NIFI(安全):SSLPeerUndefinedException:Hsotname
我想在安全nifi中使用RESTAPI。我已经将sslcontextService与trustore JKS文件一起添加,但是当我使用带有此url的InvokeHTTPProcessor来获取kerberos令牌时:NIFI(安全):SSLPeerUndefinedException:Hsotname,ssl,apache-nifi,Ssl,Apache Nifi,我想在安全nifi中使用RESTAPI。我已经将sslcontextService与trustore JKS文件一起添加,但是当我使用带有此url的InvokeHTTPProcessor来获取kerberos令牌时:https://ip 这里/nifi-api/access/kerberos我得到了这个错误:sslpeerndefinedexception:Hostname 在我的jks文件中,subjectAltname为空,这可能是 失败 另外,我想知道,在获得令牌后,我可以使用它进行自动化
https://ip 这里/nifi-api/access/kerberos
我得到了这个错误:sslpeerndefinedexception:Hostname
ApacheNIFI或名为
SSLPeerUndefinedException
的底层库中没有异常类。我怀疑您遇到的是SSLPeerUnverifiedException
。当远程终结点不提供证书或无法验证证书链时,会引发此异常
您可以采取以下几个步骤来尝试确定问题:
PrivateKeyEntry
应加载到密钥库(keystore.jks
或类似文件)中,但信任库不同——它包含trustedCertEntry
,其中包含SubjectKeyIdentifier
和各种证书指纹(MD5、SHA1、SHA-256)因此,它可以断言提供这些证书的服务的有效性。如果与InvokeHTTP
处理器关联的SSLContextService
无法验证NiFi提供的证书,它将不允许连接李>
curl
或其他类似的命令行工具连接到NiFi API并验证连接李>
Kerberos票证用于身份验证——通过知道/拥有某些秘密值来证明您/客户机就是您声称的那个人。授权或确定允许的操作和权限是一个单独的过程
证书中的subjectAltName
为空可能会导致新浏览器出现问题,因为根据该问题,必须首先检查SAN,但我不相信此处使用的okhttp
库的当前版本强制执行该操作。不过,为了将来的兼容性,您应该填充SAN字段