【Java】# 请求https时证书不可信 PKIX SunCertPathBuilderException:unable to find valid certification....

已于 2023-06-08 20:18:59 修改
阅读量1.3k 收藏 3
点赞数
分类专栏: Java 文章标签: https java ssl
于 2022-11-02 17:15:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38134242/article/details/127655276
版权

背景:当使用 Java 请求 https协议的服务时,报 ’unable to find valid certification path to requested target’ 异常

解决方式1:将请求服务的证书导入到 JDK的 cacerts中

  • 通过浏览器先访问网址,然后将证书进行导出(以 Edge浏览器为例)

    image-20221102155220652

  • 以管理员身份打开cmd,进入到 “%JAVA_HOME%/jre/lib/\security”目录下,执行以下命令

    keytool -import -keystore cacerts -alias server -file 证书的位置
    -file:指定证书文件的位置
    -keystore:安装证书到的位置
    -alias:指定证书的别名

  • 输入密钥库默认口令:changeit,输入 “Y”信任此证书即可

解决方式2:使用Java类生成证书

  • InstallCert.java类会连接到给定的host,开始握手过程。如果出现异常会打印到控制台并且会显示服务端所使用的证书,此时它会问是否要把证书加入到keystore中。
  • 如果不想加,输入”q”,否则输入”1”.
  • 当输入”1”后,InstallCert.java 会显示证书的有关信息,然后把证书导入到一个名为”jssecacerts”的keystore中(生成在当前目录),只需要把这个文件拷贝到 %JAVA_HOME%/jre/lib/security 目录中即可
import javax.net.ssl.*;
import java.io.*;
import java.security.KeyStore;
import java.security.MessageDigest;
import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

public class InstallCert {
    public static void main(String[] args) {
        try {
            installCert("110.242.68.4", 443);  // https://www.baidu.com
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

    private static final char[] HEX_DIGITS = "0123456789abcdef".toCharArray();

    /**
     * 安装证书
     *
     * @param requestUrl 请求https服务的地址
     * @param port       https默认端口为 443
     * @throws Exception
     */
    public static void installCert(String requestUrl, int port) throws Exception {
        // 密钥库默认口令,一般默认changeit
        String pwd = "changeit";
        char[] passphrase = pwd.toCharArray();

        File file = new File("jssecacerts");
        if (!file.isFile()) {
            char sep = File.separatorChar;
            File dir = new File(System.getProperty("java.home") + sep + "lib" + sep + "security");
            file = new File(dir, "jssecacerts");
            if (!file.isFile()) {
                file = new File(dir, "cacerts");
            }
        }
        System.out.println("Loading KeyStore " + file + "...");
        InputStream in = new FileInputStream(file);
        KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
        ks.load(in, passphrase);
        in.close();

        SSLContext context = SSLContext.getInstance("TLS");
        TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
        tmf.init(ks);
        X509TrustManager defaultTrustManager = (X509TrustManager) tmf.getTrustManagers()[0];
        SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
        context.init(null, new TrustManager[]{tm}, null);
        SSLSocketFactory factory = context.getSocketFactory();

        System.out.println("Opening connection to " + requestUrl + ":" + port + "...");
        SSLSocket socket = (SSLSocket) factory.createSocket(requestUrl, port);
        socket.setSoTimeout(10000);
        try {
            System.out.println("Starting SSL handshake...");
            socket.startHandshake();
            socket.close();
            System.out.println("\nNo errors, certificate is already trusted");
        } catch (SSLException e) {
            System.out.println();
            e.printStackTrace(System.out);
        }

        X509Certificate[] chain = tm.chain;
        if (chain == null) {
            System.out.println("Could not obtain server certificate chain");
            return;
        }

        BufferedReader reader = new BufferedReader(new InputStreamReader(System.in));

        System.out.println("\nServer sent " + chain.length + " certificate(s):\n");
        MessageDigest sha1 = MessageDigest.getInstance("SHA1");
        MessageDigest md5 = MessageDigest.getInstance("MD5");
        for (int i = 0; i < chain.length; i++) {
            X509Certificate cert = chain[i];
            System.out.println(" " + (i + 1) + " Subject " + cert.getSubjectDN());
            System.out.println("   Issuer  " + cert.getIssuerDN());
            sha1.update(cert.getEncoded());
            System.out.println("   sha1    " + toHexString(sha1.digest()));
            md5.update(cert.getEncoded());
            System.out.println("   md5     " + toHexString(md5.digest()));
            System.out.println();
        }

