是否有可能让 Java 忽略“信任存储”并只接受它获得的任何 SSL 证书？

Question

我正在尝试编写一个使用 javax.mail API 发送邮件的 SSL 客户端。我遇到的问题是服务器请求我使用 SSL，但服务器还配置了非标准 SSL 证书。我发现的网页说我需要将证书安装到信任存储中。我不想这样做（我没有必要的权限。）

1. 有没有办法让 Java 忽略证书错误并接受它？
2. 如果做不到这一点，有没有办法让信任存储位于我的程序本地，而不是为整个 JVM 安装？

Answer 1

您需要创建一个接受所有证书的假 TrustManager，并将其注册为管理器。像这样的东西：

public class MyManager implements com.sun.net.ssl.X509TrustManager {
  public boolean isClientTrusted(X509Certificate[] chain) { return true; }
  public boolean isHostTrusted(X509Certificate[] chain) { return true; }
  ...
}


com.sun.net.ssl.TrustManager[] managers =
  new com.sun.net.ssl.TrustManager[] {new MyManager()};

com.sun.net.ssl.SSLContext.getInstance("SSL").
       .init(null, managers, new SecureRandom());

Answer 2

#1 的工作代码（在 jdk1.6.0_23 中）。

进口

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.security.cert.X509Certificate;

实际信任所有TrustManager 代码。

TrustManager trm = new X509TrustManager() {
    public X509Certificate[] getAcceptedIssuers() {
        return null;
    }

    public void checkClientTrusted(X509Certificate[] certs, String authType) {

    }

    public void checkServerTrusted(X509Certificate[] certs, String authType) {
    }
};

SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, new TrustManager[] { trm }, null);
HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

Answer 3

试试这个（问题 2 的答案）：

System.setProperty("javax.net.ssl.trustStore", "/path/to/truststore");

您还可以将其指定为附加命令行参数：

java -Djavax.net.ssl.trustStore=/path/to/truststore <remaining arguments>

在 Fedora 上，这可能是系统范围的 Java 信任存储 /etc/pki/java/cacerts

Answer 4

只需添加 -Dtrust_all_cert=true 到 VM 参数。该参数告诉 java 忽略所有证书检查。

Answer 5

在命令行中您可以添加参数 -noCertificationCheck java忽略证书检查。