编辑:我试图在我的博客上以更得体的方式格式化问题和接受的答案。

这是最初的问题。

我得到这个错误:

详细消息sun.security.validator.ValidatorException: PKIX路径 构建失败: provider.certpath. suncertpathbuilderexception:不能 找到请求目标的有效认证路径 导致javax.net.ssl.SSLHandshakeException: validatorexception: PKIX路径构建 失败:sun.security.provider.certpath.SunCertPathBuilderException: 无法找到请求目标的有效认证路径

我使用Tomcat 6作为web服务器。我在同一台机器上的不同端口的不同Tomcats上安装了两个HTTPS web应用程序。假设App1(端口8443)和App2(端口443)。App1连接到App2。当App1连接到App2时,我得到上述错误。我知道这是一个非常常见的错误,所以在不同的论坛和网站上找到了许多解决方案。我在两个Tomcats的server.xml中有以下条目:

keystoreFile="c:/.keystore" 
keystorePass="changeit"

每个站点都说明了app2给出的证书不在app1 jvm的可信存储区中的相同原因。这似乎也是真的,当我试图在IE浏览器中点击相同的URL,它工作(与升温,有一个问题与此网站的安全证书。在这里我说继续这个网站)。但是当相同的URL被Java客户端(在我的情况下)击中时,我得到上述错误。为了把它放到信任库中,我尝试了以下三个选项:

选项1

System.setProperty("javax.net.ssl.trustStore", "C:/.keystore");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

选项2

在环境变量中设置如下

CATALINA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value

选项3

在环境变量中设置如下

JAVA_OPTS -- param name
-Djavax.net.ssl.trustStore=C:\.keystore -Djavax.net.ssl.trustStorePassword=changeit ---param value

结果

但是什么都不管用。

最后工作是执行Java方法建议如何处理无效的SSL证书与Apache HttpClient?通过Pascal Thivent,即执行程序InstallCert。

但这种方法适用于开发盒设置,但我不能在生产环境中使用它。

我想知道为什么上面提到的三种方法都不工作,而我已经通过设置在App2服务器的server.xml中提到了相同的值,在truststore中也提到了相同的值

System.setProperty("javax.net.ssl.trustStore", "C:/.keystore")和System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

在App1程序中。

要了解更多信息,这是我如何建立联系:

URL url = new URL(urlStr);

URLConnection conn = url.openConnection();

if (conn instanceof HttpsURLConnection) {

  HttpsURLConnection conn1 = (HttpsURLConnection) url.openConnection();
  
  conn1.setHostnameVerifier(new HostnameVerifier() {
    public boolean verify(String hostname, SSLSession session) {
      return true;
    }
  });

  reply.load(conn1.getInputStream());

当前回答

关注@NDeveloper的精彩答案。当然,我做了复制粘贴,改变了值,我得到

Illegal option:  ?import

我确实签出了连字符,我看到答案是使用ASCII的连字符

– 8211

如果你遇到问题,检查ASCII码,为我做的伎俩是这个代码= 45

- 45

我的代码

keytool -import -noprompt -trustcacerts -alias Certificado -file "C:\Users\JavIut\Desktop\Company\Certificados\Certificado.cer" -keystore "C:\Program Files\Java\jdk1.8.0_121\jre\lib\security\cacerts"

其他回答

查看各种证书内容和通过标准openssl过程生成的证书,我注意到openssl根证书的AutorityKeyIdentifier被设置为本身。也许有一种方法可以克服它……但我不知道……

然后我用Java11和BouncyCastle开发了一个小应用程序来生成根证书和密钥,现在在github上:https://github.com/kendarorg/JavaCaCertGenerator

使用该工具生成的根证书不包含AuthorityKeyIdentifier,可以使用keytool直接安装在cacert存储区上。当我创建然后csr和ext文件的域名,这将验证对cacert存储包含根..再也没有握手异常了!

可能是cacert不允许递归AuthorityKeyIdentifier?我不知道,但我会欣赏一些评论:)

在Linux下使用Tomcat 7,这就成功了。

String certificatesTrustStorePath = "/etc/alternatives/jre/lib/security/cacerts";
System.setProperty("javax.net.ssl.trustStore", certificatesTrustStorePath);
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

在Linux下,$JAVA_HOME并不总是设置,但通常/etc/alternatives/jre指向$JAVA_HOME/jre

我也有这个问题。

通过将SSL证书添加到.keystore,我尝试了几乎所有方法,但是,它不能与Java1_6_x一起工作。 对我来说,如果我们开始使用新版本的Java, Java1_8_x作为JVM,这是有帮助的。

对于MacOS X,下面是我必须在'importcert'选项中尝试双连字符的确切命令,这是有效的:

sudo keytool -–importcert -file /PathTo/YourCertFileDownloadedFromBrowserLockIcon.crt -keystore /Library/Java/JavaVirtualMachines/jdk1.8.0_191.jdk/Contents/Home/jre/lib/security/cacerts -alias "Cert" -storepass changeit

这里似乎是记录臭名昭著的PKIX错误消息的另一个可能原因的好地方。在花了太长时间查看密钥库和信任库内容以及各种java安装配置之后,我意识到我的问题在于……一个错字。

输入错误意味着我还使用密钥存储库作为信任存储库。由于我的公司根CA没有被定义为keystore中的独立证书,而只是证书链的一部分,并且没有在其他任何地方定义(即cacerts),我一直得到PKIX错误。

在一次失败的发布之后(这是prod配置,在其他地方是可以的),经过两天的挠头,我终于看到了错别字,现在一切都好了。

希望这能帮助到一些人。