报错截图:
操作步骤:
1. 使用keytool工具生成jks,并导出自签名证书,导入到jdk11的lib/security/cacerts库中。操作步骤见:https://blog.csdn.net/andy_april/article/details/105140654
2. 将证书导入到jdk的cacerts库中时,不是追加导入方式,而是重置方式,即将jdk自带的cacerts文件删除(内置证书链不需要,所以可以直接删除),用keytool -import重新生成一个。
3. 上述步骤在n个测试环境以及生产环境验证过,不过都是jdk8的环境,最近升级到jdk11后,发现上述步骤出现了问题,访问不成功,客户端会报错,证书校验失败。
问题分析:
1. jdk8与jdk11在keytool -import时行为发生了变化。从jdk9开始,keytool生成的cacerts库默认格式变为PKCS12国际标准格式,不再使用jdk的专用格式JKS:
这是用jdk8生成的cacerts库文件:
这是用jdk11生成的cacerts库文件:
解决办法:
1. 将jdk11生成的pkcs12格式的cacerts库,转换为jks格式即可:
keytool -importkeystore -srckeystore keystore.p12 -srcstoretype PKCS12 -deststoretype JKS -destkeystore keystore.jks