SSL链接一个很奇怪的错误

最新推荐文章于 2022-04-04 20:51:09 发布
最新推荐文章于 2022-04-04 20:51:09 发布
阅读量405 收藏
点赞数
分类专栏: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wind428/article/details/79238163
版权

  • 背景

       
   
    1. git代码相同,数据库相同的情况下,测试版本报异常,但是本地的开发版没有异常出现,同事电脑上的代码和数据库都一致,也报异常。一直搞不懂原因。联想到最近换了SSL证书,排除证书过期,域名不一直以后,google之,得到答案,参考[这里](https://stackoverflow.com/questions/26180650/unable-to-find-valid-certification-path-to-requested-target-but-browser-says),发现证书链在根证书中没有被信任。

  • 异常报告

       
   
    1. Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    3. Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    5. Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

  • 异常原因

    • 原因一:你的SSL证书和域名不匹配

           
     
      1. 就是颁发的证书域名和你真正访问的域名不一致

    • 原因二:证书链不完整

           
     
      1. 证书链由两个环节组成—信任锚(CA 证书)环节和已签名证书环节。自我签名的证书仅有一个环节的长度—信任锚环节就是已签名证书本身。
      3. 证书链可以有任意环节的长度,所以在三节的链中,信任锚证书CA 环节可以对中间证书签名;中间证书的所有者可以用自己的私钥对另一个证书签名。CertPath API 可以用来遍历证书链以验证有效性,也可以用来构造这些信任链。
      5. 证书最初生成时是一个自签名证书。自签名证书是其签发者(签名者)与主题(其公共密钥由该证书进行验证的实体)相同的证书。如果拥有者向 CA 发送证书签名请求 (CSR),然后输入响应,自签名证书将被证书链替换。链的底部是由 CA 发布的、用于验证主题的公共密钥的证书(回复)。链中的下一个证书是验证 CA 的公共密钥的证书。通常,这是一个自签名证书(即,来自 CA、用于验证其自身的公共密钥的证书)并且是链中的最后一个证书。
      7. 在其他情况下,CA 可能会返回一个证书链。在此情况下,链的底部证书是相同的(由 CA 签发的证书,用于验证密钥条目的公共密钥),但是链中的第二个证书是由其他 CA 签发的证书,用于验证您向其发送了 CSR  CA 的公共密钥。然后,链中的下一个证书是用于验证第二个 CA 的密钥的证书,依此类推,直至到达自签名的[根证书]。因此,链中的每个证书(第一个证书之后的证书)都需要验证链中前一个证书的签名者的[公共密钥]。

      微信截图_20180113110420.png

    • 根证书没有被信任

           
     
      1. 证书链是由根证书-----CA-----已签名证书这条证书链依次被信任,如果根证书不被信任,那么由该根证书签发的所有颁发者证书都不被信任,进而导致颁发者颁发的所有证书都不被信任

  • 解决办法

    • 换个证书,换个JRE中默认被信任根证书签发的CA证书颁发的证书(这里提供jre中默认信任的证书列表)

           
     
      1. 算了,给出查找方法吧,在配置好java运行环境的情况下,
      2. windows运行
      3. keytool -list -keystore %JAVA_HOME%/jre/lib/security/cacerts
      4. Linux运行
      5. keytool -list -keystore $JAVA_HOME/jre/lib/security/cacerts
      7. 输入密钥库口令: <直接回车>
      9. *****************  WARNING WARNING WARNING  *****************
      10. * 存储在您的密钥库中的信息的完整性  *
      11. * 尚未经过验证!  为了验证其完整性, *
      12. * 必须提供密钥库口令。                  *
      13. *****************  WARNING WARNING WARNING  *****************
      15. 密钥库类型: JKS
      16. 密钥库提供方: SUN
      18. 您的密钥库包含 104 个条目
      19. ....
      20. 然后这里会列出你所有的被信任的根证书颁发者

    • 手动将你的证书,CA证书和根证书引入到jre的信任列表中

           
     
