Make sure of your JVM location. There can be half a dozen JREs on your system. Which one is your Tomcat really using? Anywhere inside code running in your Tomcat, write println(System.getProperty("java.home")). Note this location. In <java.home>/lib/security/cacerts file are the certificates used by your Tomcat. Find the root certificate that is failing. This can be found by turning on SSL debug using -Djavax.net.debug=all. Run your app and note from console ssl logs the CA that is failing. Its url will be available. In my case I was surprised to find that a proxy zscaler was the one which was failing, as it was actually proxying my calls, and returning its own CA certificate. Paste url in browser. Certificate will get downloaded. Import this certificate into cacerts using keytool import.

这里似乎是记录臭名昭著的PKIX错误消息的另一个可能原因的好地方。在花了太长时间查看密钥库和信任库内容以及各种java安装配置之后，我意识到我的问题在于……一个错字。

输入错误意味着我还使用密钥存储库作为信任存储库。由于我的公司根CA没有被定义为keystore中的独立证书，而只是证书链的一部分，并且没有在其他任何地方定义(即cacerts)，我一直得到PKIX错误。

在一次失败的发布之后(这是prod配置，在其他地方是可以的)，经过两天的挠头，我终于看到了错别字，现在一切都好了。

希望这能帮助到一些人。

如果您使用的是JDK 11，则该文件夹中不再包含JRE。certs的位置是jdk-11.0.11/lib/security/cacerts。

在我的例子中，问题是web服务器只发送证书和中间CA，而不是根CA。 添加这个JVM选项解决了这个问题:- dcom .sun.security. enableaiacaissuer =true

支持权威信息访问扩展的caissuer访问方法是可用的。为了兼容性，它默认是禁用的，可以通过将系统属性com.sun.security. enableaiacaissuer设置为true来启用。 如果设置为true, Sun的CertPathBuilder的PKIX实现将使用证书的AIA扩展中的信息(除了指定的CertStores之外)来查找颁发的CA证书，前提是它是ldap、http或ftp类型的URI。

源

必要时，您可以完全禁用SSL，或者每个连接禁用SSL(注意，这不建议用于生产环境!)，参见https://stackoverflow.com/a/19542614/32453

查看各种证书内容和通过标准openssl过程生成的证书，我注意到openssl根证书的AutorityKeyIdentifier被设置为本身。也许有一种方法可以克服它……但我不知道……

然后我用Java11和BouncyCastle开发了一个小应用程序来生成根证书和密钥，现在在github上:https://github.com/kendarorg/JavaCaCertGenerator

使用该工具生成的根证书不包含AuthorityKeyIdentifier，可以使用keytool直接安装在cacert存储区上。当我创建然后csr和ext文件的域名，这将验证对cacert存储包含根..再也没有握手异常了!

可能是cacert不允许递归AuthorityKeyIdentifier?我不知道，但我会欣赏一些评论:)