PKIX path building failed

我们项目在对接新供应商的时候，开发时在windows系统报了下边的异常 PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

我们采用的是 https 单向认证 , httpclient。 查询资料的时候，好多人都建议导入证书到本地的jvm中，如下 keytool -import -alias cacerts -keystore cacerts -file d:\test.cer.cer -trustcacerts （导出证书的方法可以参考 http://www.cncrk.com/edu/4010_1.html） 导入后，的确不报错了。

但是理论上说https单向认证，我们作为接入方是不需要导入证书的，笔者也查阅了梁栋老师写的《加密与解密的技术》中的相关内容进行确认。 但是为什么，我们这里在客户端必须导入证书呢？ 笔者苦思冥想，没有思路，当然也查阅了很多资料，最后咨询了下老方，老方问了我的jdk版本，给我分享了一个帖子 https://letsencrypt.org/docs/certificate-compatibility/， 贴子其中的关键内容如下： Known Compatible ..... Java 7 >= 7u111 Java 8 >= 8u101 ..... 于是笔者更新了本地的jdk版本确实可以，不过笔者测试的是 jdk1.8.0_102 和 Java SE 8u131，（奇怪的是笔者没有找到7u111的jdk版本，在官网上能看到的最新版是 Java SE Development Kit 7u80，如果谁找到了，麻烦告知下） 按照老方的提示，笔者执行 keytool -list -v -keystore D:/install/java1.8.0_131/jre/lib/security/cacerts | find "CN=DST Root CA X3" 命令确定了 ，证书 DST Root CA X3的存在。

综上该问题的解决有2种方法： 1 导致证书到jdk证书库 2 更换jdk版本

今天笔者发现在linux上，不执行keytool命令导入证书居然可以，笔者运行 java -version，发现是 java version "1.7.0_45" 又执行了 查询运行时使用的jdk的版本 1 jps -ef | grep java 2 jinfo 最终确认 运行时采用的是 jdk1.8.0_102。 并执行 /jdk1.8.0_102/bin/keytool -list -v -keystore /jdk1.8.0_102/jre/lib/security/cacerts | grep -a2 trustedCertEntry | grep "DST Root CA X3"
最终确认有 "CN=DST Root CA X3" 证书的存在，解决！

参考文献 1 http://www.cnblogs.com/alipayhutu/archive/2012/08/20/2647353.html 2 https://letsencrypt.org/docs/certificate-compatibility/ 3 梁栋《加密与解密的技术》

感谢 老方的指点 感谢 部署组的支持

转载于:https://my.oschina.net/u/2485910/blog/915063