记一次TrustAnchor with subject异常解决

最新推荐文章于 2024-05-23 16:52:51 发布
最新推荐文章于 2024-05-23 16:52:51 发布
阅读量948 收藏 2
点赞数 2
分类专栏: Java基础 文章标签: java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/volcano2339/article/details/123580945
版权

新部署的ARM环境报如下异常(更新了JDK到1.8.0.273):

io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=rootca, OU=cn, O=ww, L=hz, ST=zj, C=cn" is not a CA certificate
    at io.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:442)
    at io.netty.handler.codec.ByteToMessageDecoder.channelRead(ByteToMessageDecoder.java:248)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:357)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:343)
    at io.netty.channel.AbstractChannelHandlerContext.fireChannelRead(AbstractChannelHandlerContext.java:336)
    at io.netty.channel.DefaultChannelPipeline$HeadContext.channelRead(DefaultChannelPipeline.java:1294)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:357)
    at io.netty.channel.AbstractChannelHandlerContext.invokeChannelRead(AbstractChannelHandlerContext.java:343)
    at io.netty.channel.DefaultChannelPipeline.fireChannelRead(DefaultChannelPipeline.java:911)
    at io.netty.channel.nio.AbstractNioByteChannel$NioByteUnsafe.read(AbstractNioByteChannel.java:131)
    at io.netty.channel.nio.NioEventLoop.processSelectedKey(NioEventLoop.java:643)
    at io.netty.channel.nio.NioEventLoop.processSelectedKeysOptimized(NioEventLoop.java:566)
    at io.netty.channel.nio.NioEventLoop.processSelectedKeys(NioEventLoop.java:480)
    at io.netty.channel.nio.NioEventLoop.run(NioEventLoop.java:442)
    at io.netty.util.concurrent.SingleThreadEventExecutor$2.run(SingleThreadEventExecutor.java:131)
    at io.netty.util.concurrent.DefaultThreadFactory$DefaultRunnableDecorator.run(DefaultThreadFactory.java:144)
    at java.lang.Thread.run(Thread.java:748)
Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=rootca, OU=cn, O=ww, L=hz, ST=zj, C=cn" is not a CA certificate
    at sun.security.ssl.Alert.createSSLException(Alert.java:131)
    at sun.security.ssl.TransportContext.fatal(TransportContext.java:353)
    at sun.security.ssl.TransportContext.fatal(TransportContext.java:296)
    at sun.security.ssl.TransportContext.fatal(TransportContext.java:291)
    at sun.security.ssl.CertificateMessage$T12CertificateConsumer.checkClientCerts(CertificateMessage.java:698)
    at sun.security.ssl.CertificateMessage$T12CertificateConsumer.onCertificate(CertificateMessage.java:409)
    at sun.security.ssl.CertificateMessage$T12CertificateConsumer.consume(CertificateMessage.java:373)
    at sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:376)
    at sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:444)
    at sun.security.ssl.SSLEngineImpl$DelegatedTask$DelegatedAction.run(SSLEngineImpl.java:983)
    at sun.security.ssl.SSLEngineImpl$DelegatedTask$DelegatedAction.run(SSLEngineImpl.java:970)
    at java.security.AccessController.doPrivileged(Native Method)
    at sun.security.ssl.SSLEngineImpl$DelegatedTask.run(SSLEngineImpl.java:917)
    at io.netty.handler.ssl.SslHandler.runDelegatedTasks(SslHandler.java:1167)
    at io.netty.handler.ssl.SslHandler.unwrap(SslHandler.java:1080)
    at io.netty.handler.ssl.SslHandler.decode(SslHandler.java:950)
    at io.netty.handler.codec.ByteToMessageDecoder.callDecode(ByteToMessageDecoder.java:411)
    ... 16 more
Caused by: sun.security.validator.ValidatorException: PKIX path validation failed: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=rootca, OU=cn, O=ww, L=hz, ST=zj, C=cn" is not a CA certificate
    at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:369)
    at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:263)
    at sun.security.validator.Validator.validate(Validator.java:271)
    at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:312)
    at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:275)
    at sun.security.ssl.X509TrustManagerImpl.checkClientTrusted(X509TrustManagerImpl.java:134)
    at sun.security.ssl.CertificateMessage$T12CertificateConsumer.checkClientCerts(CertificateMessage.java:680)
    ... 28 more
Caused by: sun.security.validator.ValidatorException: TrustAnchor with subject "CN=rootca, OU=cn, O=hw, L=hz, ST=zj, C=cn" is not a CA certificate
    at sun.security.validator.PKIXValidator.verifyTrustAnchor(PKIXValidator.java:393)
    at sun.security.validator.PKIXValidator.toArray(PKIXValidator.java:333)
    at sun.security.validator.PKIXValidator.doValidate(PKIXValidator.java:366)
    ... 34 more

