Как определить SSLContext с помощью HTTPS-клиента Spray?

Я хочу отправлять http-запросы на защищенный сервер с данным сертификатом ca.

Я использую Spray 1.3.1, код выглядит примерно так:

val is = this.getClass().getResourceAsStream("/cacert.crt")

val cf: CertificateFactory = CertificateFactory.getInstance("X.509")

val caCert: X509Certificate = cf.generateCertificate(is).asInstanceOf[X509Certificate];

val tmf: TrustManagerFactory  = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
val ks: KeyStore = KeyStore.getInstance(KeyStore.getDefaultType());
ks.load(null); 
ks.setCertificateEntry("caCert", caCert);

tmf.init(ks);

implicit val sslContext: SSLContext = SSLContext.getInstance("TLS");
sslContext.init(null, tmf.getTrustManagers(), null);

implicit val timeout: Timeout = Timeout(15.seconds)
import spray.httpx.RequestBuilding._

val respFuture = (IO(Http) ? Post( uri=Uri(url), content="my content")).mapTo[HttpResponse]

Проблема в том, что определенный неявный SSLContext не используется, и я получаю: «невозможно найти действительный путь сертификации к запрошенной цели» во время выполнения.

Как я могу определить SSLContext для использования со спрей-клиентом?


ssl https spray spray-client
person joel    schedule 08.02.2015    source источник

Ответы (3)


arrow_upward
2
arrow_downward

Я использую следующее, чтобы определить SSLContext в спрее. В моем случае я использую очень разрешающий контекст, который не проверяет сертификат удаленного сервера. На основе первого решения в этом сообщении - работает для меня.

import java.security.SecureRandom
import java.security.cert.X509Certificate
import javax.net.ssl.{SSLContext, X509TrustManager, TrustManager}

import akka.actor.ActorRef
import akka.io.IO
import akka.util.Timeout
import spray.can.Http

import scala.concurrent.Future

trait HttpClient {
  /** For the HostConnectorSetup ask operation. */
  implicit val ImplicitPoolSetupTimeout: Timeout = 30 seconds

  val hostName: String
  val hostPort: Int

  implicit val sslContext = {
    /** Create a trust manager that does not validate certificate chains. */
    val permissiveTrustManager: TrustManager = new X509TrustManager() {
      override def checkClientTrusted(chain: Array[X509Certificate], authType: String): Unit = {
      }
      override def checkServerTrusted(chain: Array[X509Certificate], authType: String): Unit = {
      }
      override def getAcceptedIssuers(): Array[X509Certificate] = {
        null
      }
    }

    val initTrustManagers = Array(permissiveTrustManager)
    val ctx = SSLContext.getInstance("TLS")
    ctx.init(null, initTrustManagers, new SecureRandom())
    ctx
  }

  def initClientPool(): Future[ActorRef] = {
    val hostPoolFuture = for {
      Http.HostConnectorInfo(connector, _) <- IO(Http) ? Http.HostConnectorSetup(hostName, port = hostPort,
        sslEncryption = true)
    } yield connector
  }
}
person Reed Sandberg    schedule 19.05.2015

arrow_upward
0
arrow_downward

Я придумал эту замену для sendReceive, которая позволяет передавать пользовательский SSLContext (как implicit)

def mySendReceive( request: HttpRequest )( implicit uri: spray.http.Uri, ec: ExecutionContext, futureTimeout: Timeout = 60.seconds, sslContext: SSLContext = SSLContext.getDefault): Future[ HttpResponse ] = {

    implicit val clientSSLEngineProvider = ClientSSLEngineProvider { _ =>
        val engine = sslContext.createSSLEngine( )
        engine.setUseClientMode( true )
        engine
    }

    for {
        Http.HostConnectorInfo( connector, _ ) <- IO( Http ) ? Http.HostConnectorSetup( uri.authority.host.address, port = uri.authority.port, sslEncryption = true )
        response <- connector ? request
    } yield response match {
        case x: HttpResponse ⇒ x
        case x: HttpResponsePart ⇒ sys.error( "sendReceive doesn't support chunked responses, try sendTo instead" )
        case x: Http.ConnectionClosed ⇒ sys.error( "Connection closed before reception of response: " + x )
        case x ⇒ sys.error( "Unexpected response from HTTP transport: " + x )
    }
}

Затем используйте его как «обычный» (почти см. ниже):

val pipeline: HttpRequest => Future[ HttpResponse ] = mySendReceive
pipeline( Get( uri ) ) map processResponse

Есть несколько вещей, которые мне действительно не нравятся:

  • это взлом. Я ожидаю, что spray-client изначально разрешит поддержку пользовательского SSLContext. Это очень полезно во время разработки и тестирования, чтобы обычно принудительно использовать TrustManagers

  • есть параметр implicit uri: spray.http.Uri, чтобы избежать жесткого кодирования хоста и порта на коннекторе. Итак, uri должен быть объявлен implicit.

Приветствуется любое улучшение этого кода или, что еще лучше, патч для spray-client (очевидно, что экстернализация создания SSLEngine)

person Bruno Grieder    schedule 20.05.2015

arrow_upward
0
arrow_downward

Самое короткое, что мне удалось сделать, это:

IO(Http) ! HostConnectorSetup(host = Conf.base.getHost, port = 443, sslEncryption = true)

то есть, что в ответе @reed-sandberg, но шаблон запроса, похоже, не нужен. Я не передаю параметр соединения sendReceive, а вместо этого:

// `host` is the host part of the service
//
def addHost = { req: HttpRequest => req.withEffectiveUri(true, Host(host, 443)) }

val pipeline: HttpRequest => Future[Seq[PartitionInfo]] = (
    addHost
    ~> sendReceive
    ~> unmarshal[...]
)

Кажется, это работает, но мне, естественно, было бы интересно услышать, есть ли недостатки у этого подхода.

Я согласен со всей критикой поддержки SSL спрей-клиента. Неловко, что что-то вроде этого так сложно. Я потратил на это, наверное, 2 дня, сливая данные из разных источников (SO, спрей-документация, список рассылки).

person akauppi    schedule 13.05.2016