dois-je encore besoin de ça?
    • La confiance est entre le navigateur et le serveur final. Il n'a rien à voir avec tunnel. Vous avez encore besoin d'elle.
    • Je ne vois pas un moyen que je peux toujours l'utiliser avec le SSLTunnelSocketFactory classe. Il semble que je ne peux utiliser l'un ou l'autre.
    • Vous pouvez utiliser les deux. Il suffit de créer le dfactory votre chemin.
    • Codeur: je crois que j'ai suivi vos conseils, mais je n'ai pas vu de changement. Il doit y avoir quelque chose d'autre que je dois faire. Si vous avez d'autres suggestions, je vous l'appréciez.
    • Voir mon edit ......................
    • Codeur: je ne pense pas que votre modification est l'ajout de quelque chose que je n'ai pas encore essayé. J'ai configuré le même HostnameVerifier avec seulement une petite différence: je suis en appelant la méthode statique, et vous appelez la méthode d'instance (votre code utilise le nom de la méthode statique). Ni l'un semble faire l'affaire, car un point d'arrêt placé sur le "return true" ligne n'est jamais touché, et la même exception est lancée.
    • Ok. J'ai juste essayé et ça ne fonctionne pas pour moi non plus. Voir mon edit 2.
    • J'obtiens les mêmes résultats quand je lance votre exemple de programme, mais j'obtiens le même SSLHandshakeException lorsque j'utilise mon URL plutôt que verisign un. Il n'y a pas de sortie à tous, donc ni le SSLContext ou la HostnameVerifier sont appelé.
    • Je me demande si vous avez couru dans un autre bug. Essayez de voir si vous pouvez résoudre le nom de domaine à l'intérieur du pare-feu. Si pas, c'est que ce bug bugs.sun.com/view_bug.do?bug_id=4084543 et c'est corrigé dans certaines versions ultérieures de Java 5.
    • J'utilise la version 6 de Java, donc je ne pense pas que ce bug est la question.
    • J'ai essayé sur la version 6 de Java et tout fonctionne pour moi. Je pense que vous devriez essayer une nouvelle HttpClient. Je suggère ce l'innovation.ch/java/HTTPClient qui prend en charge HttpsURLConnection de sorte que vous ne pas avoir à réécrire le code.
    • J'ai travaillé avec l'Apache Commons HttpClient, basé sur Fred Garvin de la suggestion dans une autre réponse, mais jusqu'à présent, il n'y a pas eu d'amélioration. Si cela ne fonctionne pas parfaitement avec le C# et le .NET Framework, je pense qu'il n'était tout simplement pas possible. Je vais vous donner ce de la bibliothèque de l'essayer aussi.
    • Il ressemble à la HTTPClient vous recommandé n'a pas de support pour le protocole HTTPS. Je suppose que j'ai besoin de continuer à chercher.
    • Il n'. J'ai utiliser le protocole HTTPS avec elle. Depuis votre problème n'est pas vraiment à la couche HTTP, vous ne savez pas si un nouveau HTTP client va vous aider à bien.
    • C'est sûr qu'il est à la recherche de cette façon. J'ai été déconner avec le fichier de stockage des clés et tel que d'essayer de comprendre si quelqu'un n'est toujours pas approuvé par quelqu'un d'autre.
    • Profiter de l'abondance, ZZ Codeur. Même si cela n'a pas vraiment résolu, je pense que vous avez probablement gagné. 🙂

    InformationsquelleAutor ZZ Coder
  2. 0

    Essayer de Apache Commons HttpClient de la bibliothèque au lieu d'essayer de rouler votre propre:
    http://hc.apache.org/httpclient-3.x/index.html

    De leur échantillon de code:

      HttpClient httpclient = new HttpClient();
httpclient.getHostConfiguration().setProxy("myproxyhost", 8080);
/* Optional if authentication is required.
httpclient.getState().setProxyCredentials("my-proxy-realm", " myproxyhost",
new UsernamePasswordCredentials("my-proxy-username", "my-proxy-password"));
*/
PostMethod post = new PostMethod("https://someurl");
NameValuePair[] data = {
new NameValuePair("user", "joe"),
new NameValuePair("password", "bloggs")
};
post.setRequestBody(data);
//execute method and handle any error responses.
//...
InputStream in = post.getResponseBodyAsStream();
//handle response.
/* Example for a GET reqeust
GetMethod httpget = new GetMethod("https://someurl");
try { 
httpclient.executeMethod(httpget);
System.out.println(httpget.getStatusLine());
} finally {
httpget.releaseConnection();
}
*/
    • Un de mes amis a recommandé ce à moi de la semaine dernière. Je l'ai téléchargé, mais je n'ai pas eu la chance de l'essayer encore. Je vais essayer la première chose demain matin.
    InformationsquelleAutor