it-swarm.com.ru

Java: Sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации к запрошенной цели

У меня есть класс, который будет загружать файл с сервера https. Когда я запускаю его, он возвращает много ошибок. Кажется, у меня проблема с моим сертификатом. Можно ли проигнорировать аутентификацию клиент-сервер? Если да, то как?

package com.da;

import Java.io.FileOutputStream;
import Java.io.IOException;
import Java.nio.CharBuffer;
import Java.util.concurrent.Future;

import org.Apache.http.HttpResponse;
import org.Apache.http.client.utils.URIUtils;
import org.Apache.http.impl.nio.client.DefaultHttpAsyncClient;
import org.Apache.http.nio.IOControl;
import org.Apache.http.nio.client.HttpAsyncClient;
import org.Apache.http.nio.client.methods.AsyncCharConsumer;
import org.Apache.http.nio.client.methods.HttpAsyncGet;
import org.Apache.http.nio.client.methods.HttpAsyncPost;

public class RSDDownloadFile {
    static FileOutputStream fos;

    public void DownloadFile(String URI, String Request) throws Exception
    {
        Java.net.URI uri = URIUtils.createURI("https", "176.66.3.69:6443", -1, "download.aspx",
                "Lang=EN&AuthToken=package", null);
        System.out.println("URI Query: " + uri.toString());

        HttpAsyncClient httpclient = new DefaultHttpAsyncClient();
        httpclient.start();
        try {
            Future<Boolean> future = httpclient.execute(
                    new HttpAsyncGet(uri),
                    new ResponseCallback(), null);

            Boolean result = future.get();
            if (result != null && result.booleanValue()) {
                System.out.println("\nRequest successfully executed");
            } else {
                System.out.println("Request failed");
            }              
        } 
        catch(Exception e){
            System.out.println("[DownloadFile] Exception: " + e.getMessage());
        }
        finally {
            System.out.println("Shutting down");
            httpclient.shutdown();
        }
        System.out.println("Done");  

    }

    static class ResponseCallback extends AsyncCharConsumer<Boolean> {

        @Override
        protected void onResponseReceived(final HttpResponse response) {
             System.out.println("Response: " + response.getStatusLine());
             System.out.println("Header: " + response.toString());
             try {   
                 //if(response.getStatusLine().getStatusCode()==200)
                     fos = new FileOutputStream( "Response.html" );
             }catch(Exception e){
                 System.out.println("[onResponseReceived] Exception: " + e.getMessage());
             }
        }

        @Override
        protected void onCharReceived(final CharBuffer buf, final IOControl ioctrl) throws IOException {
            try
            {
                while (buf.hasRemaining()) 
                {
                    //System.out.print(buf.get());
                    fos.write(buf.get());
                }
            }catch(Exception e)
            {
                System.out.println("[onCharReceived] Exception: " + e.getMessage());
            }
        }

        @Override
        protected void onCleanup() {
            try
            {             
                if(fos!=null)
                    fos.close();
            }catch(Exception e){
                System.out.println("[onCleanup] Exception: " + e.getMessage());         
            }
             System.out.println("onCleanup()");
        }

        @Override
        protected Boolean buildResult() {
            return Boolean.TRUE;
        }

    }
}

Ошибки:

