遇到同样的问题时，我正在使用jdk1.8.0_171。我在这里尝试了前2个解决方案(使用keytool添加证书和另一个解决方案，其中有一个黑客)，但他们不适合我。

我把JDK升级到1.8.0_181，它就像一个魅力。

对于运行在Ubuntu服务器上的Tomcat，使用"ps -ef | grep Tomcat "命令查看正在使用的Java:

示例:

/home/mcp01$ **ps -ef |grep tomcat**
tomcat7  28477     1  0 10:59 ?        00:00:18 **/usr/local/java/jdk1.7.0_15/bin/java** -Djava.util.logging.config.file=/var/lib/tomcat7/conf/logging.properties -Djava.awt.headless=true -Xmx512m -XX:+UseConcMarkSweepGC -Djava.net.preferIPv4Stack=true -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/usr/share/tomcat7/endorsed -classpath /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar -Dcatalina.base=/var/lib/tomcat7 -Dcatalina.home=/usr/share/tomcat7 -Djava.io.tmpdir=/tmp/tomcat7-tomcat7-tmp org.apache.catalina.startup.Bootstrap start
1005     28567 28131  0 11:34 pts/1    00:00:00 grep --color=auto tomcat

然后进入:cd /usr/local/java/jdk1.7.0_15/jre/lib/security

默认的cacerts文件位于这里。将不受信任的证书插入其中。

可以通过编程方式禁用SSL验证。对于开发人员来说非常有效，但不推荐用于生产环境，因为您可能需要在那里使用“真正的”SSL验证，或者安装并使用您自己的可信密钥，然后仍然使用“真正的”SSL验证。

下面的代码为我工作:

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.X509TrustManager;

public class TrustAnyTrustManager implements X509TrustManager {

  public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
  }

  public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
  }

  public X509Certificate[] getAcceptedIssuers() {
    return null;
  }
}

             HttpsURLConnection conn = null;
             URL url = new URL(serviceUrl);
             conn = (HttpsURLConnection) url.openConnection();
             SSLContext sc = SSLContext.getInstance("SSL");  
             sc.init(null, new TrustManager[]{new TrustAnyTrustManager()}, new java.security.SecureRandom());  
                    // Create all-trusting host name verifier
             HostnameVerifier allHostsValid = new HostnameVerifier() {
               public boolean verify(String hostname, SSLSession session) {
                return true;
              }
            };
            conn.setHostnameVerifier(allHostsValid);

或者，如果您不控制下面的连接，您也可以为所有连接覆盖全局SSL验证https://stackoverflow.com/a/19542614/32453

如果你正在使用Apache HTTPClient，你必须“以不同的方式”禁用它:https://stackoverflow.com/a/2703233/32453

我想加入进来，因为我有一个QEMU环境，我必须在其中下载java文件。事实证明，QEMU中的/etc/ssl/certs/java/cacerts确实存在问题，因为它与主机环境中的/etc/ssl/certs/java/cacerts不匹配。主机环境位于公司代理的后面，因此java cacerts是一个定制版本。

如果您正在使用QEMU环境，请首先确保主机系统可以访问文件。例如，您可以先在您的主机上尝试此脚本。如果脚本在主机上运行得很好，但在QEMU上却不行，那么您也遇到了和我一样的问题。

为了解决这个问题，我必须对QEMU中的原始文件进行备份，将主机环境中的文件复制到QEMU chroot jail中，然后java才能在QEMU中正常下载文件。

更好的解决方案是将/etc挂载到QEMU环境中;但是我不确定其他文件是否会在这个过程中受到影响。所以我决定使用这个丑陋但简单的变通方法。

为了安全起见，我们不应该在实现中使用自签名证书。然而，当涉及到开发时，我们经常不得不使用获得自签名证书的试验环境。我试图在我的代码中以编程方式解决这个问题，但我失败了。但是，通过将证书添加到jre信任存储区，解决了我的问题。请参考以下步骤，

下载网站证书， 使用Chrome 用火狐 将证书(例如:cert_file.cer)复制到$JAVA_HOME\Jre\Lib\Security目录 在“管理员”中打开CMD，将目录更改为“$JAVA_HOME\Jre\Lib\Security” 使用以下命令将证书导入信任存储区，

keytool -import -alias ca -file cert_file.cer -keystore cacerts -商店通行证更改它

如果你得到一个错误说keytool是不可识别的，请参考这个。

键入yes，如下所示

信任此证书:[是]

现在尝试使用java以编程方式运行代码或访问URL。

更新

如果你的应用服务器是jboss，尝试添加下面的系统属性

System.setProperty("org.jboss.security.ignoreHttpsHost","true");

希望这能有所帮助!

对于MacOS X，下面是我必须在'importcert'选项中尝试双连字符的确切命令，这是有效的:

sudo keytool -–importcert -file /PathTo/YourCertFileDownloadedFromBrowserLockIcon.crt -keystore /Library/Java/JavaVirtualMachines/jdk1.8.0_191.jdk/Contents/Home/jre/lib/security/cacerts -alias "Cert" -storepass changeit