问题描述
上周在项目过程中,在和外系统联调的时候突然报错:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target
问题出现的背景是外系统由于证书快到期了所以更换了新的证书,然后立刻报了这个错误,一开始我百思不得其解,不理解老的证书为什么就没有出现这个错误,后来通过查询了许多资料,终于找到了问题最可能的原因,如有谬误请大家指教。
出现原因
通过查询资料,了解了上述错误出现的原因,当在Java程序中通过SSL访问其它应用时(e.g. HTTPS, IMAPS, LDAPS)首先要进行身份认证,也就是说只有受到信任的应用才能建立连接。在Java中有一个keystore/truststore($JAVA_HOME/lib/security/cacerts),这里面包含了一系列已知的CA证书,Java只信任由这一系列CA机构签发的证书或者是存在于keystore中的证书。所以上述问题出现的主要原因就是证书是对方系统自己签发的或者不是CA机构签发的,或者是证书链不存在与Java的truststore中,导致Java不信任证书然后连接应用失败。
keystore:包含了私钥和可以证明身份的证书
truststore:包含了你信任的CA机构