URI Query: https://176.66.3.69:6443/download.aspx?Lang=EN&AuthToken=package
Aug 2, 2011 3:47:57 PM org.Apache.http.impl.nio.client.NHttpClientProtocolHandler exception
SEVERE: I/O error: General SSLEngine problem
javax.net.ssl.SSLHandshakeException: General SSLEngine problem
    at com.Sun.net.ssl.internal.ssl.Handshaker.checkThrown(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.SSLEngineImpl.checkTaskThrown(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.SSLEngineImpl.writeAppRecord(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.SSLEngineImpl.wrap(Unknown Source)
    at javax.net.ssl.SSLEngine.wrap(Unknown Source)
    at org.Apache.http.impl.nio.reactor.SSLIOSession.doHandshake(SSLIOSession.Java:154)
    at org.Apache.http.impl.nio.reactor.SSLIOSession.isAppInputReady(SSLIOSession.Java:276)
    at org.Apache.http.impl.nio.client.InternalClientEventDispatch.inputReady(InternalClientEventDispatch.Java:79)
    at org.Apache.http.impl.nio.reactor.BaseIOReactor.readable(BaseIOReactor.Java:161)
    at org.Apache.http.impl.nio.reactor.AbstractIOReactor.processEvent(AbstractIOReactor.Java:335)
    at org.Apache.http.impl.nio.reactor.AbstractIOReactor.processEvents(AbstractIOReactor.Java:315)
    at org.Apache.http.impl.nio.reactor.AbstractIOReactor.execute(AbstractIOReactor.Java:275)
    at org.Apache.http.impl.nio.reactor.BaseIOReactor.execute(BaseIOReactor.Java:104)
    at org.Apache.http.impl.nio.reactor.AbstractMultiworkerIOReactor$Worker.run(AbstractMultiworkerIOReactor.Java:542)
    at Java.lang.Thread.run(Unknown Source)
Caused by: javax.net.ssl.SSLHandshakeException: General SSLEngine problem
    at com.Sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.SSLEngineImpl.fatal(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.Handshaker.fatalSE(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.ClientHandshaker.serverCertificate(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.ClientHandshaker.processMessage(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.Handshaker.processLoop(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.Handshaker$1.run(Unknown Source)
    at Java.security.AccessController.doPrivileged(Native Method)
    at com.Sun.net.ssl.internal.ssl.Handshaker$DelegatedTask.run(Unknown Source)
    at org.Apache.http.impl.nio.reactor.SSLIOSession.doHandshake(SSLIOSession.Java:180)
    ... 9 more
Caused by: Sun.security.validator.ValidatorException: PKIX path building failed: Sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at Sun.security.validator.PKIXValidator.doBuild(Unknown Source)
    at Sun.security.validator.PKIXValidator.engineValidate(Unknown Source)
    at Sun.security.validator.Validator.validate(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.X509TrustManagerImpl.checkServerTrusted(Unknown Source)
    at com.Sun.net.ssl.internal.ssl.JsseX509TrustManager.checkServerTrusted(Unknown Source)
    ... 16 more
Caused by: Sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at Sun.security.provider.certpath.SunCertPathBuilder.engineBuild(Unknown Source)
    at Java.security.cert.CertPathBuilder.build(Unknown Source)
    ... 21 more
onCleanup()

[DownloadFile] Exception: javax.net.ssl.SSLHandshakeException: General SSLEngine problem
Shutting down
Done
203
neztreh

Проблема появляется, когда ваш сервер имеет самозаверяющий сертификат. Чтобы обойти это, вы можете добавить этот сертификат в список доверенных сертификатов вашей JVM. 

В этой статье author описывает, как получить сертификат из вашего браузера и добавить его в файл cacerts вашей JVM. Вы можете отредактировать файл Java_HOME/jre/lib/security/cacerts или запустить приложение с параметром -Djavax.net.ssl.trustStore. Проверьте, какой JDK/JRE вы тоже используете, поскольку это часто приводит к путанице.

См. Также: Как разрешаются имена серверов сертификатов SSL/Могу ли я добавить альтернативные имена с помощью keytool? Если вы столкнулись с исключением Java.security.cert.CertificateException: No name matching localhost found.

175
Maxim Mazin

Вот что у меня надёжно работает на macOS. Обязательно замените example.com и 443 фактическим именем хоста и портом, к которому вы пытаетесь подключиться, и укажите собственный псевдоним. Первая команда загружает предоставленный сертификат с удаленного сервера и сохраняет его локально в формате x509. Вторая команда загружает сохраненный сертификат в доверенное хранилище SSL Java.

openssl x509 -in <(openssl s_client -connect example.com:443 -prexit 2>/dev/null) -out ~/example.crt
Sudo keytool -importcert -file ~/example.crt -alias example -keystore $(/usr/libexec/Java_home)/jre/lib/security/cacerts -storepass changeit
123
Gabe Martin-Dempesy

У меня была та же проблема с действующим подписанным сертификатом подстановочного знака от Symantec.

Сначала попробуйте запустить ваше Java-приложение с помощью -Djavax.net.debug = SSL, чтобы увидеть, что на самом деле происходит.

Я закончил тем, что импорт промежуточного сертификата, что привело к разрыву цепочки сертификатов.

Я загрузил недостающий промежуточный сертификат из symantec (ссылку на скачивание отсутствующего сертификата можно найти в журнале рукопожатия ssl: http://svrintl-g3-aia.verisign.com/SVRIntlG3.cer в моем случае) ,.