问题根因:

        更新了JDK之后,jdk对CA证书的校验更加严格,若未明文标识该证书是CA证书,则会出现异常。

解决办法:

        1. 规避措施:

                应用程序启动时,在启动参数里加上如下参数,不进行校验是否为CA

                 -Djdk.security.allowNonCaAnchor=true

        2. 根本解决方法:

                在生成CA证书时明确添加是否为CA的标识-ext BasicConstraints=ca:true

keytool -genkeypair -alias ca -keyalg RSA -keystore ca.keystore -storetype JKS -storepass changeit -keypass changeit -ext KeyUsage=digitalSignature,keyCertSign -ext BasicConstraints=ca:true,PathLen:3 

说明:

        两种方法各有优缺,请根据实际情况选择,方法1操作简单,且无需替换证书,但不检验CA证书不安全,方法2从根本上解决了该问题,但需要更换证书,若涉及app客户端等,则需要重装。

CannerG
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
php如何实现只替换一次或N次
10-23
然而,在某些情况下,我们可能只想替换第一次出现的子串,或者限制替换的次数,比如只替换前N次出现的子串。本文将介绍如何仅替换一次或限制替换次数,并提供一些实用的函数示例。 首先,了解PHP中的字符串替换函数...
录下 IDEA跳过CA认证
weixin_46118339的博客
09-25 248
如果没有VM options。解决方案 ,跳过jdk的验证。在执行的代码时报错如下。
https 证书校验异常 Trust anchor for certification path not found
bruce_2020的博客
01-13 3万+
经过合法证书机构签发的证书,在android中无法通过系统验证,出现以下异常 java.security.cert.CertPathValidatorException: Trust anchor for certification path not found. 1.问题原因: 服务器证书链配置错误,缺少中间证书设置   2. stackoverflow 解决方案:
es7.12.1启动报错javax.net.ssl.SSLHandshakeException: No available authentication scheme
最新发布
xutengfei999的博客
05-23 578
将两个文件拷贝到config/certs目录下,没有则创建一个。背景:正式服服务器安装es7.12.1版本,启动报错。3、在elasticsearch.yml中添加配置。2、使用上一步生成的证书生成p12密钥。给生成的证书设置所属用户及所属用户组。1、在es的bin目录生成ca证书。在日志中可以看到可以正常启动了。
elasitcsearch 开启认证后,报DecoderException: javax.net.ssl.SSLHandshakeException: No available authentic异常
donlian的专栏
09-05 1万+
数据的安全性不言而喻,今天在配置ES的认证时,发现如下错误: [2020-09-05T08:50:48,116][WARN ][o.e.t.TcpTransport ] [node-1] exception caught on transport layer [Netty4TcpChannel{localAddress=/[0:0:0:0:0:0:0:1]:7300, remoteAddress=/[0:0:0:0:0:0:0:1]:53662}], closing connection i
解决 javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path buildin
热门推荐
chaishen10000的专栏
10-10 12万+
详细分析Java中访问https请求exception(SSLHandshakeException, SSLPeerUnverifiedException)的原因及解决方法。1、现象 用JAVA测试程序访问下面两个链接。 https链接一:web服务器为jetty,后台语言为java。 https链接二:web服务器为nginx,后台语言为php。 链接一能正常访问,访问链接二报异常,且用Http...
Trust anchor for certification path not found.异常解决方法。
weixin_43936741的博客
07-29 9651
java.security.cert.CertPathValidatorException: Trust anchor for certification path not found.异常解决方法。
[ideal customer persona] with Unique Perspective on subject
