跳到主要內容

JavaMail - SMTP+SSL/TLS時,如何設定trusted host?

Problem

在整合SMTP功能時,如果要提供SSL或StartTLS的方式與SMTP server溝通,一定會遇到certificate hostname驗證的問題;因為內部的mail server不一定會提供合法的certificate。例外可能會像這樣:

Caused by: java.io.IOException: Server is not trusted: tonylin.idv.tw
	at com.sun.mail.util.SocketFetcher.configureSSLSocket(SocketFetcher.java:564)
	at com.sun.mail.util.SocketFetcher.startTLS(SocketFetcher.java:486)
	at com.sun.mail.smtp.SMTPTransport.startTLS(SMTPTransport.java:1902)
	... 30 more

本篇文章,主要分享透過程式將目標機器設定為可信任的方式。

How to?

第一個方法是設定property(必須沒設定SocketFactory,而javamail預設會使用MailSSLSocketFactory):

prop.put("mail.smtp.ssl.trust", "tonylin.idv.tw");

有多個可以使用空白分格,如果要允許全部就使用*。

第二個方法是直接使用MailSSLSocketFactory,針對SSL的情況要使用mail.smtp.socketFactory:

MailSSLSocketFactory socketFactory = new MailSSLSocketFactory();
socketFactory.setTrustedHosts(new String[]{"tonylin.idv.tw"});
socketFactory.setTrustAllHosts(true);
prop.put("mail.smtp.socketFactory", socketFactory);

而StartTLS會經過將普通連線變為TLS連線的階段,所以要使用mail.smtp.ssl.socketFactory:

prop.put("mail.smtp.starttls.enable","true");	
prop.put("mail.smtp.ssl.socketFactory", socketFactory);

為了可以針對是否驗證做切換,我是這樣處理:

private SocketFactory getMailSSLSocketFactory() {
	try {
		if (ignoreCertValidation) {
			MailSSLSocketFactory factory = new MailSSLSocketFactory();
			factory.setTrustAllHosts(true);
			return factory;
		}
		return SSLSocketFactory.getDefault();
	} catch (GeneralSecurityException e) {
		throw new RuntimeException(e);
	}
}
 
switch (getEncryption()) {
case SSL:
	prop.put("mail.smtp.socketFactory", getMailSSLSocketFactory());
	break;
case TLS:
	prop.put("mail.smtp.ssl.socketFactory", getMailSSLSocketFactory());
	prop.put("mail.smtp.starttls.enable", "true");
	break;
default:
	break;
}

除了以上方法,你也可以使用自己SocketFactory去解決這問題。我們也有程式可以在runtime將目標機器的certificate加到keystore中。

Reference

標籤:

留言

張貼留言

這個網誌中的熱門文章

解決RobotFramework從3.1.2升級到3.2.2之後,Choose File突然會整個Hand住的問題

考慮到自動測試環境的維護,我們很久以前就使用java去執行robot framework。前陣子開始處理從3.1.2升級到3.2.2的事情,主要先把明確的runtime語法錯誤與deprecate item處理好,這部分內容可以參考: link 。 直到最近才發現,透過SeleniumLibrary執行Choose File去上傳檔案的動作,會導致測試案例timeout。本篇文章主要分享心路歷程與解決方法,我也送了一條issue給robot framework: link 。 我的環境如下: RobotFramework: 3.2.2 Selenium: 3.141.0 SeleniumLibrary: 3.3.1 Remote Selenium Version: selenium-server-standalone-3.141.59 首先並非所有Choose File的動作都會hang住,有些測試案例是可以執行的,但是上傳一個作業系統ISO檔案一定會發生問題。後來我透過wireshark去比對新舊版本的上傳動作,因為我使用 Remote Selenium ,所以Selenium會先把檔案透過REST API發送到Remote Selenium Server上。從下圖我們可以發現,在3.2.2的最後一個TCP封包,比3.1.2大概少了500個bytes。 於是就開始了我trace code之路。包含SeleniumLibrary產生要送給Remote Selenium Server的request內容,還有HTTP Content-Length的計算,我都確認過沒有問題。 最後發現問題是出在socket API的使用上,就是下圖的這支code: 最後發現可能因為開始使用nio的方式送資料,但沒處理到尚未送完的資料內容,而導致發生問題。加一個loop去做計算就可以解決了。 最後我有把解法提供給robot framework官方,在他們出新的版本之前,我是將改完的_socket.py放在我們自己的Lib底下,好讓我們測試可以正常進行。(shutil.py應該也是為了解某個bug而產生的樣子..)
張貼留言
閱讀完整內容

第一次寫MIB就上手

SNMP(Simple Network Management Protocol)是用來管理網路設備的一種Protocol,我對它的認識也是從工作接觸開始。雖說是管理網路設備,但是主機、電源供應器、RAID等也都可以透過它來做管理。如果你做了一個應用程式,當然所有的操作也都可以透過SNMP來完成,不過可能會很痛苦。前陣子遇到一個學弟,它告訴我說:「我可能不會想寫程式。」為什麼? 因為這是他痛苦的根源。 在這篇文章中,不是要告訴你SNMP是什麼,會看這篇文章的大哥們,應該已經對SNMP有些認識了。 是的!主題是MIB(Management information base)! 對於一個3th-party的SNMP oid,有MIB可以幫助你去了解它所提供的資訊是什麼,且可以對它做什麼操作。最近我運氣很好剛好做到關於修改MIB的工作,也讓我順便了解一下它的語法,接下來我要交給大家MIB的基礎認識。 smidump 我並非使用什麼高強的Editor去編寫MIB,我僅透過Nodepad++編輯和smidump編譯而已。smidump是Kay教我使用的一個將MIB module轉成樹狀結構或oid列表的工具,唯一的缺點是不會告訴你哪一行打錯。當然有錢直接買編輯樹狀結構的工具就可以不需要了解語法了! 安裝 在Ubuntu上可先輸入smidump確認是否安裝,如果沒安裝可透過apt-get install libsmi2ldbl安裝。(CentOS可以透過yum install libsmi) root@tonylin:~/multi-boot-server# smidump The program 'smidump' is currently not installed. You can install it by typing: apt-get install libsmi2ldbl 使用 透過下面兩行指令,就可以將mib file產生出對應的tree與oid列表的檔案。也可以透過這個結果確認MIB是不是你想要的。 smidump -f tree example1.mib > xtree.txt smidump -f identifiers example1.mib > xiden.txt 如果有參考其它檔案要加上p的參數: smidum...
張貼留言
閱讀完整內容

Robot Framework升級到4.1.2之後,為何Jenkins的Report突然不會報錯了?

最近我們在把Robot升級到3.2.2之後,我想說試試看4.1.2,於是就直接升了上去。沒想到daily build的測試沒發生任何異常。 但不幸的是Jenkins的報表怪怪的: 發生錯誤確Build Success! 趁著颱風假,比較了一下發現新版本的Critical tests測試項目皆為0: 查了一下 官方文件 發現是因為4.0之後,已經把Critical tests概念刪除了,詳細可以參考: Migrating from criticality to SKIP。 解決方法有3種, 自己定義Critical tests,不過看起來5.0就移掉了。 可能可以更新robot framework plugin。我們版本很舊,是1.6.4。因為目前還沒有更新jenkins的計畫,所以我使用了第三個方法。 Build成功與否的Threshold別用Critical tests。 最後測試結果:
張貼留言
閱讀完整內容