И я импортировал сертификат в хранилище ключей Java. После импорта промежуточного сертификата мой шаблонный сертификат ssl наконец заработал:

keytool -import -keystore ../jre/lib/security/cacerts -trustcacerts -alias "VeriSign Class 3 International Server CA - G3" -file /pathto/SVRIntlG3.cer
38
Stephan Oudmaijer
  1. Экспортируйте сертификат SSL с помощью Firefox. Вы можете экспортировать его, нажав URL-адрес в браузере, а затем выберите опцию для экспорта сертификата. Давайте предположим, что имя сертификата файла your.ssl.server.name.crt
  2. Перейдите к своему JRE_HOME/bin или JDK/JRE/bin
  3. Введите команду 
  4. keytool -keystore ..\lib\security\cacerts -import -alias your.ssl.server.name -file .\relative-path-to-cert-file\your.ssl.server.name.crt
  5. Перезапустите ваш процесс Java 
30
Robin

Цитирование из Больше нет «невозможно найти действительный путь сертификации к запрошенной цели»

при попытке открыть SSL-соединение с хостом, используя JSSE. Обычно это означает, что сервер использует тестовый сертификат (возможно, сгенерированный с помощью keytool), а не сертификат от известного коммерческого центра сертификации, такого как Verisign или GoDaddy. В этом случае веб-браузеры отображают диалоговые окна с предупреждениями, но, поскольку JSSE не может предполагать присутствие интерактивного пользователя, он просто выдает исключение по умолчанию.

Проверка сертификата является очень важной частью безопасности SSL, но я не пишу эту запись, чтобы объяснить детали. Если вы заинтересованы, вы можете начать с чтения википедии. Я пишу эту запись, чтобы показать простой способ общения с хостом с помощью тестового сертификата, если вы действительно этого хотите.

По сути, вы хотите добавить сертификат сервера в хранилище ключей с вашими доверенными сертификатами

Попробуйте код, предоставленный там. Это может помочь.

17
Nishant

Ответ @Gabe Martin-Dempesy мне помог. И я написал небольшой сценарий, связанный с этим. Использование очень просто.

Установить сертификат с хоста: 

> Sudo ./Java-cert-importer.sh example.com

Удалить сертификат, который уже установлен.

> Sudo ./Java-cert-importer.sh example.com --delete

Java-cert-importer.sh

#!/usr/bin/env bash

# Exit on error
set -e

# Ensure script is running as root
if [ "$EUID" -ne 0 ]
  then echo "WARN: Please run as root (Sudo)"
  exit 1
fi

# Check required commands
command -v openssl >/dev/null 2>&1 || { echo "Required command 'openssl' not installed. Aborting." >&2; exit 1; }
command -v keytool >/dev/null 2>&1 || { echo "Required command 'keytool' not installed. Aborting." >&2; exit 1; }

# Get command line args
Host=$1; port=${2:-443}; deleteCmd=${3:-${2}}

# Check Host argument
if [ ! ${Host} ]; then
cat << EOF
Please enter required parameter(s)

usage:  ./Java-cert-importer.sh <Host> [ <port> | default=443 ] [ -d | --delete ]

EOF
exit 1
fi;

if [ "$Java_HOME" ]; then
    javahome=${Java_HOME}
Elif [[ "$OSTYPE" == "linux-gnu" ]]; then # Linux
    javahome=$(readlink -f $(which Java) | sed "s:bin/Java::")
Elif [[ "$OSTYPE" == "darwin"* ]]; then # Mac OS X
    javahome="$(/usr/libexec/Java_home)/jre"
fi

if [ ! "$javahome" ]; then
    echo "WARN: Java home cannot be found."
    exit 1
Elif [ ! -d "$javahome" ]; then
    echo "WARN: Detected Java home does not exists: $javahome"
    exit 1
fi

echo "Detected Java Home: $javahome"

# Set cacerts file path
cacertspath=${javahome}/lib/security/cacerts
cacertsbackup="${cacertspath}.$$.backup"

if ( [ "$deleteCmd" == "-d" ] || [ "$deleteCmd" == "--delete" ] ); then
    Sudo keytool -delete -alias ${Host} -keystore ${cacertspath} -storepass changeit
    echo "Certificate is deleted for ${Host}"
    exit 0
fi

