最近遇到一次客户需求,需要将原先基于公司自定义的JCE包(密码运算使用密码机)在JDK1.7下的环境使用,于是将之前的源码在Oracle JDK1.7下编译,打包,签名,测试,发现没什么问题,于是将jar包发给客户试用,后面客户测试签名验签没有啥问题,但是在做加解密的时候提示错误信息:
jce-1.0.10.jar is not signed by a trusted signer.
一看就是证书没法得到信任,很奇怪,在自己的机器上没有问题,证书也是最近两年内签发的,还没有过期,于是仔细对比客户机器环境和自己的开发机器,发现自己测试的时候编译虽然用的是JDK1.7,但是运行环境还是JDK8:
切换环境,果然发现在JDK1.7下会出现客户出现的问题。
看到问题是证书无法获取信任,有点奇怪,于是重新把原先像Oracle 申请的JCE证书的几篇邮件翻回来看了一下(还好保存了历史邮件),发现原来当时Oracle提供的证书只能支持JDK7U131以上的版本:
于是,我准备去找JDK7u131以上的版本,结果打开Oracle官网一看,发现JDK1.7的公开免费的版本早就停止在JDK7u80上了,7u131的版本不免费开放,以前是一个商业版:
找到这里,心里有点凉,感觉这个客户没了,我要背锅了,于是只能和客户商量,让他们使用openjdk或者使用高版本的运行环境,可惜客户以系统是以前的,不方便换否决了,最后还是同事不知道在哪里找到的几个商业版本的JDK1.7发给客户才解决这个问题,十分感谢同事的帮助。
经过这个事情,总结了几点教训
1.在交付产品的时候申明好适用范围,不要给自己留坑
2.自己公司的产品尽可能使用Open JDK,尽量使用高版本
3.邮件要保存好