解决JDK访问https域名证书校验失败问题

已于 2022-04-01 18:31:42 修改
阅读量4k 收藏 1
点赞数
分类专栏: Java 文章标签: https jdk ssl
于 2022-04-01 18:30:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010454030/article/details/123904753
版权

背景

在Java代码里面访问https域名的url进行通信时,经常会遇到下面的一个异常:

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.ssl.Alerts.getSSLException(Unknown Source)
    at sun.security.ssl.SSLSocketImpl.fatal(Unknown Source)
    at sun.security.ssl.Handshaker.fatalSE(Unknown Source)
    at sun.security.ssl.Handshaker.fatalSE(Unknown Source)

PKI介绍

公钥基础设施 PKI 《Public Key Infrastructure》, 是指使用公钥加密在网络上实现信息安全交换的设置。此设置依赖于通信参与方之间建立的信任。这种信任基于由称为证书颁发机构 (CA) 的中立且受信任的机构颁发的数字证书。

在Java的安全架构图中,如下所示:

在oracle官网,关于PKI编程,也有详细的介绍:https://docs.oracle.com/javase/10/security/java-pki-programmers-guide.htm#JSSEC-GUID-650D0D53-B617-4055-AFD3-AF5C2629CBBF

在Java里面PKI相关的操作类和接口称做:Java Certification Path API,用于处理认证路径,也称为认证链。如果证书路径满足某些验证规则,它可以用于安全地建立公钥到主题的映射,里面包括特定于算法的类,用于根据 PKIX 标准构建和验证 X.509 认证路径。 PKIX 标准由 IETF PKIX 工作组开发,如果验证失败,就会出现上面的我们熟悉的那个异常:

ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

X.509科普

X.509是密码学里公钥证书的格式标准。X.509证书已应用在包括TLS/SSL在内的众多网络协议里,同时它也用在很多非在线应用场景里,比如电子签名服务。X.509证书里含有公钥、身份信息(比如网络主机名,组织的名称或个体名称等)和签名信息(可以是证书签发机构CA的签名,也可以是自签名)

X.509还附带了证书吊销列表和用于从最终对证书进行签名的证书签发机构直到最终可信点为止的证书合法性验证算法。X.509是ITU-T标准化部门基于他们之前的ASN.1定义的一套证书标准

问题原因

到这里想必大家已经能够知道上述异常的出现的原因了,大多数时候,都是因为我们的客户端JDK里面,没有添加服务端签发的数字证书(涵盖证书,公钥等信息)而造成的,知道了原因之后,解决方法也很简单,使用JDK自带的一些证书管理工具,来把我们服务侧签发的证书加入JDK自带的cacerts信任库即可。

解决方法

首先,我们需要获取到服务端的证书文件,这个一般是xxx.pem或者xxx.cer文件,然后通过JDK自带的keytool工具来管理证书:

查看证书:

keytool -list -storepass changeit  -keystore  $JAVA_HOME/jre/lib/security/cacerts | grep my_ca -A 10

查看证书内容:

keytool  -list  -rfc  -keystore $JAVA_HOME/jre/lib/security/cacerts     -storepass  "changeit" | grep my_ca -A 10

添加证书:

keytool -import -noprompt  -trustcacerts -file my.pem -alias my_ca -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit

注意:changeit是默认的密码

删除证书:

keytool -storepass changeit -delete -alias my_ca  -keystore $JAVA_HOME/jre/lib/security/cacerts

通过上面几个命令,来把数字证书加入JDK信任库就可以解决证书校验失败问题。

总结

https提供了一种更加安全的通信协议,实际开发中会经常遇到在编程代码中操作访问https url相关的网络编程,这样不可避免的就会遇到文章中描述的问题,通过本文的学习,相信可以做到知其然并知其所以然了,关于https协议安全通信是一个复杂的话题,里面涉及知识颇多,后面有空再总结一篇https原理相关的文章

