我收到以下错误
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
当连接谷歌 Map 地理编码API时 . 我能够在一个简单的主程序中重现错误 . 以下是使用此测试程序重现它的方法:
import javax.net.ssl.*;
import java.net.*;
import java.io.*;
public class Main {
public static void main(String[] args) {
try {
String httpsURL = "https://maps.googleapis.com/maps/api/geocode/json?address=49+874%2Cla+plata%2Cbuenos+aires%2Cargentina&sensor=false&key=AIzaSyAJ1QS0C6KjiWajwxx4jUb_Jz0b8lBZyyE";
URL myurl = new URL(httpsURL);
HttpsURLConnection con = (HttpsURLConnection) myurl.openConnection();
InputStream ins = con.getInputStream();
InputStreamReader isr = new InputStreamReader(ins);
BufferedReader in = new BufferedReader(isr);
String inputLine;
while ((inputLine = in.readLine()) != null) {
System.out.println(inputLine);
}
in.close();
} catch (IOException ex) {
System.err.println(ex.getMessage());
}
}
}
保存为Main.java编译它
javac Main.java
运行
java Main
我得到了正常的结果(打印了json响应) .
但是如果我从这里创建一个带有证书的TrustStore:https://www.clic.gob.ar/我下载了SSL证书并将其保存为名为clic.gob.ar的X.509 PEM文件
创建一个名为keystorefede.jks的新TrustStore
keytool -import -file clic.gob.ar -alias clicCert -keystore keystorefede.jks
我给了它密码tompass . 我可以列出来
keytool -list -keystore keystorefede.jks -storepass tompass
TipodeAlmacéndeClaves:JKS ProveedordeAlmacéndeClaves:SUN
Sualmacéndeclaves contiene 1 entrada
cliccert,01/08/2014,trustedCertEntry,Huella Digital de Certificado(SHA1):15:3B:67:EE:51:C9:F2:CF:68:7C:24:51:A4:B6:6E:AE: EA:61:D5:B5
现在使用trustStore运行相同的程序
java -Djavax.net.ssl.trustStore=/home/fede/keystorefede.jks -Djavax.net.ssl.trustStorePassword=tompass Main sun.security.validator.ValidatorException:PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到所请求目标的有效证书路径
Java 8和Java 7都会发生这种情况 .
java版“1.8.0_11”
Java(TM)SE运行时环境(版本1.8.0_11-b12)
Java HotSpot(TM)64位服务器VM(内置25.11-b03,混合模式)
该问题最初是在Tomcat内部运行的Web应用程序中发现的 . 证书必须在Tomcat的命令行中的TrustStore中用于另一个请求;信任商店没有谷歌相关的,只有一个证书 . 如果我将Google的证书添加到信任存储区,那么问题就解决了,但这不是一个合适的解决方案 . Google不接受使用API密钥通过http进行地理编码请求 . -Djavax.net.ssl.trustStore覆盖所有根CA的Java知道吗?
2 回答
实际上,javax.net.ssl.trustStore属性会使用您提供的JVM覆盖JVM的所有已知证书 .
默认情况下,JVM附带一个trustStore,预先填充了相当多的众所周知的权限(Oracle JVM将其存储在JAVA_HOME / jre / lib / security / cacerts中) .
默认情况下,此keyStore将被JSSE(Java安全套接字扩展)用作默认值,以验证SSL握手 .
javax.net.ssl.trustStore环境变量会覆盖此默认位置,这意味着其内容不再相关 .
展望未来,您有几个解决方案:
一个是:你 Build 自己的JKS,包含你需要的一切 .
其次是:您将证书添加到JVM的默认文件中 .
第三是:你编码 .
Getting your own SSL Context "by hand" ?
基础HTTPURLConnection的套接字由
SocketFactory实例组成 . 当涉及HTTPS时,会发生的情况是您需要使用监视器初始化您自己的SSLSocketFactory,并且在连接之前将SocketFactory与HTTPURLConnection相关联:请参阅http://docs.oracle.com/javase/7/docs/api/javax/net/ssl/HttpsURLConnection.html#setSSLSocketFactory%28javax.net.ssl.SSLSocketFactory%29这是这样的 . 首先,您需要加载KeyStore(包含证书的JKS文件,用于缩短的异常处理):
获得KeyStore实例后,您可以构建一个“TrustManager”,它将使用在Keystore中声明为受信任的任何证书作为有效的信任锚 .
您可以对SSL KeyManagerFactory执行相同的操作(如果使用双向SSL),则模式完全相同 . 一旦有了TrustManagerFactory和KeyManagerFactory实例,就可以构建一个SSLSocketFactory .
此时,你可以做到
该应用程序找不到合适的信任库 . 您可以这样定义:
System.setProperty("javax.net.ssl.trustStore", ".\\src\\truststore.jks"); System.setProperty("javax.net.ssl.trustStorePassword", "psw123");