查看各种证书内容和通过标准openssl过程生成的证书，我注意到openssl根证书的AutorityKeyIdentifier被设置为本身。也许有一种方法可以克服它……但我不知道……

然后我用Java11和BouncyCastle开发了一个小应用程序来生成根证书和密钥，现在在github上:https://github.com/kendarorg/JavaCaCertGenerator

使用该工具生成的根证书不包含AuthorityKeyIdentifier，可以使用keytool直接安装在cacert存储区上。当我创建然后csr和ext文件的域名，这将验证对cacert存储包含根..再也没有握手异常了!

可能是cacert不允许递归AuthorityKeyIdentifier?我不知道，但我会欣赏一些评论:)

对我来说，这篇文章中公认的解决方案并不奏效:https://stackoverflow.com/a/9619478/4507034。

相反，我设法通过将认证导入到我的机器信任的认证来解决这个问题。

步骤:

转到URL(例如。https://localhost:8443/yourpath)，其中认证不起作用。 导出上述帖子中描述的认证。 在windows机器上打开:管理计算机证书 进入受信任的根证书颁发机构->证书 在这里导入您的your_certification_name。cer文件。

您需要将App2的证书添加到所使用的JVM的信任库文件中，该文件位于$JAVA_HOME\lib\security\cacerts。

首先，您可以通过运行以下命令检查您的证书是否已经在信任存储库中: keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts"(不需要提供密码)

如果您的证书丢失，您可以通过浏览器下载它，并使用以下命令将其添加到信任存储区:

keytool -import -noprompt -trustcacerts -alias <AliasName> -file   <certificate> -keystore <KeystoreFile> -storepass <Password>

例子:

keytool -import -noprompt -trustcacerts -alias myFancyAlias -file /path/to/my/cert/myCert.cer -keystore /path/to/my/jdk/jre/lib/security/cacerts/keystore.jks -storepass changeit

导入后，您可以再次运行第一个命令来检查是否添加了证书。

Sun/Oracle的信息可以在这里找到。

这里似乎是记录臭名昭著的PKIX错误消息的另一个可能原因的好地方。在花了太长时间查看密钥库和信任库内容以及各种java安装配置之后，我意识到我的问题在于……一个错字。

输入错误意味着我还使用密钥存储库作为信任存储库。由于我的公司根CA没有被定义为keystore中的独立证书，而只是证书链的一部分，并且没有在其他任何地方定义(即cacerts)，我一直得到PKIX错误。

在一次失败的发布之后(这是prod配置，在其他地方是可以的)，经过两天的挠头，我终于看到了错别字，现在一切都好了。

希望这能帮助到一些人。

遇到同样的问题时，我正在使用jdk1.8.0_171。我在这里尝试了前2个解决方案(使用keytool添加证书和另一个解决方案，其中有一个黑客)，但他们不适合我。

我把JDK升级到1.8.0_181，它就像一个魅力。

可以通过编程方式禁用SSL验证。对于开发人员来说非常有效，但不推荐用于生产环境，因为您可能需要在那里使用“真正的”SSL验证，或者安装并使用您自己的可信密钥，然后仍然使用“真正的”SSL验证。

下面的代码为我工作:

import java.security.cert.CertificateException;
import java.security.cert.X509Certificate;

import javax.net.ssl.X509TrustManager;

public class TrustAnyTrustManager implements X509TrustManager {

  public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException {
  }

  public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException {
  }

  public X509Certificate[] getAcceptedIssuers() {
    return null;
  }
}

             HttpsURLConnection conn = null;
             URL url = new URL(serviceUrl);
             conn = (HttpsURLConnection) url.openConnection();
             SSLContext sc = SSLContext.getInstance("SSL");  
             sc.init(null, new TrustManager[]{new TrustAnyTrustManager()}, new java.security.SecureRandom());  
                    // Create all-trusting host name verifier
             HostnameVerifier allHostsValid = new HostnameVerifier() {
               public boolean verify(String hostname, SSLSession session) {
                return true;
              }
            };
            conn.setHostnameVerifier(allHostsValid);

或者，如果您不控制下面的连接，您也可以为所有连接覆盖全局SSL验证https://stackoverflow.com/a/19542614/32453

如果你正在使用Apache HTTPClient，你必须“以不同的方式”禁用它:https://stackoverflow.com/a/2703233/32453