# Get Host info from user
#read -p "Enter server Host (E.g. example.com) : " Host
#read -p "Enter server port (Default 443) : " port

# create temp file
tmpfile="/tmp/${Host}.$$.crt"

# Create Java cacerts backup file
cp ${cacertspath} ${cacertsbackup}

echo "Java CaCerts Backup: ${cacertsbackup}"

# Get certificate from speficied Host
openssl x509 -in <(openssl s_client -connect ${Host}:${port} -prexit 2>/dev/null) -out ${tmpfile}

# Import certificate into Java cacerts file
Sudo keytool -importcert -file ${tmpfile} -alias ${Host} -keystore ${cacertspath} -storepass changeit

# Remove temp certificate file
rm ${tmpfile}

# Check certificate alias name (same with Host) that imported successfully
result=$(keytool -list -v -keystore ${cacertspath} -storepass changeit | grep "Alias name: ${Host}")

# Show results to user
if [ "$result" ]; then
    echo "Success: Certificate is imported to Java cacerts for ${Host}";
else
    echo "Error: Something went wrong";
fi;
17
bhdrk

Я смог заставить его работать только с кодом, то есть не нужно использовать keytool:

import com.netflix.config.DynamicBooleanProperty;
import com.netflix.config.DynamicIntProperty;
import com.netflix.config.DynamicPropertyFactory;
import org.Apache.http.client.config.RequestConfig;
import org.Apache.http.config.Registry;
import org.Apache.http.config.RegistryBuilder;
import org.Apache.http.conn.ssl.SSLContexts;
import org.Apache.http.conn.ssl.TrustStrategy;
import org.Apache.http.conn.ssl.X509HostnameVerifier;
import org.Apache.http.impl.nio.client.CloseableHttpAsyncClient;
import org.Apache.http.impl.nio.client.HttpAsyncClients;
import org.Apache.http.impl.nio.conn.PoolingNHttpClientConnectionManager;
import org.Apache.http.impl.nio.reactor.DefaultConnectingIOReactor;
import org.Apache.http.impl.nio.reactor.IOReactorConfig;
import org.Apache.http.nio.conn.NoopIOSessionStrategy;
import org.Apache.http.nio.conn.SchemeIOSessionStrategy;
import org.Apache.http.nio.conn.ssl.SSLIOSessionStrategy;

import javax.net.ssl.SSLContext;
import javax.net.ssl.SSLException;
import javax.net.ssl.SSLSession;
import javax.net.ssl.SSLSocket;
import Java.io.IOException;
import Java.security.cert.CertificateException;
import Java.security.cert.X509Certificate;

public class Test
{
    private static final DynamicIntProperty MAX_TOTAL_CONNECTIONS = DynamicPropertyFactory.getInstance().getIntProperty("X.total.connections", 40);
    private static final DynamicIntProperty ROUTE_CONNECTIONS = DynamicPropertyFactory.getInstance().getIntProperty("X.total.connections", 40);
    private static final DynamicIntProperty CONNECT_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.connect.timeout", 60000);
    private static final DynamicIntProperty SOCKET_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.socket.timeout", -1);
    private static final DynamicIntProperty CONNECTION_REQUEST_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.connectionrequest.timeout", 60000);
    private static final DynamicBooleanProperty STALE_CONNECTION_CHECK = DynamicPropertyFactory.getInstance().getBooleanProperty("X.checkconnection", true);

    public static void main(String[] args) throws Exception
    {

        SSLContext sslcontext = SSLContexts.custom()
                .useTLS()
                .loadTrustMaterial(null, new TrustStrategy()
                {
                    @Override
                    public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException
                    {
                        return true;
                    }
                })
                .build();
        SSLIOSessionStrategy sslSessionStrategy = new SSLIOSessionStrategy(sslcontext, new AllowAll());

        Registry<SchemeIOSessionStrategy> sessionStrategyRegistry = RegistryBuilder.<SchemeIOSessionStrategy>create()
                .register("http", NoopIOSessionStrategy.INSTANCE)
                .register("https", sslSessionStrategy)
                .build();

        DefaultConnectingIOReactor ioReactor = new DefaultConnectingIOReactor(IOReactorConfig.DEFAULT);
        PoolingNHttpClientConnectionManager connectionManager = new PoolingNHttpClientConnectionManager(ioReactor, sessionStrategyRegistry);
        connectionManager.setMaxTotal(MAX_TOTAL_CONNECTIONS.get());
        connectionManager.setDefaultMaxPerRoute(ROUTE_CONNECTIONS.get());

