NIFI（安全）：SSLPeerUndefinedException:Hsotname

我想在安全nifi中使用RESTAPI。我已经将sslcontextService与trustore JKS文件一起添加，但是当我使用带有此url的InvokeHTTPProcessor来获取kerberos令牌时：

https://ip 这里/nifi-api/access/kerberos

我得到了这个错误：sslpeerndefinedexception:Hostname

在我的jks文件中，subjectAltname为空，这可能是 失败

另外，我想知道，在获得令牌后，我可以使用它进行自动化，然后按照我的意愿使用RESTAPI，或者是否存在任何问题 其他我应该注意的问题

---

ApacheNIFI或名为

SSLPeerUndefinedException

的底层库中没有异常类。我怀疑您遇到的是

SSLPeerUnverifiedException

。当远程终结点不提供证书或无法验证证书链时，会引发此异常

您可以采取以下几个步骤来尝试确定问题：

确保NiFi实例所呈现的证书也在信任库中。

PrivateKeyEntry

应加载到密钥库（

keystore.jks

或类似文件）中，但信任库不同——它包含

trustedCertEntry

，其中包含

SubjectKeyIdentifier

和各种证书指纹（MD5、SHA1、SHA-256）因此，它可以断言提供这些证书的服务的有效性。如果与

InvokeHTTP

处理器关联的

SSLContextService

无法验证NiFi提供的证书，它将不允许连接

尝试使用

curl

或其他类似的命令行工具连接到NiFi API并验证连接 Kerberos票证用于身份验证——通过知道/拥有某些秘密值来证明您/客户机就是您声称的那个人。授权或确定允许的操作和权限是一个单独的过程

证书中的

subjectAltName

为空可能会导致新浏览器出现问题，因为根据该问题，必须首先检查SAN，但我不相信此处使用的

okhttp

库的当前版本强制执行该操作。不过，为了将来的兼容性，您应该填充SAN字段