        System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
        String line = reader.readLine().trim();
        int k;
        try {
            k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
        } catch (NumberFormatException e) {
            System.out.println("KeyStore not changed");
            return;
        }

        X509Certificate cert = chain[k];
        String alias = requestUrl + "-" + (k + 1);
        ks.setCertificateEntry(alias, cert);

        OutputStream out = new FileOutputStream("jssecacerts");
        ks.store(out, passphrase);
        out.close();

        System.out.println();
        System.out.println(cert);
        System.out.println();
        System.out.println("Added certificate to keystore 'jssecacerts' using alias '" + alias + "'");
    }

    /**
     * 转为16进制
     *
     * @param bytes
     * @return
     */
    private static String toHexString(byte[] bytes) {
        StringBuilder sb = new StringBuilder(bytes.length * 3);
        for (int b : bytes) {
            b &= 0xff;
            sb.append(HEX_DIGITS[b >> 4]);
            sb.append(HEX_DIGITS[b & 15]);
            sb.append(' ');
        }
        return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {
        private final X509TrustManager tm;
        private X509Certificate[] chain;

        SavingTrustManager(X509TrustManager tm) {
            this.tm = tm;
        }

        @Override
        public X509Certificate[] getAcceptedIssuers() {
            throw new UnsupportedOperationException();
        }

        @Override
        public void checkClientTrusted(X509Certificate[] chain, String authType) {
            throw new UnsupportedOperationException();
        }

        @Override
        public void checkServerTrusted(X509Certificate[] chain, String authType)
                throws CertificateException {
            this.chain = chain;
            tm.checkServerTrusted(chain, authType);
        }
    }
}

原因:服务端的证书没有被Java认证,所以导致请求失败

Java程序对受信证书的查找顺序

  • javax.net.ssl.trustStore

    就是 System.setProperty(“javax.net.ssl.trustStore”, “D:\cacert.keystore”);

    或者通过JVM参数指定:-Djavax.net.ssl.trustStore=D:\cacert.keystore

  • %JAVA_HOME%\jre\lib\security\jssecacerts 【推荐】

    默认没有jssecacerts,一般把cacerts复制成jssecacerts,然后再使用keytool来修改它。

    jsse的全称是Java Secure Socket Extension。

  • %JAVA_HOME%\jre\lib\security\cacerts

    通常情况下不建议通过-Djavax.net.ssl.trustStore=D:\cacert.keystore来直接修改keystore文件的位置,因为这样会造成系统中其他模块可能找不到自己对应的证书了。

