我有一个在 Spring Boot 中运行的应用程序,使用 Spring Vault 来检索密码。它正在使用 KubernetesAuthentication 登录。这一直很好,直到我升级到 Spring Boot 2.2.5。然后我开始得到 SSLPeerUnverifiedException。
org.springframework.web.client.ResourceAccessException:
I/O error on POST request for "https://vault.vault.svc.cluster.local:8200/v1/auth/kubernetes/login"
javax.net.ssl.SSLPeerUnverifiedException:
Certificate for <vault.vault.svc.cluster.local> doesn't match any of the subject alternative names: [vault.vault, vault.vault-lite, vault.vault-ha, vault.vault-dev, vault.vault.svc.cluster.local, 127.0.0.1]
使用以下依赖项,一切正常:
spring-vault-core: 2.2.2.RELEASE
org.springframework.web: 5.2.3.RELEASE
httpcomponents.httplient: 4.5.10
更新到下面,它开始失败:
spring-vault-core: 2.2.2.RELEASE
org.springframework.web: 5.2.4.RELEASE
httpcomponents.httplient: 4.5.11
ClientHttpRequestFactory我可以通过提供自定义而不是使用默认值来使其工作。
像这样创建 Vault RestTemplate 会导致SSLPeerUnverifiedException:
VaultClients.createRestTemplate(vaultEndpointProvider(vaultEndpoint),
new HttpComponentsClientHttpRequestFactory());
像这样创建 RestTemplate 有效:
VaultClients.createRestTemplate(vaultEndpointProvider(vaultEndpoint),
new CustomRequestFactory()) //extends SimpleClientHttpRequestFactory
问题是为什么 Spring/HttpClient 中的更新会导致证书验证失败。该证书似乎有效,因为我要连接的主机位于证书的 SAN 中。
更新
问题似乎出在 httpcomponents.httpclient 上4.5.11。我可以通过使用最新版本的Spring-Vault,Spring和Spring-Boot使用httpcomponents.httplient 4.5.10or4.5.12