问题描述
使用 RestTemplate 调用远程接口,报错:PKIX path building failed , 具体错误信息如下所示:
I/O error on POST request for "https://abc.cn/auth/token":
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target;
nested exception is javax.net.ssl.SSLHandshakeException:
sun.security.validator.ValidatorException: PKIX path building failed:
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target,
stackTrace:
[org.springframework.web.client.RestTemplate.doExecute(RestTemplate.java:696),
org.springframework.web.client.RestTemplate.execute(RestTemplate.java:644),
问题分析
JVM自身维护了一个默认的信任证书,一个没有后缀名的文件cacerts,位于java安装目录下(%JAVA_HOME%/jre/lib/security/cacerts)。
Java在访问不受信任的https网站时,会报错:PKIX path building failed:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target, 这是因为JVM 默认信任证书中不包含目标网站的SSL证书,导致无法建立有效的信任链。
解决方案
既然是由于目标网站的证书不被 JVM 信任导致的问题,那么我们只需要使得目标网站被 JVM 信任就可以了。首先排查目标网站是否安全,如果目标网站是不安全的,那么建议找服务提供商检查处理一下,使得目标网站可信;如果是确认目标网站安全的情况下,可以考虑以下方案。
方案一:替换 jdk 目录中的 cacerts 文件
有一些版本的 JDK 存在对正常网站不信任的情况,可以考虑用其它版本JDK中的 cacerts 文件替换掉当前使用的 JDK 中的 cacerts 文件。
文件位于 JDK 安装目录下的 jre/lib/security 目录下, %JAVA_HOME%/jre/lib/security/cacerts
方案二:将目标网站证书加入JVM信任文件
首先我们需要先获取目标网站的证书
以谷歌浏览器和百度网址为例,点击顶部导航栏左端,出现如下视图,可以看到百度的网址是安全的,点进去查看连接详情。
在证书的详情页,有两个tab页, 一个基本信息页显示证书公钥和证书机构等,还有一个详细信息页,我们可以点击右下角的导出按钮导出这个证书,名字由我们自行命名,例如 abc.crt
获取到目标网站证书 abc.crt 后, 使用 keytool
命令将证书加入 JVM 信任库。如果没有配置 JDK 或者配置的 JDK 与使用的 JDK 版本不一致,使用绝对路径去寻址 keytool 和 cacerts 。
keytool -importcert -alias mykey -file "D://abc.crt" -storepass changeit -keystore "%JAVA_HOME%/jre/lib/security/cacerts"
执行 keytool 命令后,会提示是否信任此证书,输入“是” ,回车确认。
如果之前已经导入过证书,现在需要重新导入,你需要删除之前的证书或者换一个别名,比如把【mykey】改为【mykey2】.
删除证书命令如下:
keytool -delete -alias mykey -keystore %JAVA_HOME%\jre\lib\security\cacerts -storepass changeit