解决javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX路径构建失败错误?

编辑:我试图在我的博客上以更得体的方式格式化问题和接受的答案。

这是最初的问题。

我得到这个错误:

详细消息sun.security.validator.ValidatorException: PKIX路径构建失败: provider.certpath. suncertpathbuilderexception:不能找到请求目标的有效认证路径导致javax.net.ssl.SSLHandshakeException: validatorexception: PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException: 无法找到请求目标的有效认证路径

我使用Tomcat 6作为web服务器。我在同一台机器上的不同端口的不同Tomcats上安装了两个HTTPS web应用程序。假设App1(端口8443)和App2(端口443)。App1连接到App2。当App1连接到App2时，我得到上述错误。我知道这是一个非常常见的错误，所以在不同的论坛和网站上找到了许多解决方案。我在两个Tomcats的server.xml中有以下条目:

keystoreFile="c:/.keystore" 
keystorePass="changeit"

每个站点都说明了app2给出的证书不在app1 jvm的可信存储区中的相同原因。这似乎也是真的，当我试图在IE浏览器中点击相同的URL，它工作(与升温，有一个问题与此网站的安全证书。在这里我说继续这个网站)。但是当相同的URL被Java客户端(在我的情况下)击中时，我得到上述错误。为了把它放到信任库中，我尝试了以下三个选项:

选项1

System.setProperty("javax.net.ssl.trustStore", "C:/.keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

选项2

在环境变量中设置如下

CATALINA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value

选项3

在环境变量中设置如下

JAVA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value

结果

但是什么都不管用。

最后工作是执行Java方法建议如何处理无效的SSL证书与Apache HttpClient?通过Pascal Thivent，即执行程序InstallCert。

但这种方法适用于开发盒设置，但我不能在生产环境中使用它。

我想知道为什么上面提到的三种方法都不工作，而我已经通过设置在App2服务器的server.xml中提到了相同的值，在truststore中也提到了相同的值

System.setProperty("javax.net.ssl.trustStore"， "C:/.keystore")和System.setProperty("javax.net.ssl.trustStorePassword"， "changeit");

在App1程序中。

要了解更多信息，这是我如何建立联系:

URL url = new URL(urlStr);

URLConnection conn = url.openConnection();

if (conn instanceof HttpsURLConnection) {

  HttpsURLConnection conn1 = (HttpsURLConnection) url.openConnection();
  
  conn1.setHostnameVerifier(new HostnameVerifier() {
    public boolean verify(String hostname, SSLSession session) {
      return true;
    }
  });

  reply.load(conn1.getInputStream());

当前回答

我们也有同样的问题，我们做了以下所有的事情。

重新导入服务器SSL证书。确保weblogic使用正确的caecerts。

最后我们的weblogic启用weblogic调试模式，发现有“NOT HANDSHAKED”异常。

我们发现的原因是，客户端系统使用的是jdk 1.6，服务器使用的是更高的jdk版本(1.8)，因为有一些TLS版本不匹配导致了这个问题。

Weblogic团队通过在服务器参数中添加以下行来调整服务器配置。

-Djdk.tls.client.protocol=TLSv1.2 -DUseSunHttpHandler=true.

2022-12-27 16:59:12

其他回答

我正在使用颤振，却突然收到这个错误。基本上发生的是，在android/build中依赖项中的行。Gradle文件，如:

  classpath 'com.android.tools.build:gradle:4.1.0'
  classpath "org.jetbrains.kotlin:kotlin-gradle-plugin:$kotlin_version"

要求从网上下载成绩文件的证明。但是当有什么东西阻止gradle下载这些证书时，通常会显示这个。

I tried exporting the certificate and adding it manually but it didn't seem to work for me. What worked for me, after countless head scratches, was disabling the proxies from your network preferences. It was somewhere mentioned that disabling Charles Proxy would fix it but at that moment, I was clueless what Charles was and what proxy was. And in my case, I did not have the Charles proxy thing so I went on with finding the proxies in the network preferences settings in Mac( it could be found somewhere in network settings for Windows). I had Socks enabled within the proxy. I disabled it and then again rebuilt the gradle and TA-DAH!!! It worked butter smooth.

There are a few things to remember. If you build your project right after disabling proxy without closing the network preferences tab, the disable proxies won't work and it will show the same error. Also if you've already built the project and you're running it again after disabling proxies, chances are it's gonna show the same error( could be due to IDE caches). How it worked for me: Restart the Mac, open a few tabs in the browser( for a few network calls), check the network preferences from system preferences>> wifi and disable proxies, close the system preferences app, and build the project.

2021-07-15 12:27:02

如果您使用的是JDK 11，则该文件夹中不再包含JRE。certs的位置是jdk-11.0.11/lib/security/cacerts。

2021-06-07 23:52:28

对于运行在Ubuntu服务器上的Tomcat，使用"ps -ef | grep Tomcat "命令查看正在使用的Java:

示例:

/home/mcp01$ **ps -ef |grep tomcat**
tomcat7  28477     1  0 10:59 ?        00:00:18 **/usr/local/java/jdk1.7.0_15/bin/java** -Djava.util.logging.config.file=/var/lib/tomcat7/conf/logging.properties -Djava.awt.headless=true -Xmx512m -XX:+UseConcMarkSweepGC -Djava.net.preferIPv4Stack=true -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.endorsed.dirs=/usr/share/tomcat7/endorsed -classpath /usr/share/tomcat7/bin/bootstrap.jar:/usr/share/tomcat7/bin/tomcat-juli.jar -Dcatalina.base=/var/lib/tomcat7 -Dcatalina.home=/usr/share/tomcat7 -Djava.io.tmpdir=/tmp/tomcat7-tomcat7-tmp org.apache.catalina.startup.Bootstrap start
1005     28567 28131  0 11:34 pts/1    00:00:00 grep --color=auto tomcat

然后进入:cd /usr/local/java/jdk1.7.0_15/jre/lib/security

默认的cacerts文件位于这里。将不受信任的证书插入其中。

2014-06-10 03:38:27

只是一个小hack。将“hudson.model.UpdateCenter.xml”文件中的URL从https更新为http

<?xml version='1.1' encoding='UTF-8'?>
<sites>
  <site>
    <id>default</id>
    <url>http://updates.jenkins.io/update-center.json</url>
  </site>
</sites>

2019-12-30 15:09:55

我写了一个小的win32 (WinXP 32位测试)愚蠢的cmd(命令行)脚本，它在程序文件中查找所有java版本，并向它们添加一个证书。密码必须是默认的“changeit”，或者在脚本中自己修改:-)

@echo off

for /F  %%d in ('dir /B %ProgramFiles%\java') do (
    %ProgramFiles%\Java\%%d\bin\keytool.exe -import -noprompt -trustcacerts -file some-exported-cert-saved-as.crt -keystore %ProgramFiles%\Java\%%d\lib\security\cacerts -storepass changeit
)

pause

2012-12-06 15:32:33

解决javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX路径构建失败错误?

推荐文章

最新文章

标签