      1. windows:
      2. keytool -import -alias my-cert -file c:\cert.crt -keystore %JAVA_HOME%/jre/lib/security/cacerts
      4. linux:
      6. keytool -import -alias my-cert -file /your/cert/path/cert.crt -keystore $JAVA_HOME/jre/lib/security/cacerts
MTU_X79
关注
专栏目录
nginx配置https问题,遇到了一个奇怪的问题,部分配置https的域名提示不安全,点击详情发现,使用的都是另外一个域名的证书_nginx配置ssl 网站不安全的
2301_82257383的博客
04-28 634
1、服务器上配置了多个域名,其中有两个域名最开始没有配置证书,今天下载证书,修改nginx配置后,访问域名,发现提示网站不安全,点击一看,竟然用的是另外的域名证书,而且不是一个域名是这样,连着配置两个域名证书都是这样2、发现nginx好像又默认规则,当域名不配置https时,会寻找配置中第一个有证书的server作为证书使用,但是我现在配置了这个域名的证书,缺还是用的其他域名证书,就像是配置不生效了一样,无法理解。
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。错误:“SQL Server 未返回响应。连接已关闭
qq_35553465的博客
08-31 4036
环境:WIN10 + JDK1.8 + SQLSERVER2008 R2 起因:在做一个公司项目的时候,有一套数据库是在虚拟机里的,虚拟机的环境是win2003 + sqlserver 2008 R2 项目用的框架是spring boot 2.1.7 + jpa , jdbc 用的是微软的com.microsoft.sqlserver (为什么不怀疑是编译器的问题呢,因为我之前在e...
SSL】关于SSL证书链不完整的处理方法
michaelwoshi的博客
11-15 2641
https://myssl.com 点击下载证书链,生成完整的证书文件,替换后重启相关服务。 https://certificatechain.io 参考 您部署的HTTPS网站安全吗? https://myssl.com HTTPS 安全最佳实践(一)之SSL/TLS部署 https://blog.myssl.com/ssl-and-tls-deployment-best-practices HTTPS 安全最佳实践(二...
微信内无法加载https网页
来啊 快活啊
01-23 9650
先来揭晓答案,我遇到的问题的根本原因是因为上传给服务器的证书链不完整,我只上传了Let’s Encrypt签发的网站的证书,CA证书没有上传;使用https://www.geocerts.com/ssl-checker检查,显示证书链不完整 服务器使用的是阿里云的云虚拟主机,调换成Let’s Encrypt生成的fullchan.cer里面的内容就可以了;使用ssl-checker检查证书链路也显...
学习puppet 之SSL验证报错 SSL_connect returned=1 errno...
chuxuanjian4955的博客
07-03 605
安装配置puppet 步骤参看 守住的 CentOS 5 yum快速安装puppet Jul 3 18:49:45 slave puppet-agent[3773]: Could not request certificate: getaddrinfo: Name or serv...
秘钥库口令忘记了
lovelry的博客
04-04 7421
忘记秘钥库口令了,****存储在您的密钥库中信息完整性 * 尚未经过验证! 为了验证完整性, * *须提供密钥库口令。**,**keytool 错误: java.io.IOException: keystore password was incorrect**, A9:1F:3F:AA:4D:B6:37:A0:78:06:34:5A:90:36:56:ED:54:E5:5B:D2
android 获取Android Studio的签名文件
大明1536
07-01 1910
1.获取Android Studio 默认的MD5和SHA1 $ keytool -list -v -keystore ~/.android/debug.keystore打印信息 ***************** WARNING WARNING WARNING ***************** * 存储在您的密钥库中信息完整性 * * 尚未经过验证! 为了验证完整性,
generate-ssl-certs-for-local-development:一个bash脚本,用于为Mac上的本地开发生成受信任的自签名SSL证书
