我们使用的解决方案非常干净、简单,并且可以在浏览器和操作系统之间移植 - 使用代理服务器来为您处理 SSL 握手。
您可以在运行测试的同一 JVM 中设置内存中的中间人代理服务器,甚至可以在不同端口上设置多个实例,每个实例分配给不同的客户端证书。然后,在创建 WebDriver 实例时,使用设置代理方法 https://www.selenium.dev/selenium/docs/api/java/org/openqa/selenium/ie/InternetExplorerOptions.html#setProxy-org.openqa.selenium.Proxy-适合您的浏览器。请注意,浏览器将显示安装在代理本身而不是目标服务器上的服务器证书,因此可能存在一些应在 WebDriver 设置中抑制的无效证书错误。或者 - 如果您可以使用代理的密钥,则代理可以简单地使用有效的服务器证书,在这种情况下,连接对于测试脚本来说是完全透明的。
一种简单的代理服务器可以提供 Java 所需的功能:小代理 https://github.com/mrog/LittleProxy。也许像浏览器Mob https://github.com/lightbody/browsermob-proxy通过现成的 API 提供更完整的解决方案。
使用 LittleProxy 的示例只需要几行(十几行)样板文件:
Step 1:
Extend org.littleshoot.proxy.MitmManager
您可以使用客户端证书(例如 p12 文件或 PEM 文件)将某些内容插入代码中。公开的工作示例位于这个仓库 https://github.com/JockX/MutualAuthenticationCapableMitmManager.
Step 2:
使用您选择的客户端证书和服务器证书启动代理服务器:
org.littleshoot.proxy.impl.DefaultHttpProxyServer.DefaultHttpProxyServer.bootstrap()
.withIdleConnectionTimeout(FIVE_MINUTES)
.withName(clientCertFile.getName())
.withPort(port)
.withAllowLocalOnly(localConnectionOnly)
.withManInTheMiddle(new MutualAuthenticationCapableMitmManager(
usingPKCS12File(clientCertFile, clientCertPassword),
usingPemKeyPair(serverKeyPair[0], serverKeyPair[1])))
.start();
为您需要重用相同端口或通过启动并发实例的每个客户端证书创建另一个代理。
Step 3:
使用代理启动 WebDriver。主要浏览器(IE、Firefox、Chrome)以类似的方式支持该设置:
org.openqa.selenium.Proxy proxy = new Proxy();
proxy.setSslProxy("127.0.0.1:5555");
proxy.setNoProxy("<-loopback>"); // overwrite the default no-proxy for localhost, 127.0.0.1
FirefoxOptions options = new FirefoxOptions();
options.setProxy(proxy);
WebDriver driver = new FirefoxDriver(options);
Step 4:
运行测试时,浏览器永远不会通过任何证书提示来打扰您。利润。
如果使用此技术,请格外小心以确保机密安全,尤其是第三方无法访问代理服务器本身。在安全的企业网络之外暴露密钥从来都不是一个好主意,无论它们是真实的(!!!)还是假的。