事件描述
对接单点登录过程中,有一个环节是根据拿到的code去认证中心获取用户token,在请求过程中报错SSLHandshakeException: unable to find valid certification path to requested target
搜索历程
chatgpt 回答:
当 Java 作为客户端时,可能会遇到“SSLHandshakeException: unable to find valid certification path to requested target”异常,这通常是因为客户端无法验证服务器的 SSL 证书。
为了解决这个问题,可以尝试以下方法:
- 检查服务器 SSL 证书是否有效且未过期。
- 确保客户端拥有必要的根证书和中间证书。可以在客户端执行以下命令来查看 Java 的证书存储库:
keytool -list -v -keystore <path_to_keystore_file>
其中 <path_to_keystore_file> 是证书存储库的路径和名称。如果需要添加缺少的证书,可以使用以下命令:
keytool -import -alias <alias_name> -file <path_to_certificate_file> -keystore <path_to_keystore_file>
其中 <alias_name> 是要为证书指定的别名, <path_to_certificate_file> 是证书文件的路径和名称, <path_to_keystore_file> 是证书存储库的路径和名称。
- 如果服务器的 SSL 证书是自签名的,则需要将证书导入到客户端的信任存储库中。可以使用以下命令将证书导入到信任存储库中:
keytool -import -alias <alias_name> -file <path_to_certificate_file> -keystore <path_to_truststore_file>
其中 <alias_name> 是要为证书指定的别名, <path_to_certificate_file> 是证书文件的路径和名称, <path_to_truststore_file> 是信任存储库的路径和名称。
- 如果服务器的 SSL 证书由私有 CA 签名,则需要将 CA 的证书导入到客户端的信任存储库中。可以使用以下命令将 CA 的证书导入到信任存储库中:
keytool -import -alias <alias_name> -file <path_to_ca_certificate_file> -keystore <path_to_truststore_file>
其中 <alias_name> 是要为证书指定的别名, <path_to_ca_certificate_file> 是 CA 证书文件的路径和名称, <path_to_truststore_file> 是信任存储库的路径和名称。
需要注意的是,在将证书导入到信任存储库中时,需要输入存储库的密码,以及在提示时确认是否信任证书。
开始调试
根据确保客户端拥有必要的根证书和中间证书的提示,我先后在操作系统层面、JDK层面添加了服务端的SSL证书。相关命令如下:
Centos 添加证书
在 CentOS 系统中,可以通过以下步骤来查看证书存储库的路径:
- 打开终端或控制台窗口,并以 root 用户身份登录系统。
- 运行以下命令来列出系统中所有已安装的证书存储库:
certutil -L -d /etc/pki/nssdb/
注意,/etc/pki/nssdb/ 是 CentOS 系统中默认的证书存储库路径。如果您的系统中使用了其他存储库路径,请相应地更改命令中的路径。
- 命令将列出存储库中所有的证书和密钥。查找证书存储库路径信息,应该类似于以下示例:
Certificate Nickname Trust Attributes
SSL,S/MIME,JAR/XPI
CA certificate CT,C,C
在这个例子中,存储库路径应该是 /etc/pki/nssdb/。
另外,还可以在 /etc/pki/tls/ 目录下查找证书和密钥文件,这也是 CentOS 系统中常见的证书存储库路径之一。
JDK安装证书
// 查看当前环境的信任库
keytool -list -keystore /usr/local/java/jdk1.8.0_202/jre/lib/security/cacerts
# 新增SSL证书
keytool -import -noprompt -trustcacerts -alias tzsso -file /root/tzcpa202304.pem -keystore /usr/local/java/jdk1.8.0_202/jre/lib/security/cacerts -storepass changeit
经过上述命令执行后依然报错,此时突然想起在连接MongoDB时设置过SSL
System.setProperty("javax.net.ssl.trustStore", truststore);
System.setProperty("javax.net.ssl.trustStorePassword", truststorePassword);
那何不将上述两个参数设置成单点登录对应的SSL证书呢?尝试后果然可行。那如何同时设置2个trustStore兼容SSO和MongoDB呢?也是一阵搜索,用逗号(,)、冒号(:)都没生效。突然意识到单点登录就一个方法用到了,在发起请求的时候指定SSL不就可以嘛。
最终方案
RequestBody formBody = new FormBody.Builder()
.add("redirect_uri", properties.getRedirectUri())
.add("client_id", properties.getClientId())
.add("grant_type", CommonConstant.AUTHORIZATION_CODE)
.add("code", code)
.build();
InputStream inputStream = new FileInputStream(properties.getCertPath());
// 创建 X509TrustManager 对象
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null);
CertificateFactory certificateFactory = CertificateFactory.getInstance("X.509");
Certificate certificate = certificateFactory.generateCertificate(inputStream);
keyStore.setCertificateEntry("tzsso", certificate);
trustManagerFactory.init(keyStore);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
// 创建 SSLContext
SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(null, trustManagers, null);
// 创建 OkHttpClient 实例
OkHttpClient httpClient = new OkHttpClient.Builder().sslSocketFactory(sslContext.getSocketFactory(), (X509TrustManager) trustManagers[0])
.build();
// 发送请求
Request request = new Request.Builder()
.url(url)
.post(formBody)
.build();
String result = httpClient.newCall(request).execute().body().string();
JSONObject jsonObject = JSON.parseObject(result);
String string = jsonObject.getString(CommonConstant.ID_TOKEN);
JwtUtil.getUserCode(string);
至此,总算解决了!但是如何同时兼顾MongoDB和SSO的SSL证书还有待继续探索。
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
