我收到以下错误
sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径
连接到谷歌地图地理编码API时。 我能够在一个简单的主程序中重现错误。以下是使用此测试程序重现它的方法:
import javax.net.ssl.*;
import java.net.*;
import java.io.*;
public class Main {
public static void main(String[] args) {
try {
String httpsURL = "https://maps.googleapis.com/maps/api/geocode/json?address=49+874%2Cla+plata%2Cbuenos+aires%2Cargentina&sensor=false&key=AIzaSyAJ1QS0C6KjiWajwxx4jUb_Jz0b8lBZyyE";
URL myurl = new URL(httpsURL);
HttpsURLConnection con = (HttpsURLConnection) myurl.openConnection();
InputStream ins = con.getInputStream();
InputStreamReader isr = new InputStreamReader(ins);
BufferedReader in = new BufferedReader(isr);
String inputLine;
while ((inputLine = in.readLine()) != null) {
System.out.println(inputLine);
}
in.close();
} catch (IOException ex) {
System.err.println(ex.getMessage());
}
}
}
保存为Main.java 编译它
javac Main.java
运行它
java Main
我得到了正常结果(打印了json响应)。
但是如果我从这里创建一个带有证书的TrustStore: https://www.clic.gob.ar/ 我下载了SSL证书并将其保存为名为clic.gob.ar的X.509 PEM文件
创建一个名为keystorefede.jks的新TrustStore
keytool -import -file clic.gob.ar -alias clicCert -keystore keystorefede.jks
我给了密码tompass。我可以列出它
keytool -list -keystore keystorefede.jks -storepass tompass
TipodeAlmacéndeClaves:JKS ProveedordeAlmacéndeClaves:SUN
Sualmacéndeclaves contiene 1 entrada
cliccert,01/08/2014,trustedCertEntry, Huella Digital de Certificado(SHA1):15:3B:67:EE:51:C9:F2:CF:68:7C:24:51:A4:B6:6E:AE:EA:61:D5:B5
现在使用trustStore运行相同的程序
java -Djavax.net.ssl.trustStore=/home/fede/keystorefede.jks -Djavax.net.ssl.trustStorePassword=tompass Main
sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径
Java 8和Java 7都会发生这种情况。
java版“1.8.0_11”
Java(TM)SE运行时环境(版本1.8.0_11-b12)
Java HotSpot(TM)64位服务器VM(版本25.11-b03,混合模式)
首先在Tomcat内部运行的Web应用程序中发现了该问题。证书必须在Tomcat的命令行中的TrustStore中用于另一个请求;信任商店没有谷歌相关的,只有一个证书。 如果我将Google的证书添加到信任存储区,那么问题就解决了,但这不是一个合适的解决方案。 Google不接受使用API密钥通过http进行地理编码请求。 -Djavax.net.ssl.trustStore覆盖所有根CA的Java知道吗?
答案 0 :(得分:13)
实际上,javax.net.ssl.trustStore属性会覆盖您提供的JVM的所有已知证书。
默认情况下,JVM附带一个信任库,预先填充了相当多的众所周知的权限(Oracle JVM将其存储在JAVA_HOME / jre / lib / security / cacerts中)。
默认情况下,此keyStore将被JSSE(Java安全套接字扩展)用作默认值,以验证SSL握手。
javax.net.ssl.trustStore环境变量会覆盖此默认位置,这意味着其内容不再相关。
展望未来,你有几个解决方案:
一个是:你建立自己的JKS,包含你需要的一切
其次是:您将证书添加到JVM的默认文件中
第三是:你编码。
“手动”获取自己的SSL上下文?
基础HTTPURLConnection的套接字由SocketFactory个实例组成。
当涉及HTTPS时,会发生的情况是您需要使用监视器初始化您自己的SSLSocketFactory,并且在连接之前将SocketFactory与HTTPURLConnection相关联:请参阅http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#setSSLSocketFactory%28javax.net.ssl.SSLSocketFactory%29
这就是这样的。首先,您需要加载KeyStore(包含证书的JKS文件,用于缩短的异常处理):
InputStream keyStoreStream = ... // Wherever it is
KeyStore ks = KeyStore.getInstance("JKS"); // or "PKCS12" for pfx/p12
ks.load(is, password);
拥有KeyStore实例后,您可以构建一个“TrustManager”,它将使用在密钥库中声明为受信任的任何证书作为有效的信任锚。
TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); // PKIX
tmf.init(yourKeyStore); // if you pass null, you get the JVM defaults
// which is CACerts file or javax.net.ssl.trustStore
您可以对SSL KeyManagerFactory执行相同操作(如果使用双向SSL),模式完全相同。一旦有了TrustManagerFactory和KeyManagerFactory实例,就可以构建一个SSLSocketFactory。
SSLContext sslCtx = SSLContext.getInstance("TLS");
sslCtx.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null);
SSLSocketFactory sslSF = sslCtx.getSocketFactory();
此时,您可以
URL url = new URL("https://test.com/test");
URLConnection conn = url.openConnection();
if(conn instanceof HttpsURLConnection) {
((HttpsURLConnection) conn).setSSLSocketFactory(sslSF);
}
conn.connect();
答案 1 :(得分:0)
应用程序找不到合适的信任库。
你可以这样定义它:
System.setProperty("javax.net.ssl.trustStore", ".\\src\\truststore.jks");
System.setProperty("javax.net.ssl.trustStorePassword", "psw123");