https 证书过期问题排查

最新推荐文章于 2024-04-25 15:28:27 发布
最新推荐文章于 2024-04-25 15:28:27 发布
阅读量6.4k 收藏 1
点赞数
分类专栏: web 文章标签: https java ssl linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LZN51/article/details/115405436
版权

一、问题描述

在服务协议由 http 迁移至 https 时,我发现线上环境报错

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed
Caused by: java.security.cert.CertificateExpiredException: NotAfter: Sat May 30 18:48:38 CST 2020

二、问题排查

根据报错 CertificateExpiredException: NotAfter: Sat May 30 18:48:38 CST 2020 是因为证书过期,我立即联系客户技术部确认他们的证书是否过期,经查证没有过期

但是在生产和测试环境都报证书过期错误,奇怪的是本地环境可以正常访问

于是我在 https://whatsmychaincert.com/ 验证其证书链是否有问题,果然经查证其证书链中有过期的证书:

所以原因定位在客户服务器的证书链中存在过期证书

三、什么是证书链

简单来说,当客户端访问 TLS 服务器时,服务端会发送一个证书给客户端来证明其身份,客户端需要构建一条由服务端证书到根证书的证书链,以便对其进行验证。服务端很贴心,帮客户端返回了一条证书链

如果服务端的证书链是这个样子:

在这里插入图片描述
那么对于现代浏览器或客户端来说,C 没有过期就可以了,直接忽略了 D

但对于 OpenSSL 1.0.x or GnuTLS 来说,它们会一直检测到 D,因为 D 已经失效了 2019(现在是 2021 年),所以会返回证书过期

四、解决方案

鉴于此,我赶紧去生产和测试机器查了一下 openssl 的版本,果然是 OpenSSL 1.0.x,和上述结论一致。本地环境用的是 LibreSSL 2.8.3,因此访问没有问题

4.1 直接禁用 ssl 证书校验


```java
// 在调用SSL之前需要重写验证方法,取消检测 SSL
            X509TrustManager trustManager = new X509TrustManager() {

                @Override
                public void checkClientTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
                }

                @Override
                public void checkServerTrusted(X509Certificate[] x509Certificates, String s) throws CertificateException {
                }

                @Override
                public X509Certificate[] getAcceptedIssuers() {
                    return new X509Certificate[0];
                }
            };
            SSLContext ctx = SSLContext.getInstance(SSLConnectionSocketFactory.TLS);
            ctx.init(null, new TrustManager[]{trustManager}, null);
            SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory(ctx, NoopHostnameVerifier.INSTANCE);
            Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()
                    .register("http", PlainConnectionSocketFactory.INSTANCE)
                    .register("https", socketFactory).build();
            // 创建ConnectionManager,添加Connection配置信息
            connectionManager = new PoolingHttpClientConnectionManager(socketFactoryRegistry);
            connectionManager.setMaxTotal(MAX_CONNECTION_NUM);
            connectionManager.setDefaultMaxPerRoute(MAX_PER_ROUTE);

HttpClients.custom().setDefaultRequestConfig(requestConfig).setConnectionManager(connectionManager).build();

4.2 更新服务器 openssl 库版本

4.3 更新服务端证书

访问 https://whatsmychaincert.com/,直接点击链接下载新证书,安装即可

五、其他

证书类型验证网站:https://csr.chinassl.net/ssl-checker.html

证书过期问题:https://whatsmychaincert.com

https://www.agwa.name/blog/post/fixing_the_addtrust_root_expiration#2099-client_operators

lznnnnnnn
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
https访问报证书错误_Java访问HTTPS证书验证问题
weixin_39968592的博客
12-19 1824
1、报错信息java.security.cert.CertificateException: No name matching api.weibo.com found; nested exception is javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: No name matching ...
安卓解决:sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.Cert
weixin_39114763的博客
11-26 2496
解决:sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.Cert。解决:NotAfter: Sat Nov 26 07:59:59 CST 2022。
PKIX path validation failed以及java.security.cert.CertificateExpiredException: NotAfter:
LI_AINY的博客
06-30 1万+
公钥路径验证失败、证书过期 现在的解决办法是,安装新的证书,或者续期之前的证书 正在想办法忽略SSL认证 报错日志 org.openid4java.discovery.yadis.YadisException: 0x704: I/O transport error: sun.security.validator.ValidatorException: PKIX path validation ...
如何解决HTTPS请求报错sun.security.validator.ValidatorException: PKIX path building failed
qq_43657722的博客
03-26 2113
Java中进行网络请求时出现"sun.security.validator.ValidatorException: PKIX path building failed"错误通常是由于SSL证书验证失败引起的。本文章提供了4中解决方案,有图、有代码、有验证。亲测可用。打包时踩坑也有解决方案,非常详细。
java 检查本地cer证书(转)
记录技术点点之路
10-24 434
原址(http://blog.sina.com.cn/s/blog_4bea2fb101000a65.html);   import java.io.FileInputStream; import java.security.cert.CertificateExpiredException; import java.security.cert.CertificateFactory; i...
沃通CA:微信小程序HTTPS报错常见问题及解决办法
03-29
请配合本站的其他关于https的文章共同排查你遇到的问题,在本站搜索内搜索https的帖子和文章即可; 微信小程序开放公测已经一个多月了,因官方需求文档要求后台使用HTTPS请求进行网络通信,不满足条件的域名和协议无法请求。越来越多的开发者纷纷使用SSL证书实践微信小程序的应用情况,但仍然会碰到各类问题。本文列举了SSL证书常见的报错和解决办法,供开发者参考。   常见问题一     在微信小程序内测的过程中,几乎每个开发者们在实践的过程中都遇到了下图的报错:   (此图片来源于网络,如有侵权,请联系删除! )     原因及解决办法: 这是因为wx.request 发起的是 https 请求
TongLINKQ6问题排查
02-17
TongLINKQ6问题排查、tlq/TLQ常见问题
sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPath
sft0809的专栏
07-02 1万+
异常背景 一台nginx服务器,一台应用服务器。两台服务器均使用了https安全证书 外部接口是http的。信息部分配了一个https的安全连接。需要经过nginx服务器进行转发 近期https安全证书到期更新了一下https安全证书 异常信息 调用接口异常:sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: tim
PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed
xjj1314的专栏
03-02 3万+
今天网站突然登录不了,查出异常sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed。 这个异常是部署的SSL证书问题了。查看了一上证书日期已经过期。 然后是重新申请了证书证书有很多,也有很多地方可以购买,比如阿里云、腾讯云等,这些大公司的除非是单个域名型的证书(如腾讯云.
最全解决 PKIX问题方案:sun.security.validator.ValidatorException: PKIX path building failed:
热门推荐
qq_43163943的博客
11-04 5万+
这个问题的根本原因是你安装JDK时,Java\jar 1.8.0_141\lib\ext\里面缺少了一个安全凭证jssecacerts证书文件,通过运行下面类可以生成证书,将生成的证书放在Java\jar 1.8.0_141\lib\ext\这个目录下,重启编译器就可以解决。 我只能说这个方法应该是解决大部分的问题吧,对于我电脑这种顽强的bug,需要通过两种方法的结合才可以从根本上解决这个问题,废话不多说,看我的解决步骤。 1、先检查你的jdk...
解决 PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check fail
进击30K的专栏
08-06 3万+
HttpUtils Post Error javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: timestamp check failed 校验 的是证书请求时间,超过一定范围就有这个异常了 1,改用 使用http 直接就跳过校验 2,检查ht.
Cert_Info.rar_cert_info_java 数字证书_数字 证书_数字证书_证书
09-23
数字证书读取程序:读取客户端数字证书Java小程序版。附带证书一份。
java开发 线上问题排查命令详解
08-25
主要介绍了java开发 线上问题排查命令详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
视频会议问题排查分析方法
11-04
在视频会议项目中,广域网部分都是由运营商来承建。一旦视频会议中出现因网络丢包造成的图像或者声音效果不理想,运营商方面除了ping包检查他们线路之外,基本没有其他解决办法。并且当此网络上其他的非实时业务还在比较正常运行的时候,大家很容易将问题归结到视频会议系统的设备上。事实上,这类问题的原因一般是出在网络这一层面。本文以一个典型案例来说明,出现因丢包而导致视频会议效果不理想时,对这种问题排查分析方法。   案例背景   某烟草公司实施了视频会议项目。会议主场终端H3C MG6060和H3CMCU(ME8000)都位于市局,近40个区县的终端MG6050通过运营商的MSTP网络与市局相连。如
JAVA线上常见问题排查手段(小结)
08-25
主要介绍了JAVA线上常见问题排查手段(小结),小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Java常见问题排查
07-07
Java常见问题排查
漫谈线上问题排查.pdf
09-28
大厂高手骆俊武出品的《漫谈线上问题排查》电子书
线上问题排查
05-15
线上问题排查常用命令,包含linux命令,jstat,jinfo,jps等命令
通配符HTTPS安全证书
最新发布
安全
04-25 553
众多类型的SSL证书,要说适用或者说省钱肯定是通配符了,因为谁都想一本SSL证书包括了整条域名,而且也不用一条一条单独管理。通配符HTTPS安全证书,其实就是通配符SSL证书SSL证书主流CA的参数都一样,通配符也不例外,通配符包括主域名及下一级子域名,算法可以选择RSA或者ECC,但肯定会选择RSA算法,原因只有他的兼容性最强,谁都不想自己的网站部分浏览器打不开。
linux网络问题排查
08-25
Linux排查网络问题时,可以按照以下步骤进行操作: 1. 检测链路是否连通:通过ping命令测试与其他主机的连通性。如果无法ping通其他主机,可能存在网络链路故障或网络配置问题。 2. 检查网卡是否正常启用:使用ifconfig命令检查网卡的状态。如果网卡没有正确配置开启,可以通过编辑网络配置文件进行修改。在基于Debian的Linux系统中,永久的网络配置文件位于/etc/network/interfaces;在基于Red Hat的Linux系统中,永久的网络配置文件位于/etc/sysconfig/network_scripts/ifcfg-<interface>。 3. 检查路由与网关的配置:通过route命令查看当前的路由表和网关设置。确保网关设置正确,并且路由表中存在正确的路由信息。 4. 检查DNS工作状况:使用nslookup或dig命令测试DNS解析是否正常。如果无法解析域名,可能是DNS服务器配置有问题。 5. 检测是否可以正常路由到远程主机:使用traceroute或mtr命令追踪网络路径,查看是否存在延迟或丢包现象。 6. 检查远端主机的服务端口是否打开:使用telnet或nc命令测试远程主机的特定端口是否可连接。如果无法连接,可能是目标主机的服务未启动或防火墙阻止了连接。 7. 检查防火墙:通过iptables或firewalld命令检查防火墙设置。确保防火墙规则没有阻止网络流量。 以上是在Linux排查网络问题时的常见步骤和方法。根据具体问题,可以针对性地进行排查和解决。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [各种网络问题排查思路](https://download.csdn.net/download/zkp358747721/10938224)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [【当LINUX系统出现网络问题时该如何排查】](https://blog.csdn.net/nb_zsy/article/details/127430829)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值