我遇到了异常
sun.security.validator.ValidatorException:PKIX 路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到到请求目标的有效证书路径
我已在该位置设置 SSL 证书
C:\Program Files\AdoptOpenJDK\jdk-11.0.9.11-hotspot\lib\security
keytool -import -keystore cacerts -file C:\Users\test\Desktop\Certificate\oCertificate.cer
但是我在访问服务器时遇到了上述异常。
我看到的结果 我已将证书添加到 Jdk cacerts 文件中,但它工作了两天,然后我又遇到了同样的错误。我无法让它工作我能够成功地 ping 服务器而不是再次显示异常。
【问题讨论】:
标签: java https ssl-certificate
您描述的问题是运行 keytool 来导入证书会给您这个错误吗?请提供选项-trustcacerts 并查看相关文档:
导入新的可信证书
在将证书添加到密钥库之前,keytool 命令 通过尝试从中构建信任链来验证它 证书到自签名证书(属于根 CA), 使用密钥库中已有的可信证书。
如果指定了 -trustcacerts 选项,则附加 证书被考虑用于信任链,即 cacerts 文件中的证书。
如果 keytool 命令无法从 要导入的证书最多为自签名证书( 从密钥库或 cacerts 文件),然后是证书 打印信息,并提示用户通过以下方式进行验证 将显示的证书指纹与指纹进行比较 从其他(可信的)信息来源获得,这些信息可能 成为证书所有者。非常小心,以确保证书是 在将其作为可信证书导入之前有效。然后用户有 停止导入操作的选项。如果 -noprompt 选项 指定,则不与用户交互。
来源:https://docs.oracle.com/en/java/javase/11/tools/keytool.html
另外,您可能会发现 keytool 不是很人性化,您可能会喜欢其他软件,例如:https://keystore-explorer.org/downloads.html 更多。
或者,如果问题是您的(TLS 客户端,甚至 TLS 服务器)软件存在一些证书问题,则可能是因为 jccampanero 已经建议服务器可能已切换到不同的证书,或者据我所知服务器实际上可能是负载均衡器后面的几个不同的服务器,它们可能并不都具有相同的证书。 (或者您可能安装了一些 Java 更新来替换默认的 cacerts 文件?)
如果出现问题,我强烈建议阅读 JSSE 文档并使用 java 选项 -Djavax.net.debug=all 启用调试日志记录,或者可能比 all 少一点,例如 handshake,请参阅 Java 11 文档:
这显示了您的应用程序使用的确切 TrustStore、服务器在握手期间提供的证书以及许多其他作为 TLS 握手一部分的协商内容。
如果您希望完全控制您信任的颁发证书的人,您可以配置自己的信任库,而不是可以在 Java 安装之外使用的默认信任库,选项如下:
java -Djavax.net.ssl.trustStore=samplecacerts \
-Djavax.net.ssl.trustStorePassword=changeit \
Application
我相信研究此调试日志记录应该可以直接解决问题,如果不能解决问题,请向我们提供一些相关的日志记录。
【讨论】:
您报告的错误表明您的应用程序无法与远程对等方建立受信任的 SSL 连接,因为它无法找到有效的证书路径。
我觉得很奇怪的是为什么它在几天前有效,而现在却无效:可能是服务器更改了证书,或者您的设置以某种方式发生了变化。
SSL 配置将高度依赖于您用于连接远程服务器的软件:如果您使用标准 Java 类(如 URLConnection 或 HttpURLConnection)或 Apache HttpClient 或 OkHttp 等库,则可能会有所不同,等等。区别主要在于该软件是否在后台使用Java Secure Socket Extension (JSSE)。
假设您使用的是JSSE,为了成功配置您的信任关系,您需要正确配置一个TrustManager,更具体地说,一个X509TrustManager。来自docs:
TrustManager的主要职责是确定是否应信任提供的身份验证凭据。
基本上你可以通过两种方式配置这个X509TrustManager。
在手边,您可以create your own implementation。例如:
// This KeyStore contains the different certificates for your server
KeyStore keyStore = KeyStore.getInstance("JKS");
keyStore.load(
new FileInputStream("/path/to/serverpublic.keystore"),
"yourserverpublickeystorepassword".toCharArray()
);
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); // SunX509
tmf.init(keyStore);
TrustManager[] trustManagers = tmf.getTrustManagers();
SSLContext sslContext = SSLContext.getInstance("TLS");
// You can configure your client for mutual authentication
// and/or provide a SecureRandom also if you wish
sslContext.init(null, trustManagers, null);
请考虑阅读此SO question 以获取完整示例。
或者,另一方面,正如您所做的那样,您可以正确配置标准TrustManagerFactory。
如上述文档中所述,标准TrustManagerFactory 使用以下过程尝试按指定顺序查找信任材料:
javax.net.ssl.trustStore 系统属性指向包含您受信任的服务器证书的keystone。如果还定义了javax.net.ssl.trustStorePassword 系统属性,则其值用于在打开信任库之前检查信任库中数据的完整性。javax.net.ssl.trustStore 系统属性,则:java-home/lib/security/jssecacerts存在,则使用该文件;java-home/lib/security/cacerts存在,则使用该文件;无论使用何种机制,您都必须确保密钥库包含信任远程服务器所需的所有证书,不仅是 SSL 证书,还包括证书链中的所有证书。
openssl 提供了一个有用的命令,允许您获取 SSL 连接中使用的所有证书:
openssl s_client -showcerts -connect google.com:443
当然,根据需要修改域。
会输出不同的证书;请务必保存它们中的每一个,包括 —–BEGIN CERTIFICATE—– 和 —–END CERTIFICATE—–,并将它们包含在您的密钥库中。
This handy utility 也可能对此有所帮助:正如项目README, 中所指出的,它基本上会尝试连接到远程对等点并保存必要的证书信息。这个related article 提供了有关该工具的更多信息。
【讨论】:
TrustManagers 的指导,因此当然可以使用 API。无论如何,重要的是任何答案和建议的解决方案都有助于 OP 解决问题。
正如其他答案所指出的那样,需要正确设置的事项列表很长并且根据您使用的 HTTP 客户端而有所不同,但假设您已遵循其他答案中提供的信息,这就是我要检查的内容:
如果您已经检查了所有这些但仍然无法正常工作,那么您可能需要使用系统属性 javax.net.debug 打开 SSL 日志记录,如 here on the Oracle JSSE Site 所述,使用 $ java -Djavax.net.debug=all 将提供所有信息关于握手的存在。这需要一些时间来解决,但答案会在那里。
【讨论】: