PKIX路径构建在Java应用程序中失败

时间:2013-08-22 11:14:45

标签: java exception ssl certificate

在将我的应用程序从Windows 2000迁移到Windows 2008 R2 Server之后,我一直在努力让我的应用程序运行近一周。

程序:

  1. 已安装Java JDK 1.7.0_25
  2. 将系统环境变量JAVA_HOME设置为C:\Progra~1\Java\jdk1.7.0_25\
  3. 使用keytool
    4. 将证书导入cacerts
  4. 确保证书存在keytool -list

    5. 我试图用InstallCert重复第3步,以确保我没有搞砸任何事情。

    上述方法没有解决我的问题,所以我尝试以编程方式进行:

    System.setProperty("javax.net.ssl.trustStore",
"C:/Progra~1/Java/jdk1.7.0_25/jre/lib/security/cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

    仍然没有运气。我被困住了,不太确定从这里走哪个方向。

    堆栈追踪:

    javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1886)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
    at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
    at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
    at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1323)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:515)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
    at util.SMS.send(SMS.java:93)
    at domain.ActivationSMSSenderMain.sendActivationMessagesToCustomers(ActivationSMSSenderMain.java:80)
    at domain.ActivationSMSSenderMain.<init>(ActivationSMSSenderMain.java:44)
    at domain.ActivationSMSSenderMain.main(ActivationSMSSenderMain.java:341)
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)
    at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
    at sun.security.validator.Validator.validate(Validator.java:260)
    at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)
    at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)
    at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)
    ... 14 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)
    at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)
    at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)
    ... 20 more

    更新

    这两个 System.out.println(System.getProperty("javax.net.ssl.trustStore"));System.out.println(System.getProperty("javax.net.ssl.keyStore"));

    返回null

6 个答案:

答案 0 :(得分:32)

我遇到了类似的问题,其原因和解决方案都变得相当简单:

主要原因:未使用keytool导入正确的证书

注意:仅导入根CA(或您自己签名的)证书

注意:不要导入中间非证书链根证书

imap.gmail.com的解决方案示例

  1. 确定根CA证书:

    openssl s_client -showcerts -connect imap.gmail.com:993

    在这种情况下,我们发现根CA是 Equifax安全证书颁发机构

  2. 下载root CA cert
  3. 通过与信息found here进行比较,确认下载的证书具有正确的SHA-1和/或MD5指纹

  4. 导入javax.net.ssl.trustStore的证书: 

    keytool -import -alias gmail_imap -file Equifax_Secure_Certificate_Authority.pem
  5. 运行您的Java代码

答案 1 :(得分:9)

您已将证书导入JDK中提供的JRE的信任库,但您正在运行直接安装的JRE的java.exe。

修改

为了清楚起见,要解决下面评论中的误解,您需要将证书导入您打算使用的JRE的cacerts文件很少会成为JDK中的一个发货,因为客户通常不会有JDK。下面评论中的任何内容都应该被忽略,因为这里没有表达我的意图。

更好的解决方案是创建自己的信任库,从cacerts文件的副本开始,并特别告诉Java通过系统属性{{1 }}

您应该构建构建过程的这一部分,以便及时了解JDK升级导致的javax.net.ssl.trustStore.文件的更新。

答案 2 :(得分:3)

如果您正在使用Eclipse,只需在Eclipse中进行交叉检查 Windows - &gt;偏好----&GT;的java ---&GT;已安装的JRE 指向当前的JRE以及您已配置证书的JRE。如果没有删除JRE并添加安装证书的jre

答案 3 :(得分:0)

根据您的pastebin,您需要将proxy.tkk.com证书添加到信任库。

答案 4 :(得分:0)

就我而言,该问题通过安装 Oracle官方JDK 10 得以解决,而不是使用Ubuntu随附的默认OpenJDK。这是我遵循的指南:https://www.linuxuprising.com/2018/04/install-oracle-java-10-in-ubuntu-or.html

答案 5 :(得分:0)

在Windows上,您可以尝试以下步骤:

  1. 从网站下载根CA证书。
  2. 使用JRE在目录/lib/security中找到文件jssecacerts(您可以使用命令System.out.println(System.getProperty("java.home");来查找具有当前JRE的文件夹)。备份文件。
  3. 下载程序portecle
  4. 在portecle中打开jssecacerts文件。
  5. 输入密码:changeit。
  6. 用Porticle导入下载的证书(“工具”>“导入受信任的证书”。)
  7. 点击保存。
  8. 替换原始文件jssecacerts。
相关问题
最新问题