40

在将我的应用程序从 Windows 2000 迁移到 Windows 2008 R2 Server 之后,我一直在努力让我的应用程序运行近一周。

步骤:

  1. 安装 Java JDK 1.7.0_25
  2. 将系统环境变量设置JAVA_HOMEC:\Progra~1\Java\jdk1.7.0_25\
  3. 将证书导入到 cacerts 中keytool
  4. 确保证书存在keytool-list.

我试图重复步骤 3InstallCert确保我没有搞砸任何事情。

上述方法没有解决我的问题,所以我尝试以编程方式进行:

System.setProperty("javax.net.ssl.trustStore",
"C:/Progra~1/Java/jdk1.7.0_25/jre/lib/security/cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

仍然没有任何运气。我被卡住了,不太确定从这里往哪个方向走。

堆栈跟踪:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
    at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1886)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
    at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
    at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
    at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
    at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
    at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
    at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
    at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1323)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:515)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
    at util.SMS.send(SMS.java:93)
    at domain.ActivationSMSSenderMain.sendActivationMessagesToCustomers(ActivationSMSSenderMain.java:80)
    at domain.ActivationSMSSenderMain.<init>(ActivationSMSSenderMain.java:44)
    at domain.ActivationSMSSenderMain.main(ActivationSMSSenderMain.java:341)
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)
    at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
    at sun.security.validator.Validator.validate(Validator.java:260)
    at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)
    at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)
    at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)
    at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)
    ... 14 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)
    at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)
    at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)
    ... 20 more

更新:

两者 System.out.println(System.getProperty("javax.net.ssl.trustStore"));System.out.println(System.getProperty("javax.net.ssl.keyStore"));

返回null

4

6 回答 6

38

我遇到了类似的问题,其原因和解决方案都相当简单:

主要原因:没有使用 keytool 导入正确的证书

注意:仅导入根 CA(或您自己的自签名)证书

注意:不要导入中间的非证书链根证书

imap.gmail.com 的解决方案示例

  1. 确定根 CA 证书:

    openssl s_client -showcerts -connect imap.gmail.com:993

    在这种情况下,我们发现根 CA 是Equifax Secure Certificate Authority

  2. 下载根 CA 证书
  3. 通过与此处找到的信息进行比较,验证下载的证书是否具有正确的 SHA-1 和/或 MD5 指纹

  4. 导入证书javax.net.ssl.trustStore

    keytool -import -alias gmail_imap -file Equifax_Secure_Certificate_Authority.pem
  5. 运行你的java代码
于 2014-07-11T19:46:39.853 回答
10

您已将证书导入 JDK 中提供的 JRE 的信任库,但您正在运行直接安装的 JRE 的 java.exe。

编辑

为了清楚起见,并解决下面评论中的误解,您需要将证书导入您打算使用的 JREcacerts文件中,这将很少是 JDK 中的一个,因为客户赢了通常没有 JDK。以下评论中的任何其他建议都应被忽略,因为这里没有表达我的意图。

一个更好的解决方案是创建您自己的信任库,从cacerts文件的副本开始,并明确告诉 Java 通过系统属性使用该信任库javax.net.ssl.trustStore.

您应该将构建这一部分作为构建过程的一部分,以便及时了解cacerts由 JDK 升级引起的文件更改。

于 2013-08-26T10:12:21.143 回答
3

如果您使用的是 Eclipse,只需在 Eclipse Windows--> 首选项---->java---> 已安装的 JRE中交叉检查指向当前的 JRE 和您配置证书的 JRE。如果不删除 JRE 并添加安装证书的 jre

于 2016-02-10T07:21:15.460 回答
0

根据您的 pastebin,您需要将proxy.tkk.com证书添加到信任库。

于 2013-08-26T10:05:12.930 回答
0

在 Windows 上,您可以尝试以下步骤:

  1. 从网站下载根 CA 证书。
  2. 在包含 JRE的目录中查找文件 jssecacerts /lib/security(您可以使用命令System.out.println(System.getProperty("java.home");查找包含当前 JRE 的文件夹)。备份文件。
  3. 下载一个程序portecle
  4. 在 portecle 中打开 jssecacerts 文件。
  5. 输入密码:changeit。
  6. 使用 porticle 导入下载的证书(工具 > 导入受信任的证书)。
  7. 单击保存。
  8. 替换原始文件 jssecacerts.
于 2019-03-20T20:09:23.627 回答
-2

在我的情况下,通过安装Oracle 的官方 JDK 10解决了这个问题,而不是使用我的 Ubuntu 附带的默认 OpenJDK。这是我遵循的指南:https ://www.linuxupprising.com/2018/04/install-oracle-java-10-in-ubuntu-or.html

于 2018-06-21T21:00:50.130 回答