CertificateException：不存在主题替代名称

Question

调用 https 网络服务时出现以下异常。

com.sun.xml.internal.ws.client.ClientTransportException: HTTP transport error: javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No subject alternative names present.

我正在从 Java 代码调用一个 php web 服务。 CN（通用名称），即证书上的 IP 地址和我呼叫的 IP 地址不同。我已在 java 的密钥库中添加了证书。 有人可以帮我弄清楚为什么会这样吗？我哪里错了？ CN 是服务器 IP 地址。由于防火墙问题，我正在使用我们给定的外部 IP 地址调用该服务器。

Answer 1

在使用 IP 地址检查服务器身份时，Java 客户端通常严格遵守 RFC 2818。这意味着 IP 地址必须在主题备用名称条目中，而不是在 CN。这个this question了解详情。

修复证书以符合 RFC 2818（即将 IP 地址放入 IP 地址 SAN）应该修复 java.security.cert.CertificateException: No subject alternative names present. 异常。

但是，由于您没有使用证书中的 IP 地址调用服务器，因此您仍然会遇到问题。你有两个选择：

• 如果您可以找人修复证书，请放置两个 SAN 条目，用于内部和外部 IP 地址。这是迄今为止最好的选择（仅次于在该机器上设置名称，这可以更好地防止此类问题）。

• 仅在该连接使用的信任库中导入该证书并禁用主机名验证。 一般情况下不要禁用主机名验证。禁用主机名验证的问题是任何有效证书都可以冒充任何其他证书，这可用于 MITM 攻击。如果您信任的唯一证书是您想要连接的唯一服务器的证书（您可以为此目的使用单独的信任存储来做到这一点），您可以限制这种风险。通常，为这些特殊情况编写代码会导致糟糕的遗留代码，以后有人可能会不安全地拾取和使用这些代码。因此，修复证书是迄今为止更好的选择。

Answer 2

CN（通用名称），即证书上的 IP 不同，我呼叫的 IP 也不同。

...

HTTP 传输错误：javax.net.ssl.SSLHandshakeException：java.security.cert.CertificateException：不存在主题替代名称。

当一个名称出现在通用名称 (CN) 中时，它必须也出现在主题备用名称 (SAN) 中。您的证书格式不正确（可能还有其他问题）。请参阅Baseline Requirements for the Issuance and Management of Publicly-Trusted Certificates，第 9 节（第 9 和 10 页）：

9.2.2 主题公用名字段

证书字段：主题：commonName (OID 2.5.4.3)

必需/可选：已弃用（不鼓励，但不禁止）

Contents：如果存在，此字段必须包含单个 IP 地址或 完全限定域名，它是包含在 证书的 subjectAltName 扩展名（参见第 9.2.1 节）。

Bruno 可能会引用 RFC 6125 中的相关部分。