编辑: -尝试格式化问题并在我的博客中以更明显的方式接受答案
这是原始问题.
我收到此错误:
详细消息sun.security.validator.ValidatorException:PKIX路径构建失败:
sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效证书路径导致javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径
我使用Tomcat 6作为网络服务器.我有两个HTTPS Web应用程序安装在不同端口上但位于同一台机器上的不同Tomcats上.说App1(port 8443)和
App2(port 443).App1连接到App2.当App1所连接到App2我得到上述错误.我知道这是一个非常常见的错误,所以在不同的论坛和网站上遇到了很多解决方案.我有server.xml两个Tomcats 的以下条目:
keystoreFile="c:/.keystore"
keystorePass="changeit"
每个站点都说同样的原因,即app2提供的证书不在app1 jvm的可信存储中.当我试图在IE浏览器中访问相同的URL时,这似乎也是正确的,它可以工作(加热,这个网站的安全证书存在问题.在这里我说继续这个网站).但是当Java客户端(在我的情况下)遇到相同的URL时,我得到上述错误.所以把它放在信任库中我试过这三个选项:
选项1
System.setProperty("javax.net.ssl.trustStore", "C:/.keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
Option2 在环境变量中设置如下
CATALINA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value
选项3 在环境变量中设置如下
JAVA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value
但没有任何效果.
最后工作的 是执行如何使用Apache HttpClient处理无效SSL证书中建议的Java方法?由Pascal Thivent执行,即执行程序InstallCert.
但这种方法适用于devbox设置,但我无法在生产环境中使用它.
我很奇怪,为什么上面提到的三种方法时,我已经中提到的相同值没有工作server.xml的app2服务器和相同的价值观信任设置
System.setProperty("javax.net.ssl.trustStore", "C:/.keystore") and System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
在app1程序中.
有关更多信息,这是我如何建立连接:
URL url = new URL(urlStr);
URLConnection conn = url.openConnection();
if (conn instanceof HttpsURLConnection) {
HttpsURLConnection conn1 = (HttpsURLConnection) url.openConnection();
conn1.setHostnameVerifier(new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
reply.load(conn1.getInputStream());
Sim*_*Sez 375
您需要将App2的证书添加到位于的已使用JVM的信任库文件中%JAVA_HOME%\lib\security\cacerts.
首先,您可以通过运行以下命令来检查您的证书是否已在信任库中:(
keytool -list -keystore "%JAVA_HOME%/jre/lib/security/cacerts"您无需提供密码)
如果缺少证书,可以通过浏览器下载证书并使用以下命令将其添加到信任库:
keytool -import -noprompt -trustcacerts -alias <AliasName> -file <certificate> -keystore <KeystoreFile> -storepass <Password>
导入后,您可以再次运行第一个命令来检查您的证书是否已添加.
可以在此处找到Sun/Oracle信息.
NDe*_*per 172
javax.net.ssl.SSLHandshakeException:sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径
•当我收到错误时,我试图谷歌表达式的含义,我发现,当服务器更改其HTTPS SSL证书时,会出现此问题,而我们的旧版本的java无法识别根证书颁发机构(CA) .
•如果您可以在浏览器中访问HTTPS URL,则可以更新Java以识别根CA.
•在浏览器中,转到Java无法访问的HTTPS URL.单击HTTPS证书链(Internet Explorer中有锁定图标),单击锁定以查看证书.
•转到证书的"详细信息"和"复制到文件".以Base64(.cer)格式复制它.它将保存在您的桌面上.
•安装证书,忽略所有警报.
•这是我收集我尝试访问的URL的证书信息的方式.
现在我必须让我的java版本知道证书,以便它进一步拒绝识别URL.在这方面,我必须提一下,我在谷歌的\ jre\lib \安全位置默认保留根证书信息 ,访问的默认密码是:changeit.
要查看cacerts信息,请遵循以下步骤:
•单击"开始"按钮 - >"运行"
•键入cmd.将打开命令提示符(您可能需要以管理员身份打开它).
