起因
上周在生产环境部署时,把安全证书加到k8s-ingress中时发现报该错误
解决
- 找网上解决方案,因为这种问题相对比较少见,也没百度,直接谷歌,找到解决方案如下:https://stackoverflow.com/questions/9619030/resolving-javax-net-ssl-sslhandshakeexception-sun-security-validator-validatore
- 查看:%JAVA_HOME%\lib\security\cacerts
- 查看证书相关列表:keytool -list -keystore “%JAVA_HOME%/jre/lib/security/cacerts”
- 如果没有证书,将证书导入环境中:keytool -import -noprompt -trustcacerts -alias -file -keystore -storepass
windows环境,本机测试是可行的,但搬到开发环境,开启测试时也没报错,再将应用容器化时,如法炮制,发现并不能正常运行,通样会报PKIX path building failed的错误。
检查各项配置,与宿主机系统,本机windows环境一致,但依旧未能跑通。
后来求助上级,唯一不同点是将域名的映射加入到hosts文件中,才发现在本机和开发环境都提前配置好了hosts,所以没发现这个错误,并且java所报的异常跟刚开始未加入java ca授信列表时所报的异常一样,所以一度怀疑是jre问题(虽然基本不可能)。
结果
将ca证书文件依次加入容器,加入java授信列表,重新生成镜像,最后在docker容器内运行正常没报错。但还有一点,docker的hosts文件时run之后才动态生成,不能提前预设(内部包括容器名称地址映射,集群dns映射等),但考虑到生产环境部署在k8s,k8s能动态注入hosts,调整dns策略等,所以dns问题解决相对轻松。
参考
很全的一篇讲解关于https与java中调用原理与实现的文章:http://www.aneasystone.com/archives/2016/04/java-and-https.html