三劫散仙
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java如何跳过httpsssl证书验证详解
08-25
网上最常用的,就是利用jdk生成keyStore文件,该方法忽略服务器证书校验方法。 四、JSSE缺省的证书信任管理器类 在针对http进行升级时,在HTTPS证书未经权威机构认证的情况下,访问HTTPS站点的两种方法:一种...
jce_policy用于解决jdk1.6,1.8https调用
03-19
jce_policy6-8.jar 用于jdk1.6-1.8 解决https接口调用报错
jdkhttps安全协议证书异常导致访问https接口报错问题
java小兵
11-22 2587
问题java进程访问https接口时,报错 javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty at sun...
解决 java 使用ssl过程中出现PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderExcep
小小陈的博客
12-15 1580
执行keytool -import -alias cacerts -keystore cacerts -file d:\software\CA.cer。ps:tomcat、junit运行时会从默认路径加载cacerts文件,如果main方法执行可以通过环境变量指定信任证书库路径。假设jdk安装目录:C:\Program Files\Java\jdk1.7.0_80\jre\lib\security。该异常是客户端对服务器的证书认证的时候出错了,解决方案把服务器证书加到信任证书库里面。
Java 17 解决https证书问题JDK导入https
最新发布
刘大辉的博客
05-22 167
请求接口,发现https协议认证问题,可以通过在jdk中导入证书解决问题
JDK制作自签名证书,实现双向认证,解决谷歌浏览器证书无效问题,亲测有效
weixin_39171105的博客
10-13 3524
JDK制作自签名证书,实现双向认证,解决谷歌浏览器证书无效问题,亲测有效 本文将介绍如何使用JDK8和tomcat8.5实现使用自签名证书完成TSL双向认证,并解决谷歌浏览器提升证书无效的问题。 第一步,制作服务端密钥库 keytool -genkey -v -alias tomcat -keyalg RSA -keystore D:\tomcat.keystore -validity 36500 -ext SAN=dns:localhost,ip:127.0.0.1 SAN:这里填写的是域名 I.
JDK1.6使用httpclient调用https接口时跳过证书验证
习惯成自然
03-13 4773
笔记
配置了证书,用https无法访问解决办法
Rio520的博客
11-26 3443
** 排查思路 ** 1.检查443证书下是否有是根目录 2.没有需要增加根目录 3.或者检查在默认的80端口下是否有监听443端口 4.80端口可以访问到资源,说明nginx配置方面是没有问题的,那么就可以排除, 5.主要检查80端口跳到443之间检查问题,443访问返回nginx的默认页面,说明,443端口没有找到访问的资源,这时可以排查一下,443下是否配置有根目录,资源路径,没有增加即可。 记录一下,方便下一次,在遇到同样的问题,能够快速处理。 ...
jdk生成ssl证书后,项目启动了,还是不生效
ymy19970525的博客
06-28 1482
在使用jdk 自带的keytool生成证书 cacerts文件的时间也是最新的,证书已经生成了,java项目用jenkins构建的,但是还是不能访问 查询日志报错 各路大神救急,救急,救急…… 非常感谢,十分感谢,万分感谢…… ...
本地基于jdk1.8的程序访问HTTPS网址最近突然爆出sun.security.validator.ValidatorException: PKIX path building failed
u014034329的博客
02-29 649
我本地安装的是jdk1.8.0_77版本,基于这个版本的程序访问HTTPS网址时,最近突然爆出sun.security.validator.ValidatorException: PKIX path building failed的错误,无法正常建立连接。同样的程序,之前一直都是可以正常访问的,网上有说JDK的jre\lib\security\目录下的cacerts安全证书文件可能过...
Idea jdk版本问题解决方案
08-18
Idea jdk版本问题解决方案 Idea jdk版本问题解决方案是一个常见的问题,特别是在使用Maven项目时,jdk版本的不一致可能会导致编译错误或无法运行的问题。下面我们将详细介绍解决Idea jdk版本问题方法问题描述...
解决JDK1.6下的Base64报错问题
01-12
解决JDK1.6下的Base64报错问题,资源文件里有jar包,及替换方法
解决MyEclipse中Maven设置jdk版本jdk1.8报错问题
08-26
解决MyEclipse中Maven设置jdk版本jdk1.8报错问题 在MyEclipse中使用Maven进行项目开发时,可能会遇到jdk版本设置问题。本文将详细介绍如何解决MyEclipse中Maven设置jdk版本jdk1.8报错问题。 知识点一:MyEclipse中...
Android Studio和Gradle使用不同位置JDK问题解决
08-24
主要介绍了Android Studio和Gradle使用不同位置JDK问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
解决jdk1.7 不支持TLS1.2的问题
04-26
NULL 博文链接:https://ligaosong.iteye.com/blog/2356346
Maven默认使用JDK1.5的问题解决方案
08-19
Maven默认使用JDK1.5的问题解决方案 Maven默认使用JDK1.5的问题是指在使用Maven构建项目时,默认情况下Maven会使用JDK1.5版本,这可能会导致一些问题和不兼容性问题解决这个问题有两种方式,即修改IDEA的配置和...
jdk1.6下https 处理异常的分析
a442828032的博客
05-21 1177
在使用httpclient 工具类发送https请求时会出现在不构造ssl安全套接字的情况下,有的https可以直接发出去,而有些会报错现象描述:原因是jdk1.6对HTTPS处理不够完善,升级jdk1.7及以上版本可解决,以下是我自己分析过程测试代码如下: public static void main(String[] args) throws Exception { // URL...
jdk1.6支持TLS1.2并忽略证书验证和用户验证
没忄没肺的博客
08-11 3551
import java.io.*; import java.net.InetAddress; import java.net.InetSocketAddress; import java.net.Socket; import java.net.UnknownHostException; import java.security.*; import java.security.cert.*; imp...
如何访问https请求,httpClient绕过SSL校验
weixin_47162914的博客
09-22 882
httpClient绕过SSL校验
jdk安装失败怎么解决
05-27
如果 JDK 安装失败了,可以尝试以下解决方法: 1. 检查系统要求:JDK 对于不同的操作系统有不同的要求,比如需要特定版本的操作系统、特定的内存和硬盘空间等。...希望以上方法可以帮助你解决 JDK 安装失败问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值