什么是根证书？为什么HTTPS需要它？

想象一下你要去银行办理业务，怎么确认眼前这个"银行"是真的银行而不是骗子假扮的呢？在互联网世界，SSL/TLS证书就是网站的"身份证"，而根证书就像是公安局的印章——只有被权威机构(CA)盖过章的身份才是可信的。

当Java程序访问HTTPS网站时，系统会检查：

1. 网站证书是否由受信任的CA签发

2. 证书是否在有效期内

3. 证书中的域名与实际访问的是否一致

这就好比：

- 真警察（有效证书）能出示盖有公安局公章（CA签名）的证件

- 假警察要么没有公章，要么公章是伪造的（自签名或未知CA）

Java默认信任哪些根证书？

你的Java安装目录下有个"cacerts"文件（通常位于`JAVA_HOME/lib/security`），这是Java自带的信任库。它像一本通讯录，包含了约80个全球公认的CA根证书。可以用以下命令查看：

```bash

keytool -list -keystore cacerts -storepass changeit

```

常见的有：

- DigiCert

- GlobalSign

- GoDaddy

- Let's Encrypt

实战场景：当遇到非常规证书时

场景1：使用自签名证书的内部系统

假设公司内部有个https://hr.internal.com使用自签名证书，直接访问会报错：

javax.net.ssl.SSLHandshakeException: PKIX path building failed...

解决方案有两种：

方法A：临时跳过验证（不推荐用于生产环境）

```java

TrustManager[] trustAllCerts = new TrustManager[] {

new X509TrustManager() {

public java.security.cert.X509Certificate[] getAcceptedIssuers() {

return null;

}

public void checkClientTrusted(X509Certificate[] certs, String authType) {}

public void checkServerTrusted(X509Certificate[] certs, String authType) {}

}

};

SSLContext sc = SSLContext.getInstance("SSL");

sc.init(null, trustAllCerts, new java.security.SecureRandom());

HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());

这相当于"闭着眼睛过安检"，虽然方便但极其危险！

方法B：正确导入根证书（推荐）

1. 获取网站的PEM格式证书（可以从浏览器导出）

2. 转换为Java可识别的格式：

```bash

openssl x509 -in hr.internal.com.pem -outform der -out hr.internal.com.der

```

3. 导入到Java信任库：

keytool -importcert -alias hr-internal -keystore custom_cacerts \

-file hr.internal.com.der -storepass mypassword

4. 运行程序时指定信任库：

java -Djavax.net.ssl.trustStore=/path/to/custom_cacerts \

-Djavax.net.ssl.trustStorePassword=mypassword MyApp

场景2：使用私有CA签发的证书

大型企业可能有自己的PKI体系，所有内部证书都由企业CA签发。这时需要：

1. 获取企业根证书(如`CompanyRootCA.crt`)

2. 同样用keytool导入到信任库

3. （可选）替换JRE默认的cacerts文件

Windows示例路径

cp custom_cacerts "C:\Program Files\Java\jre1.8.0_301\lib\security\cacerts"

HTTPS客户端代码最佳实践

OkHttp示例（带自定义信任库）

// 加载自定义信任库

KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());

try (InputStream is = new FileInputStream("/path/to/custom_cacerts")) {

keyStore.load(is, "mypassword".toCharArray());

}

// 创建SSL上下文

TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());

tmf.init(keyStore);

SSLContext sslContext = SSLContext.getInstance("TLS");

sslContext.init(null, tmf.getTrustManagers(), null);

// 配置OkHttpClient

OkHttpClient client = new OkHttpClient.Builder()

.sslSocketFactory(sslContext.getSocketFactory(),

(X509TrustManager)tmf.getTrustManagers()[0])

.build();

// 发起请求

Request request = new Request.Builder()

.url("https://internal-api.example.com")

Response response = client.newCall(request).execute();

Apache HttpClient示例

SSLContextBuilder sslBuilder = SSLContextBuilder.create();

sslBuilder.loadTrustMaterial(new File("/path/to/custom_cacerts"),

"mypassword".toCharArray());

CloseableHttpClient httpClient = HttpClients.custom()

.setSSLContext(sslBuilder.build())

HttpGet httpGet = new HttpGet("https://secure.example.com");

CloseableHttpResponse response = httpClient.execute(httpGet);

HTTPS开发中的常见陷阱与排查技巧

问题1："Peer not authenticated"错误

可能原因：

- CA根证书未正确导入（检查别名和存储路径）

- 中间证书缺失（需完整的证书链）

问题2："Certificate doesn't match name"

解决方法：

// 对于测试环境可以禁用主机名验证（生产环境勿用！）

HostnameVerifier allHostsValid = (hostname, session) -> true;

HttpsURLConnection.setDefaultHostnameVerifier(allHostsValid);

问题3：性能问题

大量HTTPS连接会导致CPU负载升高，因为每次握手都需要非对称加密计算。解决方案：

- 启用会话复用：

// ...初始化context...

SSLSessionCache cache = new SSLSessionCache(null); // Android特有方案

Java安全策略进阶配置

对于更复杂的环境，可以在`java.security`文件中调整策略：

/conf/security/java.security部分配置项示例：

TLS协议版本控制（禁用不安全的旧协议）

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

RSA密钥长度要求（防止弱密钥）

jdk.certpath.disabledAlgorithms=MD2, RSA keySize < 2048

CRL检查设置（确保证书未被吊销）

com.sun.security.enableCRLDP=true

通过合理配置这些参数，可以显著提升Java应用的HTTPS安全性。

HTTPS监控与调试技巧

查看详细握手过程：

java -Djavax.net.debug=ssl:handshake MyApp > ssl_debug.log 2>&1

日志会显示完整的握手流程，包括：

ClientHello...

ServerHello...

Certificate chain (服务器发送的完整证书记录)

ECDH ServerKeyExchange...

CertificateRequest... (如果要求客户端认证)

ServerHelloDone...

Wireshark抓包分析：

配合过滤器`tls and ip.addr == x.x.x.x`可以直观看到：

- Client Hello中的密码套件列表

- Server Hello选定的加密方式

- Certificate报文中的证书记录

Java11+的新特性：HTTP/2支持

现代Java版本对HTTPS的支持更加完善：

```java

HttpClient client = HttpClient.newBuilder()

.version(HttpClient.Version.HTTP_2)

.sslParameters(new SSLParameters().setProtocols(new String[]{"TLSv1.3"}))

.build();

HttpRequest request = HttpRequest.newBuilder()

.uri(URI.create("https://http2.golang.org"))

client.sendAsync(request, HttpResponse.BodyHandlers.ofString())

.thenApply(HttpResponse::body)

.thenAccept(System.out::println);

HTTP/2的多路复用特性可以显著提升HTTPS应用的性能。

TAG:java使用根证书访问https,java加载证书发送https请求,java使用cer证书,java加载cer证书访问https,java验证证书