问题描述
上周在项目过程中,在和外系统联调的时候突然报错:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
问题出现的背景是外系统由于证书快到期了所以更换了新的证书,然后立刻报了这个错误,一开始我百思不得其解,不理解老的证书为什么就没有出现这个错误,后来通过查询了许多资料,终于找到了问题最可能的原因,如有谬误请大家指教。
出现原因
通过查询资料,了解了上述错误出现的原因,当在Java程序中通过SSL访问其它应用时(e.g. HTTPS, IMAPS, LDAPS)首先要进行身份认证,也就是说只有受到信任的应用才能建立连接。在Java中有一个keystore/truststore($JAVA_HOME/lib/security/cacerts),这里面包含了一系列已知的CA证书,Java只信任由这一系列CA机构签发的证书或者是存在于keystore中的证书。所以上述问题出现的主要原因就是证书是对方系统自己签发的或者不是CA机构签发的,或者是证书链不存在与Java的truststore中,导致Java不信任证书然后连接应用失败。
keystore:包含了私钥和可以证明身份的证书
truststore:包含了你信任的CA机构
解决方法
解决这个问题有两种思路:(1) 对接系统提供服务器的SSL证书,在客户端安装并加载证书之后发送请求;(2) 在Java中发送请求时,信任请求链接,忽略证书认证。这里我采用的是第二种方式解决问题:
public class SSLSocketClient {
//获取这个SSLSocketFactory
public static SSLSocketFactory getSSLSocketFactory() {
try {
SSLContext sslContext = SSLContext.getInstance("SSL");
sslContext.init(null, getTrustManager(), new SecureRandom());
return sslContext.getSocketFactory();
} catch (Exception e) {
throw new RuntimeException(e);
}
}
//获取TrustManager
private static TrustManager[] getTrustManager() {
TrustManager[] trustAllCerts = new TrustManager[]{
new X509TrustManager() {
@Override
public void checkClientTrusted(X509Certificate[] chain, String authType) {
// 不校验客户端证书
}
@Override
public void checkServerTrusted(X509Certificate[] chain, String authType) {
// 不校验服务器证书
}
@Override
public X509Certificate[] getAcceptedIssuers() {
return new X509Certificate[]{};
}
}
};
return trustAllCerts;
}
}
在请求时设置sslSocketFactory
OkHttpClient okHttpClient = new OkHttpClient.Builder()
.connectTimeout(5, TimeUnit.SECONDS)
.readTimeout(10, TimeUnit.SECONDS)
.writeTimeout(10, TimeUnit.SECONDS)
.sslSocketFactory(SSLSocketClient.getSSLSocketFactory(), SSLSocketClient.getX509TrustManager())
.hostnameVerifier(SSLSocketClient.getHostnameVerifier())
.build();
参考链接
Unable to find valid certification path to requested target - error even after cert imported
What is the SSL Certificate Chain?
“PKIX path building failed” and “unable to find valid certification path to requested target”
关于HostnameVerifier接口的解读