LRcoding
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
webpki:Rust中的WebPKI X.509证书验证
02-05
webpki:Rust中的WebPKI X.509证书验证
使用Java代码安装Netweaver ABAP的Certificate
SAP 资深技术专家 Jerry Wang 的技术分享
09-22 331
import javax.net.ssl.*; import java.io.*; import java.security.KeyStore; import java.security.MessageDigest; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; ...
【编程问题】SunCertPathBuilderException: unable to find valid certification path to requested target
李晋江的博客
03-13 887
SSL安全证书校验导致的异常问题解决 SunCertPathBuilderException: unable to find valid certification path to requested target
kerby-pkix-1.0.1-API文档-中英对照版.zip
06-19
赠送jar包:kerby-pkix-1.0.1.jar; 赠送原API文档:kerby-pkix-1.0.1-javadoc.jar; 赠送源代码:kerby-pkix-1.0.1-sources.jar; 赠送Maven依赖信息文件:kerby-pkix-1.0.1.pom; 包含翻译后的API文档:kerby-pkix-1.0.1-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org.apache.kerby:kerby-pkix:1.0.1; 标签:apache、kerby、pkix、中英对照文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开&ldquo;index.html&rdquo;文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。 双语对照,边学技术、边学英语。
kerby-pkix-1.0.1.jar中文-英文对照文档.zip
03-07
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【***.jar Maven依赖信息(可用于项目pom.xml).txt】 Gradle依赖:【***.jar Gradle依赖信息(可用于项目build.gradle).txt】 源代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-javadoc-API文档-中文(简体)版.zip】,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·本文档为双语同展示,一行原文、一行译文,可逐行对照,避免了原文/译文来回切换的麻烦; ·有原文可参照,不再担心翻译偏差误导; ·边学技术、边学英语。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压选择&ldquo;解压到当前文件夹&rdquo;(放心,自带文件夹,文件不会散落一地); (2)有,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
PKIX_maven_archetype.rar
03-13
用maven的maven-archetype模板创建maven工程不全,不包括src目录; pom.xml更新jar包失败,提示PKIX path building failed
java开发https请求ssl不受信任问题解决方法
08-28
主要介绍了java开发https请求ssl不受信任问题解决方法,具有一定借鉴价值,需要的朋友可以参考下
彻底解决:SunCertPathBuilderException: unable to find valid certification path to requested target错误的方法
wh445306
12-10 3795
导致原因:由于12306安全系统升级不再支持TLS 1.0,所以。以前jsoup直接可以请求的。注意添加这个:.sslSocketFactory(socketFactory())3:旧版本的Jsoup有一个参数:据说加上就行了。我现在用的版本没有,估计是取消了。2:也是绕过绕过HTTPS验证,跟第一种其实差不多。请求12306系统查票。调用:在请求代码前执行即可。调用:在请求代码中执行即可。
报错 | PKIX path building failed: ...SunCertPathBuilderException:unable to find valid certification...
野生猿林仔的博客
07-03 2万+
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target的解决方案。
SunCertPathBuilderException: unable to find valid certification path
司马懿的西山居
10-11 8246
Project build error: Non-resolvable parent POM for com.example:test:0.0.1-SNAPSHOT: Failure to transfer org.springframework.boot:spring- boot-starter-parent:pom:2.1.9.RELEASE from https://repo.maven....
SunCertPathBuilderException:无法找到到请求目标的有效证书路径
一名可爱的技术搬运工
05-24 3343
1.问题 设置本地主机Tomcat以支持SSL,并部署此Web服务进行测试。 通过以下URL通过SSL连接连接到已部署的Web服务https://localhost:8443/HelloWorld/hello?wsdl 终奌站 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExc...
InstallCert.java工具及使用方法.zip
07-29
解决方法: HTTP Status 500 - javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
kerby-pkix-1.0.1-API文档-中文版.zip
06-28
赠送jar包:kerby-pkix-1.0.1.jar; 赠送原API文档:kerby-pkix-1.0.1-javadoc.jar; 赠送源代码:kerby-pkix-1.0.1-sources.jar; 赠送Maven依赖信息文件:kerby-pkix-1.0.1.pom; 包含翻译后的API文档:kerby-pkix-1.0.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.apache.kerby:kerby-pkix:1.0.1; 标签:apache、kerby、pkix、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开&ldquo;index.html&rdquo;文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
关于IDEA2020.1新建项目maven PKIX 报错问题解决方法
08-19
主要介绍了关于IDEA2020.1新建项目maven PKIX 报错问题解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
密码学相关格式编码器解码器:DER、PEM、PKCS、PKIX.zip
03-26
密码学相关格式编码器解码器:DER、PEM、PKCS、PKIX.zip
验证证书unable to find valid certification path to requested target
最新发布
05-07
具体错误信息sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target指出Java虚拟机(JVM)无法找到一个可信的路径来验证服务器提供的SSL/TLS...
异常记录:SunCertPathBuilderException: unable to find valid certification path to requested target...
weixin_34071713的博客
04-25 683
2019独角兽企业重金招聘Python工程师标准>>> ...
SunCertPathBuilderException: unable to find valid certification path to requested target问题处理
山巅
02-04 580
RestTemplate ssl跳过证书验证。
解决 『SunCertPathBuilderExceptionunable to find valid certification path to requested target』 问题
热门推荐
Abracadabra的专栏
09-29 3万+
解决 『SunCertPathBuilderExceptionunable to find valid certification path to requested target』 问题 ★ 问题 在 maven 编译的候,出现证书校验错误,部分log如下: javax.net.ssl.SSLHandshakeException: sun.security.validator.Validat...
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested
08-25
这个错误是由于无法找到有效的证书路径引起的。通常,它发生在尝试通过SSL/TLS建立安全连接,因为无法验证服务器的证书。 要解决这个问题,有几种可能的方法: 1. 确保您的系统间和日期设置正确。证书验证依赖于正确的间和日期。 2. 更新您的Java安全证书存储。您可以使用以下命令来更新证书存储: ``` sudo update-ca-certificates -f ``` 3. 如果您在使用自定义证书,请确保您的证书是有效且受信任的。您可以尝试重新生成证书或使用受信任的证书颁发机构(CA)签署您的证书。 4. 如果您在使用代理服务器,请确保您已正确配置代理以允许SSL/TLS连接。 希望以上方法能够解决您的问题。如果问题仍然存在,请提供更多详细信息,以便我能更好地帮助您。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

LRcoding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值