        RequestConfig requestConfig = RequestConfig.custom()
                .setSocketTimeout(SOCKET_TIMEOUT.get())
                .setConnectTimeout(CONNECT_TIMEOUT.get())
                .setConnectionRequestTimeout(CONNECTION_REQUEST_TIMEOUT.get())
                .setStaleConnectionCheckEnabled(STALE_CONNECTION_CHECK.get())
                .build();

        CloseableHttpAsyncClient httpClient = HttpAsyncClients.custom()
                .setSSLStrategy(sslSessionStrategy)
                .setConnectionManager(connectionManager)
                .setDefaultRequestConfig(requestConfig)
                .build();

        httpClient.start();

        // use httpClient...
    }

    private static class AllowAll implements X509HostnameVerifier
    {
        @Override
        public void verify(String s, SSLSocket sslSocket) throws IOException
        {}

        @Override
        public void verify(String s, X509Certificate x509Certificate) throws SSLException {}

        @Override
        public void verify(String s, String[] strings, String[] strings2) throws SSLException
        {}

        @Override
        public boolean verify(String s, SSLSession sslSession)
        {
            return true;
        }
    }
}
5
Jonas Bergström

Для тех, кто любит Debian и готовую Java:

Sudo mkdir /usr/share/ca-certificates/test/  # don't mess with other certs
Sudo cp ~/tmp/test.loc.crt /usr/share/ca-certificates/test/
Sudo dpkg-reconfigure --force ca-certificates  # check your cert in curses GUI!
Sudo update-ca-certificates --fresh --verbose

Не забудьте проверить /etc/default/cacerts для:

# enable/disable updates of the keystore /etc/ssl/certs/Java/cacerts
cacerts_updates=yes

Чтобы удалить сертификат:

Sudo rm /usr/share/ca-certificates/test/test.loc.crt
Sudo rm /etc/ssl/certs/Java/cacerts
Sudo update-ca-certificates --fresh --verbose
4
gavenkoa

Только для Windows, выполните следующие действия:

  1. В Chrome зайдите в настройки. 
  2. В настройках нажмите Показать предварительные настройки. 
  3. Под HTTPS/SSL Нажмите на Управление сертификатами. 
  4. Экспортируйте ваш сертификат. 
  5. В поиске Windows (Нажатие клавиши Windows на клавиатуре) введите Java. 
  6. Выберите (настроить Java) параметр, который откроет панель управления Java 
  7. Выберите вкладку «Безопасность» в панели управления Java. 
  8. Выберите Управление сертификатами 
  9. Нажмите Импорт 
  10. На вкладке (Пользователь) выбран тип сертификата как (Доверенные сертификаты) 
  11. Нажмите кнопку импорта и найдите загруженный сертификат и импортируйте его.
4
Praveen

Источником этой ошибки в моем экземпляре Apache 2.4 (с использованием группового сертификата Comodo) был неполный путь к подписанному корневому сертификату SHA-1. В выданном сертификате было несколько цепочек, и в цепочке, ведущей к корневому сертификату SHA-1, отсутствовал промежуточный сертификат . Современные браузеры знают, как справиться с этим, но Java 7 не справляется с этим по умолчанию (хотя в коде есть несколько запутанных способов сделать это). Результатом являются сообщения об ошибках, которые выглядят идентично случаю самозаверяющих сертификатов:

Caused by: Sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at Sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.Java:196)
    at Java.security.cert.CertPathBuilder.build(CertPathBuilder.Java:268)
    at Sun.security.validator.PKIXValidator.doBuild(PKIXValidator.Java:380)
    ... 22 more

В этом случае создается сообщение «невозможно найти действительный путь сертификации к запрошенной цели» из-за отсутствия промежуточного сертификата. Вы можете проверить, какой сертификат отсутствует, используя SSL Labs test на сервере. Как только вы найдете соответствующий сертификат, загрузите его и (если сервер находится под вашим контролем) добавьте его в комплект сертификатов. Кроме того, вы можете импортировать отсутствующий сертификат локально. Размещение этой проблемы на сервере является более общим решением проблемы.

