解决PKIX path building failed

2 篇文章 0 订阅
2 篇文章 0 订阅

起因

上周在生产环境部署时,把安全证书加到k8s-ingress中时发现报该错误

解决

windows环境,本机测试是可行的,但搬到开发环境,开启测试时也没报错,再将应用容器化时,如法炮制,发现并不能正常运行,通样会报PKIX path building failed的错误。
检查各项配置,与宿主机系统,本机windows环境一致,但依旧未能跑通。

后来求助上级,唯一不同点是将域名的映射加入到hosts文件中,才发现在本机和开发环境都提前配置好了hosts,所以没发现这个错误,并且java所报的异常跟刚开始未加入java ca授信列表时所报的异常一样,所以一度怀疑是jre问题(虽然基本不可能)。

结果

将ca证书文件依次加入容器,加入java授信列表,重新生成镜像,最后在docker容器内运行正常没报错。但还有一点,docker的hosts文件时run之后才动态生成,不能提前预设(内部包括容器名称地址映射,集群dns映射等),但考虑到生产环境部署在k8s,k8s能动态注入hosts,调整dns策略等,所以dns问题解决相对轻松。

参考

很全的一篇讲解关于https与java中调用原理与实现的文章:http://www.aneasystone.com/archives/2016/04/java-and-https.html

PKIX path building failed是Java中的一个常见错误,它通常表示在建立PKIX路径时出现了问题。PKIX(Public Key Infrastructure X.509)是一种用于验证和建立数字证书链的标准协议。 要解决PKIX path building failed错误,可以尝试以下几种方法: 1. 检查证书链:首先,确保你的证书链是完整和正确的。检查证书是否过期、是否被吊销或是否存在其他问题。可以使用Java的keytool工具来检查证书。 2. 更新证书库:如果你的Java环境中的证书库已过时或缺少必要的根证书,可以尝试更新证书库。可以从可信任的证书颁发机构(CA)获取最新的根证书,并将其添加到Java的证书库中。 3. 禁用证书验证:在某些情况下,你可能希望暂时禁用证书验证以解决问题。但请注意,这会降低安全性。可以通过设置SSLContext来禁用证书验证,例如: ``` SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[] { new X509TrustManager() { public void checkClientTrusted(X509Certificate[] chain, String authType) {} public void checkServerTrusted(X509Certificate[] chain, String authType) {} public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }}, new SecureRandom()); HttpsURLConnection.setDefaultSSLSocketFactory(sslContext.getSocketFactory()); ``` 请注意,禁用证书验证可能会导致安全风险,请在仔细评估后使用。 4. 检查网络连接:有时,PKIX path building failed错误可能是由于网络连接问题引起的。确保你的网络连接正常,并且可以访问远程服务器。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值