我想加入进来，因为我有一个QEMU环境，我必须在其中下载java文件。事实证明，QEMU中的/etc/ssl/certs/java/cacerts确实存在问题，因为它与主机环境中的/etc/ssl/certs/java/cacerts不匹配。主机环境位于公司代理的后面，因此java cacerts是一个定制版本。

如果您正在使用QEMU环境，请首先确保主机系统可以访问文件。例如，您可以先在您的主机上尝试此脚本。如果脚本在主机上运行得很好，但在QEMU上却不行，那么您也遇到了和我一样的问题。

为了解决这个问题，我必须对QEMU中的原始文件进行备份，将主机环境中的文件复制到QEMU chroot jail中，然后java才能在QEMU中正常下载文件。

更好的解决方案是将/etc挂载到QEMU环境中;但是我不确定其他文件是否会在这个过程中受到影响。所以我决定使用这个丑陋但简单的变通方法。

您需要将App2的证书添加到所使用的JVM的信任库文件中，该文件位于$JAVA_HOME\lib\security\cacerts。

首先，您可以通过运行以下命令检查您的证书是否已经在信任存储库中: keytool -list -keystore "$JAVA_HOME/jre/lib/security/cacerts"(不需要提供密码)

如果您的证书丢失，您可以通过浏览器下载它，并使用以下命令将其添加到信任存储区:

keytool -import -noprompt -trustcacerts -alias <AliasName> -file   <certificate> -keystore <KeystoreFile> -storepass <Password>

例子:

keytool -import -noprompt -trustcacerts -alias myFancyAlias -file /path/to/my/cert/myCert.cer -keystore /path/to/my/jdk/jre/lib/security/cacerts/keystore.jks -storepass changeit

导入后，您可以再次运行第一个命令来检查是否添加了证书。

Sun/Oracle的信息可以在这里找到。

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效认证路径

•当我得到错误时，我尝试谷歌表达式的含义，我发现，当服务器更改其HTTPS SSL证书时，会发生此问题，而我们的旧版本的java不识别根证书颁发机构(CA)。

•如果您可以在浏览器中访问HTTPS URL，则可以更新Java以识别根CA。

•在浏览器中，转到Java无法访问的HTTPS URL。单击HTTPS证书链(ie浏览器中有锁图标)，单击锁即可查看证书。

•进入证书的“详细信息”和“复制到文件”。复制为Base64 (.cer)格式。它将保存在您的桌面上。

•安装证书时忽略所有警告。

•这就是我如何收集我试图访问的URL的证书信息。

现在我必须让我的java版本知道这个证书，这样它就不会拒绝识别URL了。在这方面，我必须提到，我搜索到根证书信息默认保存在JDK的\jre\lib\security位置，默认访问密码是:changeit。

查看cacerts信息的操作步骤如下:

•点击开始按钮——>运行

•输入cmd。打开命令提示符(您可能需要以管理员身份打开它)。

•进入Java/jreX/bin目录

•输入以下内容

keytool -list -keystore D:\Java\jdk1.5.0_12\jre\lib\security\cacerts

它给出密钥存储库中包含的当前证书的列表。它看起来是这样的:

C:\Documents and Settings\NeelanjanaG>keytool -list -keystore D:\Java\jdk1.5.0_12\jre\lib\security\cacerts

Enter keystore password:  changeit

Keystore type: jks

Keystore provider: SUN

Your keystore contains 44 entries

verisignclass3g2ca, Mar 26, 2004, trustedCertEntry,

Certificate fingerprint (MD5): A2:33:9B:4C:74:78:73:D4:6C:E7:C1:F3:8D:CB:5C:E9

entrustclientca, Jan 9, 2003, trustedCertEntry,

Certificate fingerprint (MD5): 0C:41:2F:13:5B:A0:54:F5:96:66:2D:7E:CD:0E:03:F4

thawtepersonalbasicca, Feb 13, 1999, trustedCertEntry,

Certificate fingerprint (MD5): E6:0B:D2:C9:CA:2D:88:DB:1A:71:0E:4B:78:EB:02:41

addtrustclass1ca, May 1, 2006, trustedCertEntry,

Certificate fingerprint (MD5): 1E:42:95:02:33:92:6B:B9:5F:C0:7F:DA:D6:B2:4B:FC

verisignclass2g3ca, Mar 26, 2004, trustedCertEntry,

Certificate fingerprint (MD5): F8:BE:C4:63:22:C9:A8:46:74:8B:B8:1D:1E:4A:2B:F6

•现在我必须将之前安装的证书包含到cacerts中。

•为此，程序如下:

keytool -import -noprompt -trustcacerts -alias ALIASNAME -file FILENAME_OF_THE_INSTALLED_CERTIFICATE -keystore PATH_TO_CACERTS_FILE -storepass PASSWORD

如果你使用的是Java 7:

keytool -importcert -trustcacerts -alias ALIASNAME -file PATH_TO_FILENAME_OF_THE_INSTALLED_CERTIFICATE -keystore PATH_TO_CACERTS_FILE -storepass changeit

•然后将证书信息添加到cacert文件中。

这是我为上面提到的异常找到的解决方案!!

对我来说，这篇文章中公认的解决方案并不奏效:https://stackoverflow.com/a/9619478/4507034。

相反，我设法通过将认证导入到我的机器信任的认证来解决这个问题。

步骤:

转到URL(例如。https://localhost:8443/yourpath)，其中认证不起作用。 导出上述帖子中描述的认证。 在windows机器上打开:管理计算机证书 进入受信任的根证书颁发机构->证书 在这里导入您的your_certification_name。cer文件。

我写了一个小的win32 (WinXP 32位测试)愚蠢的cmd(命令行)脚本，它在程序文件中查找所有java版本，并向它们添加一个证书。 密码必须是默认的“changeit”，或者在脚本中自己修改:-)

@echo off

for /F  %%d in ('dir /B %ProgramFiles%\java') do (
    %ProgramFiles%\Java\%%d\bin\keytool.exe -import -noprompt -trustcacerts -file some-exported-cert-saved-as.crt -keystore %ProgramFiles%\Java\%%d\lib\security\cacerts -storepass changeit
)

pause

可部署解决方案(Alpine Linux)

为了能够在我们的应用程序环境中修复这个问题，我们准备了如下的Linux终端命令:

cd ~

将在主目录中生成证书文件。

apk add openssl

该命令在alpine Linux中安装openssl。您可以找到其他Linux发行版的适当命令。

openssl s_client -connect <host-dns-ssl-belongs> < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > public.crt

生成所需的证书文件。

sudo $JAVA_HOME/bin/keytool -import -alias server_name -keystore $JAVA_HOME/lib/security/cacerts -file public.crt -storepass changeit -noprompt

使用'keytool'程序将生成的文件应用到JRE。

注意:请将您的DNS替换为<host- DNS -ssl-belong >

注意:请注意-noprompt不会提示验证信息(yes/no)， -storepass changeit参数将禁用密码提示并提供所需的密码(默认为'changeit')。这两个属性将允许您在应用程序环境中使用这些脚本，例如构建Docker映像。

注3:如果你是通过Docker部署你的应用程序，你可以生成一次秘密文件，并把它放在你的应用程序项目文件中。您不需要一次又一次地生成它。