问题描述
使用 RestTemplate 调用远程接口,报错:PKIX path building failed , 具体错误信息如下所示:
I/O error on POST request for "https://abc.cn/auth/token":
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target;
nested exception is javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target,
stackTrace:
[org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:696),
org.springframework.web.client.RestTemplate.execute(RestTemplate.java:644),
问题分析
JVM自身维护了一个默认的信任证书,一个没有后缀名的文件cacerts
,位于java安装目录下(%JAVA_HOME%/jre/lib/security/cacerts
)。
Java在访问不受信任的https网站时,会报错:PKIX path building failed:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
, 这是因为JVM 默认信任证书中不包含目标网站的SSL证书,导致无法建立有效的信任链。
解决方案
既然是由于目标网站的证书不被 JVM 信任导致的问题,那么我们只需要使得目标网站被 JVM 信任就可以了。首先排查目标网站是否安全,如果目标网站是不安全的,那么建议找服务提供商检查处理一下,使得目标网站可信;如果是确认目标网站安全的情况下,可以考虑以下方案。
方案一:替换 jdk 目录中的 cacerts 文件
有一些版本的 JDK 存在对正常网站不信任的情况,可以考虑用其它版本JDK中的 cacerts 文件替换掉当前使用的 JDK 中的 cacerts 文件。
文件位于 JDK 安装目录下的 jre/lib/security 目录下, %JAVA_HOME%/jre/lib/security/cacerts
方案二:将目标网站证书加入JVM信任文件
首先我们需要先获取目标网站的证书
以谷歌浏览器和百度网址为例,点击顶部导航栏左端,出现如下视图,可以看到百度的网址是安全的,点进去查看连接详情。
这边可以看到证书是有效的,那么我们就可以点击进去查看证书的详细信息。
在证书的详情页,有两个tab页, 一个基本信息页显示证书公钥和证书机构等,还有一个详细信息页,我们可以点击右下角的导出按钮导出这个证书,名字由我们自行命名,例如 abc.crt
获取到目标网站证书 abc.crt 后, 使用 keytool
命令将证书加入 JVM 信任库。如果没有配置 JDK 或者配置的 JDK 与使用的 JDK 版本不一致,使用绝对路径去寻址 keytool 和 cacerts 。
keytool -importcert -file "D://abc.crt" -storepass changeit -keystore "%JAVA_HOME%/jre/lib/security/cacerts"
执行 keytool 命令后,会提示是否信任此证书,输入“是” ,回车确认。
其它
1、keytool 命令
查看keytool 详细参数, keytool -help
密钥和证书管理工具
命令:
-certreq 生成证书请求
-changealias 更改条目的别名
-delete 删除条目
-exportcert 导出证书
-genkeypair 生成密钥对
-genseckey 生成密钥
-gencert 根据证书请求生成证书
-importcert 导入证书或证书链
-importpass 导入口令
-importkeystore 从其他密钥库导入一个或所有条目
-keypasswd 更改条目的密钥口令
-list 列出密钥库中的条目
-printcert 打印证书内容
-printcertreq 打印证书请求的内容
-printcrl 打印 CRL 文件的内容
-storepasswd 更改密钥库的存储口令
以 keytool -importcert 为例查看详细用法 keytool -importcert -help
keytool -importcert [OPTION]...
导入证书或证书链
选项:
-noprompt 不提示
-trustcacerts 信任来自 cacerts 的证书
-protected 通过受保护的机制的口令
-alias <alias> 要处理的条目的别名
-file <filename> 输入文件名
-keypass <arg> 密钥口令
-keystore <keystore> 密钥库名称
-storepass <arg> 密钥库口令
-storetype <storetype> 密钥库类型
-providername <providername> 提供方名称
-providerclass <providerclass> 提供方类名
-providerarg <arg> 提供方参数
-providerpath <pathlist> 提供方类路径
-v 详细输出