问题：

SSL上带弹性搜索的千分尺

子车青青

2023-03-14

我正在尝试使用SSL上带有Elasticsearch的测微计。

我在版本1.8.0中使用测微计，在版本7.16.3和OpenJDK 11.0.2中使用Elasticsearch。

因为我知道不可能使用内置配置(链接),所以我尝试注入一个自定义的HttpUrlConnectionSender，如下面的SecureHttpSender类所示:

public class SecureHttpSender extends HttpUrlConnectionSender {
    ...

    public SecureHttpSender(ElasticProperties properties, SecureElasticProperties secureElasticProperties) {
                super(properties.getConnectTimeout(), properties.getReadTimeout());
                this.secureElasticProperties = secureElasticProperties;
                this.sslSocketFactory = buildSslSocketFactory();
            }
    
    @Override
    public Response send(Request request) throws IOException {
        HttpURLConnection httpURLConnection = null;
        try {
            httpURLConnection = (HttpURLConnection) request.getUrl().openConnection();
    
            // if the connection is an instance of the HttpsURLConnection class, the ssl configuration will always been applied.
            if (httpURLConnection instanceof HttpsURLConnection) {
                // - hostname verifier
                if (!secureElasticProperties.isVerifyHostname()) {
                    logger.debug("setting the hostname verifier to: {}", NoopHostnameVerifier.INSTANCE);
                    ((HttpsURLConnection) httpURLConnection).setHostnameVerifier(NoopHostnameVerifier.INSTANCE);
                }
    
                // - trust store configuration
                ((HttpsURLConnection) httpURLConnection).setSSLSocketFactory(sslSocketFactory);
            }
    
            return super.send(request);
    
        } finally {
            try {
                if (httpURLConnection != null) {
                    httpURLConnection.disconnect();
                }
            } catch (Exception ignore) {
            }
        }
    }
    
    private SSLSocketFactory buildSslSocketFactory() {
        SSLSocketFactory sslSocketFactory;
        try (InputStream is = getInputStream(secureElasticProperties.getTrustStorePath())) {
            KeyStore truststore = KeyStore.getInstance(secureElasticProperties.getTrustStoreType());
            truststore.load(is, secureElasticProperties.getTrustStorePassword().toCharArray());
            SSLContextBuilder sslBuilder = SSLContexts.custom().loadTrustMaterial(truststore, null);
            final SSLContext sslContext = sslBuilder.build();
            sslSocketFactory = sslContext.getSocketFactory();
        } catch (IOException | CertificateException | KeyStoreException | NoSuchAlgorithmException | KeyManagementException e) {
            String message = String.format("error while loading the security configuration from: %s", secureElasticProperties);
            logger.error(message, e);
            throw new RuntimeException("management.metrics.export.elastic.ssl");
        }
        return sslSocketFactory;
    }
    
    private InputStream getInputStream(String trustStorePathString) throws IOException {
    PathMatchingResourcePatternResolver pathMatchingResourcePatternResolver = new PathMatchingResourcePatternResolver();
    Resource resource = pathMatchingResourcePatternResolver.getResource(trustStorePathString);
    return resource.getInputStream();
    }
}

我注入了Spring启动，所以我可以应用所需的配置，但我得到以下错误：

ERROR 10912 --- [trics-publisher] i.m.elastic.ElasticMeterRegistry         : failed to send metrics to elastic
javax.net.ssl.SSLHandshakeException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
...
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
...
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
...

服务器证书和客户端信任库是有效的，因为我已经成功地使用了它们。我还尝试在握手阶段强制使用特定版本的TLS协议：TLSv1.3和TLSv1.2，但错误仍然发生。

有人对如何修复它有什么建议吗？谢谢

共有2个答案

夏兴平

2023-03-14

我对我发布的代码做了一个简单的更改，并解决了它:我复制了super.send()方法的所有代码，添加了额外的代码来设置自定义的SslSocketFactory，一切正常！

原因是

它将创建一个新连接，而不使用您创建的连接

正如Jonatan所说…一个我微不足道的错误。：）

曾弘扬

2023-03-14

检查super.send的作用，它会创建一个新连接，而不使用您创建的连接。我不建议使用自签名证书和自定义信任库，但您可以使用HttpsURLConnection.setDefaultHostnameVerifier设置默认的HostnameVerifier。

由于这是静态的，它将适用于所有 HttpsURL 连接实例，因此您无需向千分尺注入任何内容。

正确的解决方案是使用非自签名证书或适当的信任库（例如：通过 javax.net.ssl.trustStore）。

类似资料：

所有属性上的弹性搜索索引？

我是弹性搜索新手，并且已经完成了类似mykong教程的基本教程我对创建任何文档的一部分有疑问创建操作示例插入包含 /mkyong/posts/1001和以下请求数据的新文档：问题1：-ES是否会在上述文档的所有属性上创建反向索引，即默认情况下的标题/类别/已发布/作者，并提供全文搜索，还是需要明确提及？问题2：-在上述示例中，我们已经有了唯一的\u id，即。如果我已经将其存储在DB中并生
弹性搜索分析百分比

我正在使用Elasticsearch 1.7.3为分析报告积累数据。我有一个保存文档的索引，其中每个文档都有一个名为“duration”(请求花费了多少毫秒)的数字字段和一个名为“component”的字符串字段。可能有许多文档具有相同的组件名称。例如。我想生成一份报告，说明每个组件：此组件的所有“持续时间”字段的总和。此总数占所有文档总持续时间的百分比。在我的例子中每个组件的文档占总
弹性搜索的搜索查询

我有以下格式的弹性搜索文档 } } 我的要求是，当我搜索特定字符串（string.string）时，我只想获得该字符串的FileOffSet（string.FileOffSet）。我该怎么做？谢谢
弹性搜索URI搜索与分组依据

我可以搜索正常的查询。包含来自elasticsearch uri search的字段值或排序，但无法运行uri search的术语聚合查询。我怎么能做到这一点？术语聚合查询是： curl-u-elastic-XGET'127.0.0.1:9200/indexname/typename/\u搜索？pretty'-d'{“size”：0，aggs:{“groupu by_field”：{“term
弹性搜索多项搜索

我使用Elasticsearch允许用户输入要搜索的术语。例如，我要搜索以下属性'name': 如果使用以下代码搜索或，我希望返回此文档。我尝试过做一个bool must和做多个术语，但它似乎只有在整个字符串都匹配的情况下才起作用。所以我真正想做的是，这个词是否以任何顺序包含两个词。有人能帮我走上正轨吗？我已经在这上面砸了一段时间了。
HeapDumpOnOutOfMemoryError弹性搜索

当我执行ps-aef grep elasticsearch HeapDumpOnOutOfMemoryError时看到了这一点 501 373 47 1 0 2:29pm ttys004 0:04.14/usr/bin/Java-xms4g-xmx4g-xss256k-djava.awt.headless=true-xx:+useparnewgc-xx:+useparnewgc-xx:+usepa

SSL上带弹性搜索的千分尺

共有2个答案

相关问答

相关文章

相关阅读

相关工具

相关文档