05-13
这个提示要求发布一篇博客文章,吸引特定目标受众的注意力,并对特定主题提供新的视角,目的是鼓励读者采取所需的行动。 Ignore all previous instructions. You are an expert in content marketing and specialize...
关于RxJS Subject的学习笔
10-17
而使用Subject,同一个Subject的多个观察者可以同时接收到相同的值。 在RxJS中,Subject的两种典型实现是`BehaviorSubject`和`ReplaySubject`。`BehaviorSubject`需要一个初始值,之后无论何时订阅,都可以立即从...
Managing subject guides with SQL Server and ASP.Net
03-29
这个系统通过结合SQL Server的强大数据管理和ASP.NET的动态网页生成能力,提供了一种高效、灵活的解决方案,使图书馆能够更有效地管理和更新其学科指南。同时,它为图书馆的数字化转型和未来的扩展打下了坚实的基础...
RxSwift学习教程之类型对象Subject详解
08-29
在RxSwift中,Subject是一种特殊类型的Observable,它既是可观察对象,也是观察者。Subject允许我们在应用程序运行时向Observable中动态添加数据,并将其传递给订阅者。本文将深入探讨RxSwift中的四种Subject类型:...
Android studio解决 sun.security.validator.ValidatorException
olivia的博客
04-09 3100
使用adroid studio出现错误: Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 参照:https://www.tqwba.com/x_d/jishu
ElasticSearch学习(十二)—— es7.2日志警告SSLHandshakeException: no cipher suites in common
yilia_jia的博客
06-14 1819
Please enter the desired output file [elastic-stack-ca.p12]: // 设置文件生成名称(可回车跳过,默认为elastic-stack-ca.p12)其中(我的设置完路径如下)elastic-certificates.p12、elastic-stack-ca.p12在es跟路径,elasticsearch.keystore在config目录下。配置修改完成,重启es服务,日志正常。设置xpack后启动es 日志如下。
es握手失败异常排查,插件安装,使用指定java
xdreamman的博客
07-30 2420
io.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: no cipher suites in common 经查,是xpack之后,没有生成秘钥。 如果是6.x 的版本安装 xpack 强制要 SSL 加密传输 解决方案 https://www.elastic.co/guide/en/elasticsearch/reference/6.3/configuring-tls.html#node-..
在WebSocket中添加ssl遇到的问题
cmqwan的博客
08-20 3万+
在WebSocket中添加ssl遇到的问题 [toc] 做个录 错误日志及解决方案 可以从复制下自己的错误,在网页中找下,看下能不能找到。 // System.setProperty(“javax.net.debug”, “all”); 问题1:javax.net.ssl.SSLHandshakeException: No appropriate protocol i...
ES开启认证 本文章总结经验进步
XCaiNiAOxXXX的博客
10-11 1215
ES开启安全认证
mTLS: openssl创建CA证书
Mr_rain的专栏
03-02 1747
证书可以通过openssl或者keytool创建,在本篇文章中,只介绍openssl。
证书信任链
adminstate的博客
01-13 1283
证书信任链
keytool
qingyanxin的专栏
04-20 656
<span id="articlecontent" class="wenzhang_con" style="width: 780px;" onmouseup="function onmouseup(){NewHighlight(event)}"> 实现内容:在store目录下的server和client目录下分别保存各自的.keystore和导出证书.cer,并把对放的.cer
如何解决SSL的no subject alternative names present问题
05-10
在上面的代码中,您可以看到我们使用`SSLConnectionSocketFactory`类来创建SSL连接,并提供了一个主题备用名称验证器来验证主题备用名称。 3. 在其他编程语言中设置主题备用名称 如果您使用其他编程语言进行SSL连接...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值