弹簧跳台SSLPeerUnverifiedException

Question

我在Spring中运行了一个应用程序，使用Spring检索密码。它正在使用KubernetesAuthentication登录。在我升级到SpringBoot2.2.5之前，这种方法运行得很好。然后我开始得到SSLPeerUnverifiedException。

org.springframework.web.client.ResourceAccessException:
    I/O error on POST request for "https://vault.vault.svc.cluster.local:8200/v1/auth/kubernetes/login"
javax.net.ssl.SSLPeerUnverifiedException: 
    Certificate for <vault.vault.svc.cluster.local> doesn't match any of the subject alternative names: [vault.vault, vault.vault-lite, vault.vault-ha, vault.vault-dev, vault.vault.svc.cluster.local, 127.0.0.1]

对于下面的依赖项，一切都正常工作：

spring-vault-core: 2.2.2.RELEASE
org.springframework.web: 5.2.3.RELEASE
httpcomponents.httplient: 4.5.10

更新到下面，它开始失败：

spring-vault-core: 2.2.2.RELEASE
org.springframework.web: 5.2.4.RELEASE
httpcomponents.httplient: 4.5.11

我可以通过提供一个自定义ClientHttpRequestFactory来使它工作，而不是使用默认的。

创建这样的Vault RestTemplate会导致SSLPeerUnverifiedException

VaultClients.createRestTemplate(vaultEndpointProvider(vaultEndpoint),
                new HttpComponentsClientHttpRequestFactory());

像这样创建RestTemplate是可行的：

VaultClients.createRestTemplate(vaultEndpointProvider(vaultEndpoint),
            new CustomRequestFactory()) //extends SimpleClientHttpRequestFactory

问题是为什么Spring/HttpClient中的更新会导致证书验证失败。证书似乎有效，因为我连接的主机位于证书的SAN中。

更新问题似乎与httpcomponents.httplient 4.5.11有关。我可以通过使用Spring-Vault、Spring、Spring-Boot的最新版本以及使用httpcomponents.httplient 4.5.10或4.5.12来使其工作。

Answer 1

这是由HttpClient版本4.5.11中引入的一个错误造成的。固定在4.5.12中

https://issues.apache.org/jira/browse/HTTPCLIENT-2047