•转到您的Java/jreX/bin目录
•键入以下内容
keytool -list -keystore D:\ Java\jdk1.5.0_12\jre\lib\security\cacerts
它给出了密钥库中包含的当前证书的列表.它看起来像这样:
C:\ Documents and Settings\NeelanjanaG> keytool -list -keystore D:\ Java\jdk1.5.0_12\jre\lib\security\cacerts
输入密钥库密码:changeit
密钥库类型:jks
密钥库提供商:SUN
您的密钥库包含44个条目
verisignclass3g2ca,2004年3月26日,trustedCertEntry,
证书指纹(MD5):A2:33:9B:4C:74:78:73:D4:6C:E7:C1:F3:8D:CB:5C:E9
entrustclientca,2003年1月9日,trustedCertEntry,
证书指纹(MD5):0C:41:2F:13:5B:A0:54:F5:96:66:2D:7E:CD:0E:03:F4
thawtepersonalbasicca,1999年2月13日,trustedCertEntry,
证书指纹(MD5):E6:0B:D2:C9:CA:2D:88:DB:1A:71:0E:4B:78:EB:02:41
addtrustclass1ca,2006年5月1日,trustedCertEntry,
证书指纹(MD5):1E:42:95:02:33:92:6B:B9:5F:C0:7F:DA:D6:B2:4B:FC
verisignclass2g3ca,2004年3月26日,trustedCertEntry,
证书指纹(MD5):F8:BE:C4:63:22:C9:A8:46:74:8B:B8:1D:1E:4A:2B:F6
•现在我必须将以前安装的证书包含在cacerts中.
•为此,以下是程序:
keytool -import -noprompt -trustcacerts -alias ALIASNAME -file FILENAME_OF_THE_INSTALLED_CERTIFICATE -keystore PATH_TO_CACERTS_FILE -storepass PASSWORD
如果您使用的是Java 7:
keytool -importcert -trustcacerts -alias ALIASNAME -file PATH_TO_FILENAME_OF_THE_INSTALLED_CERTIFICATE -keystore PATH_TO_CACERTS_FILE -storepass changeit
•然后,它会将证书信息添加到cacert文件中.
这是我在上面提到的Exception中找到的解决方案!!
Jos*_*ush 36
我想在Tomcat应用程序中支持自签名证书,但以下代码段无效
import java.io.DataOutputStream;
import java.net.HttpURLConnection;
import java.net.URL;
public class HTTPSPlayground {
public static void main(String[] args) throws Exception {
URL url = new URL("https:// ... .com");
HttpURLConnection httpURLConnection = (HttpURLConnection) url.openConnection();
httpURLConnection.setRequestMethod("POST");
httpURLConnection.setRequestProperty("Accept-Language", "en-US,en;q=0.5");
httpURLConnection.setDoOutput(true);
DataOutputStream wr = new DataOutputStream(httpURLConnection.getOutputStream());
String serializedMessage = "{}";
wr.writeBytes(serializedMessage);
wr.flush();
wr.close();
int responseCode = httpURLConnection.getResponseCode();
System.out.println(responseCode);
}
}
这就解决了我的问题:
.crt文件echo -n | openssl s_client -connect <your domain>:443 | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > ~/<your domain>.crt
<your domain>您的域名(例如jossef.com).crt在Java的cacerts证书库中应用该文件keytool -import -v -trustcacerts -alias <your domain> -file ~/<your domain>.crt -keystore <JAVA HOME>/jre/lib/security/cacerts -keypass changeit -storepass changeit
<your domain>您的域名(例如jossef.com)<JAVA HOME>为您的java主目录即使iv'e在我Java的默认证书存储中安装了我的证书,Tomcat也会忽略它(似乎它没有配置为使用Java的默认证书存储).
要破解这一点,请在代码中的某处添加以下内容:
String certificatesTrustStorePath = "<JAVA HOME>/jre/lib/security/cacerts";
System.setProperty("javax.net.ssl.trustStore", certificatesTrustStorePath);
// ...