04-23
您的连接不是浏览器中的私人错误。 生成证书是一个复杂的麻烦。 因此,我制作了一个bash脚本来为您完成所有操作。 (有关大部分背景信息的建议,请访问 ,以使此脚本正常工作) 我该如何使用呢? 克隆或下载此...
centos7 python3.7 ssl_Python 3.7无法连接到HTTPS URL,因为SSLmodule不可用
weixin_36255893的博客
02-15 568
我正在运行centos 6.10的专用服务器上安装Python 3.7在跳了几圈试图做到这一点之后,我又犯了一个错误。使用Python3.7来尝试保持最新,pip安装中出现SSL问题是一个相当常见的问题。我得出的结论是,解决这个问题的最佳方法是获得正确版本的OpenSSL。所以我这样做了,编辑我的python modules/Setup.dist文件,重新配置它,重新运行make altinsta...
mysql ssl性能_MySQL SSL 性能损耗测试
weixin_42191359的博客
02-10 439
MySQL SSL 性能损耗测试配置MySQL SSL 文章我们介绍了如何使用 MySQL SSL 特性提升安全性。但是SSL是有性能损耗的,而且还不小,通常在数据传输与非SSL比较,性能损耗在 30% 左右,因为SSL启用后,每个数据包都需要加密并解密,越高级的加解密算法,性能损耗越严重。今天我们介绍一个测试 MySQL SSL性能的工具 [1] ,并使用 sysbench 测试 MySQL 在...
Android Studio 获取数字签名的方法
liyong20080101的专栏
08-20 724
原先在 Eclipse中 数字签名(SHA1或MD5)的获取方法 为: 点击 Eclipse导航栏的Windows --> Preference --> Android --> Build 现在 改到 Android Studio 或 IntelliJ IDEA下开发Android 应用, 没用找到只用鼠标点击的方法. 但可以打开Terminal,使用keytool获取.
Java Store_java keystore
weixin_33514864的博客
02-12 352
JAVA有一个keystore用来存放私钥和证书,该文件是伴随JDK默认存在的,路径默认是/lib/security/cacerts,默认密码是changeit,实际上空密码也可以直接访问其中cacerts就是上面说的keystore我们使用命令keytool -list -rfc -keystore cacerts来列出其中的内容-list -rfc 这些参数的意思可以参考下图在乐山的时候,我们...
图解SSL/TLS、SSL延迟有多大
李子的专栏
09-25 2036
图解SSL/TLS协议 - 阮一峰的网络日志 http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
防止MTU设置不合理导致的链路不通问题
tenfyguo的技术专栏
04-01 3775
一,MTU是IP数据包每次能传输的最大数据单元,即maxium transfer unit,超过此大小将会进行分包,而若设置不能进行分包,则会导致丢包。         如设置:Dont Fragment: Set,则设置不能进行分包。 二,MSS就是IP数据包每次能传输的最大数据分段,这个值是MTU值减去IP数据包头大小20Byte和TCP数据段的包头20Byte。即Mss+40=M
Git出现SSL certificate problem 报错的解决方法
热门推荐
Passerby_Wang的博客
11-05 2万+
一、问题描述 执行命令的时候,出现“SSL certificate problem:* * *”报错,一般在执行“git push”(推送分支)或者“git clone”(克隆仓库)时出现。原因是因为SSL安全验证问题,不能获取到本地的证书。这里咱们通过不验证SSL证书方式解决。 二、解决方法 1、第一种 执行命令 git config --global http.sslVerify false 2、第二种 1)找到并打开配置文件 vim ~/.gitconfig...
如何通过SSL连接到Java上的Redis
weixin_33973600的博客
03-06 2712
Redis是一个开源的内存数据结构存储,是构建NoSQL数据库最受欢迎的选择之一。但是,使用Redis的一个主要障碍是它没有任何自己的加密功能。 当然,任何企业级数据库都须能够保证其中存储信息的安全性。如果不受信任方可以访问您的数据库,则需要开发自己的加密功能,在加密协议中包含数据。 SSL(安全套接字层)是在不同服务器或计算机之间传...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值