编辑:我尝试在我的 blog 中以更美观的方式格式化问题并接受答案。 .
这是原始问题。
我收到此错误:
detailed message sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targetcause javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
我使用 Tomcat 6 作为网络服务器。我在同一台计算机上不同端口的不同 Tomcat 上安装了两个 HTTPS Web 应用程序。假设 App1(端口 8443)和 App2(端口 443)。 App1 连接到 App2。当 App1 连接到 App2 时,出现上述错误。我知道这是一个非常常见的错误,因此在不同的论坛和网站上遇到了许多解决方案。我在两个 Tomcat 的 server.xml
中有以下条目:
keystoreFile="c:/.keystore"
keystorePass="changeit"
每个网站都说同样的原因,app2 提供的证书不在 app1 jvm 的受信任存储中。当我尝试在 IE 浏览器中点击相同的 URL 时,这似乎也是正确的(随着变暖,该网站的安全证书有问题。这里我说继续访问该网站)。但是,当 Java 客户端(在我的例子中)访问相同的 URL 时,我收到上述错误。因此,为了将其放入信任库中,我尝试了以下三个选项:
选项 1
System.setProperty("javax.net.ssl.trustStore", "C:/.keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
选项 2
在环境变量中设置如下
CATALINA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value
选项 3
在环境变量中设置如下
JAVA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value
结果
但是没有任何效果。
最后起作用的是执行How to handle invalid SSL certificates with Apache HttpClient?中建议的Java方法。由 Pascal Thivent 执行,即执行 InstallCert 程序。
但是这种方法对于 devbox 设置来说很好,但我不能在生产环境中使用它。
我想知道为什么当我在 App2 服务器的 server.xml
中提到相同的值以及通过设置在信任库中提到相同的值时,上述三种方法不起作用
System.setProperty("javax.net.ssl.trustStore", "C:/.keystore") 和 System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
在App1程序中。
有关更多信息,这就是我建立连接的方式:
URL url = new URL(urlStr);
URLConnection conn = url.openConnection();
if (conn instanceof HttpsURLConnection) {
HttpsURLConnection conn1 = (HttpsURLConnection) url.openConnection();
conn1.setHostnameVerifier(new HostnameVerifier() {
public boolean verify(String hostname, SSLSession session) {
return true;
}
});
reply.load(conn1.getInputStream());
最佳答案
您需要将App2的证书添加到所用JVM的信任库文件中,该文件位于$JAVA_HOME\lib\security\cacerts
。
首先,您可以通过运行以下命令来检查您的证书是否已在信任库中:
keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts"
(您不需要提供密码)
如果您的证书丢失,您可以通过使用浏览器下载它来获取它,并使用以下命令将其添加到信任库:
keytool -import -noprompt -trustcacerts -alias <AliasName> -file <certificate> -keystore <KeystoreFile> -storepass <Password>
示例:
keytool -import -noprompt -trustcacerts -alias myFancyAlias -file /path/to/my/cert/myCert.cer -keystore /path/to/my/jdk/jre/lib/security/cacerts/keystore.jks -storepass changeit
导入后,您可以再次运行第一个命令来检查您的证书是否已添加。
Sun/Oracle信息可以找到here .
关于java - 解析 javax.net.ssl.SSLHandshakeException : sun. security.validator.ValidatorException : PKIX path building failed Error?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56111394/