在我的情况下,问题是Web服务器仅发送证书和中间CA,而不发送根CA。添加此JVM选项解决了该问题:-Dcom.sun.security.enableAIAcaIssuers=true
提供了对Authority Information Access扩展的caIssuers访问方法的支持。为了兼容性,默认情况下禁用此功能,可以通过将system属性设置为
com.sun.security.enableAIAcaIssuerstrue 来启用它。如果设置为true,则Sun的CertPathBuilder的PKIX实现将使用证书的AIA扩展名(除了指定的CertStores之外)中的信息来查找颁发CA证书,只要它是ldap,http或ftp类型的URI。
另一个原因可能是JDK的过时版本.我使用的是jdk版本1.8.0_60,只需更新到最新版本即可解决证书问题.
我正在使用 jdk1.8.0_171当我遇到同样的问题时,。我在这里尝试了前 2 个解决方案(使用 keytool 添加证书和另一个包含 hack 的解决方案),但它们对我不起作用。
我将我的 JDK 升级到1.8.0_181它,它就像一个魅力。
我的cacerts文件完全是空的.我通过从我的Windows机器(使用Oracle Java 7)复制cacerts文件并将其scp到我的Linux机箱(OpenJDK)来解决这个问题.
cd %JAVA_HOME%/jre/lib/security/
scp cacerts mylinuxmachin:/tmp
然后在linux机器上
cp /tmp/cacerts /etc/ssl/certs/java/cacerts
到目前为止它运作良好.
在Linux下使用Tomcat 7可以达到目的。
String certificatesTrustStorePath = "/etc/alternatives/jre/lib/security/cacerts";
System.setProperty("javax.net.ssl.trustStore", certificatesTrustStorePath);
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
在Linux下,$JAVA_HOME并非总是设置,但通常/etc/alternatives/jre指向$JAVA_HOME/jre
对我来说,尝试连接到正在处理SSL的NGINX反向代理背后的进程时,也会出现此错误。
原来,问题出在没有整个证书链串联的证书。当我添加中间证书时,问题就解决了。
希望这可以帮助。
小智 5
下面的代码为我工作:
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;
import javax.net.ssl.X509TrustManager;
public class TrustAnyTrustManager implements X509TrustManager {
public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
}
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[] {};
}
}
HttpsURLConnection conn = null;
URL url = new URL(serviceUrl);
conn = (HttpsURLConnection) url.openConnection();
SSLContext sc = SSLContext.getInstance("SSL");
sc.init(null, new TrustManager[]{new TrustAnyTrustManager()}, new java.security.SecureRandom());
conn.setSSLSocketFactory(sc.getSocketFactory());
可部署的解决方案(Alpine Linux)
为了能够在我们的应用程序环境中解决此问题,我们准备了 Linux 终端命令,如下所示:
cd ~
将在主目录中生成证书文件。
apk add openssl
此命令在 alpine Linux 中安装 openssl。您可以找到适用于其他 Linux 发行版的正确命令。
openssl s_client -connect <host-dns-ssl-belongs> < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > public.crt
生成了所需的证书文件。
sudo $JAVA_HOME/bin/keytool -import -alias server_name -keystore $JAVA_HOME/lib/security/cacerts -file public.crt -storepass changeit -noprompt
使用程序“keytool”将生成的文件应用到 JRE。
注意:请将您的 DNS 替换为<host-dns-ssl-belongs>
注意2:请轻轻注意,-noprompt不会提示验证消息(是/否),并且-storepass changeit参数将禁用密码提示并提供所需的密码(默认为“changeit”)。这两个属性将允许您在应用程序环境中使用这些脚本,例如构建 Docker 映像。
注3如果您通过 Docker 部署应用程序,您可以生成一次机密文件并将其放入您的应用程序项目文件中。您不需要一次又一次地生成它。
| 归档时间: |
|
| 查看次数: |
1006875 次 |
| 最近记录: |