6

我有一个来自供应商的示例命令行 java 应用程序;它取决于 SSL 身份验证。我有供应商的证书,我可以在我的 java 7 cacerts 文件(windows,c:\program files\java\jdk1.7.0_07\jre\lib\security\cacerts)中看到它们。如果我打开 java 8 cacerts 文件,它们不存在(c:\program files\java\jre1.8.0_66\lib\security\cacerts)

如果我设置一个路径以便首先使用 java 8,则程序可以工作。如果我更改路径以便首先使用 java 7,则程序将失败并出现认证错误:

C:\project\tryCerts\Demo2>path=c:\program files\java\jdk1.7.0_07\bin;c:\program files\java\jre1.8.0_66\bin


C:\project\tryCerts\Demo2>java -jar vendorCmd.jar user1 password2 environment3
Dec 22, 2015 11:11:35 AM [com.sun.xml.ws.policy.jaxws.PolicyConfigParser]  parse
INFO: WSP5018: Loaded WSIT configuration from file: jar:file:/C:/project/tryCerts/Demo2/vendorCmd/dist/vendorCmd.jar!/META-INF/wsit-client.xml.
Unable to log in: com.sun.xml.ws.client.ClientTransportException: HTTP transport error: javax.net.ssl.SSLHandshakeException: sun.security.validator.Va
lidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to re
quested target

C:\project\tryCerts\Demo2>path=c:\program files\java\jre1.8.0_66\bin;c:\program files\java\jdk1.7.0_07\bin

C:\project\tryCerts\Demo2>java -jar vendorCmd.jar acc03\acc03_ws_user accwbS3rv!ceS acc03_p_production
Dec 22, 2015 11:21:34 AM [com.sun.xml.ws.policy.jaxws.PolicyConfigParser]  parse
INFO: WSP5018: Loaded WSIT configuration from file: jar:file:/C:/project/tryCerts/Demo2/vendorCmd/dist/vendorCmd.jar!/META-INF/wsit-client.xml.
logged in
Dec 22, 2015 11:21:35 AM [com.sun.xml.ws.policy.jaxws.PolicyConfigParser]  parse
INFO: WSP5018: Loaded WSIT configuration from file: jar:file:/C:/project/tryCerts/Demo2/vendorCmd/dist/vendorCmd.jar!/META-INF/wsit-client.xml.
Signed Info:org.jcp.xml.dsig.internal.dom.DOMSignedInfo@3f071328
AccountNumber: 279105/ Firstname: null/ LastName: null
AccountNumber: 1005118/ Firstname: null/ LastName: COMPANY1
AccountNumber: 2102765/ Firstname: null/ LastName: COMPANY2
AccountNumber: 2101373/ Firstname: null/ LastName: COMPANY3
AccountNumber: 2119664/ Firstname: null/ LastName: COMPANY4
AccountNumber: 2119668/ Firstname: null/ LastName: ET CETERA

C:\project\tryCerts\Demo2>dir/s cacerts
 Volume in drive C is OS
 Volume Serial Number is 9896-211D
File Not Found

C:\project\tryCerts\Demo2>

这与我的预期完全相反——Java 7 文件夹中的 cacerts 文件具有供应商证书链,而 java 8 则没有。然而,在 Java 7 上运行该程序失败并出现认证错误,并且在 8 上运行它成功。

谁能告诉我应该寻找什么来解释这一点?

4

1 回答 1

9

要确定正在使用的信任库,而不必求助于strace(linux) 和process explorer(windows) 之类的工具,您可以将调试标志传递-Djavax.net.debug=ssl给 java 命令行,它会转储所有与 ssl 相关的调试信息(我all在原文中提到评论,但这会给输出增加更多噪音):

java -Djavax.net.debug=ssl -jar vendorCmd.jar user1 password2 environment3

在调试输出的前 10 行中,将有一行:

trustStore is: <path to>cacerts

这表示正在使用的信任库。

有了这个=ssl选项,它还会转储所有被添加到 JVM 认为信任的证书列表中的受信任证书。这可用于验证您认为在信任库中的证书是否实际上在信任库中 - 在这种情况下,您应该能够在列表中看到供应商的证书。

JSSE 参考指南中详细介绍了javax.net.debug 的调试选项的完整列表。

于 2015-12-22T17:45:03.770 回答