4
vallismortis

Это также может быть вызвано использованием сертификатов GoDaddy с Java 7, которые подписаны с использованием SHA2.

Chrome и все другие браузеры начинают отказываться от сертификатов SSL, подписанных с использованием SHA1, поскольку это не так безопасно. 

Более подробную информацию о проблеме можно найти здесь , а также о том, как решить ее на вашем сервере, если вам нужно сейчас.

2
Brad Parks

AVG версии 18.1.3044 (с Windows 10) мешает моему локальному приложению Spring. 

Решение: войдите в раздел AVG, который называется «Интернет и электронная почта», и отключите «защиту электронной почты» AVG заблокирует сертификат, если сайт не защищен.

2
Insoft

ОБНОВЛЕНИЕ: То, что перезагрузка помогла, было случайно (я так надеялся, ура!). Настоящая причина проблемы заключалась в следующем: когда Gradle получает указание использовать определенное хранилище ключей, это хранилище ключей также должно содержать все официальные корневые сертификаты. В противном случае он не сможет получить доступ к библиотекам из обычных репозиториев. Что мне нужно было сделать, это:

Импортируйте самоподписанный сертификат:

keytool -import -trustcacerts -alias myselfsignedcert -file /Users/me/Desktop/selfsignedcert.crt -keystore ./privateKeystore.jks

Добавьте официальные корневые сертификаты:

keytool -importkeystore -srckeystore <Java-home>/lib/security/cacerts -destkeystore ./privateKeystore.jks

Может быть, Демон Gradle тоже помешал. Возможно, стоит убить всех работающих демонов, найденных с помощью ./gradlew --status, если все станет выглядеть мрачно.

ОРИГИНАЛЬНАЯ ПУБЛИКАЦИЯ:

Никто не поверит этому, я знаю. Тем не менее, если ничего не помогло, попробуйте: После перезагрузки моего Mac проблема исчезла. Хмм.

Справочная информация: ./gradlew jar постоянно давал мне сообщение «невозможно найти действительный путь сертификации для запрашиваемой цели»

Я застрял с самозаверяющим сертификатом, сохраненным из браузера, импортированным в privateKeystore.jks. Затем поручил Gradle работать с privateKeystore.jks:

org.gradle.jvmargs=-Djavax.net.debug=SSL -Djavax.net.ssl.trustStore="/Users/me/IntelliJ/myproject/privateKeystore.jks"  -Djavax.net.ssl.trustStorePassword=changeit

Как уже упоминалось, это работало только после перезагрузки.

2
StaticNoiseLog

У меня была та же проблема с ошибкой сертификатов, и это было из-за SNI, и у http-клиента, который я использовал, не было реализовано SNI. Таким образом, обновление версии сделало свою работу

   <dependency>
        <groupId>org.Apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.3.6</version>
    </dependency>
1
Radu Toader

У вас есть два варианта: импортировать самоподписанный сертификат в хранилище ключей Java для каждого jvm, на котором будет работать программное обеспечение, или попробовать не проверяющую фабрику ssl:

jdbc:postgresql://myserver.com:5432/mydatabasename?ssl=true&sslfactory=org.postgresql.ssl.NonValidatingFactory
1
Pradip Das

В моем случае и хранилище ключей, и хранилище доверенных сертификатов имели одинаковый сертификат, поэтому удаление хранилища доверенных сертификатов помогло. Иногда цепочка сертификатов может быть проблемой, если у вас есть несколько копий сертификатов.

0
Smart Coder

Убедитесь, что https://176.66.3.69:6443/ имеете действующий сертификат . Вы можете сначала проверить его через браузер  https not secure если он работает в браузере, он будет работать в Java.

это работает для меня

0
Amr Ibrahim

Это решило мою проблему,

Нам нужно импортировать сертификат на локальную Java. Если нет, мы могли бы получить следующее исключение.

 javax.net.ssl.SSLHandshakeException: Sun.security.validator.ValidatorException: сбой построения пути PKIX: Sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации для запрошенной цели 
 at Sun.security.ssl.Alerts.getSSLException (Alerts.Java:192) 
 в Sun.security.ssl.SSLSocketImpl.fatal (SSLSocketImpl.Java:1949) 
 в Sun.security.ssl.Handshaker.fatalSE (Handshaker.Java:302) 

SSLPOKE - это инструмент, с помощью которого вы можете проверить соединение https с вашего локального компьютера.

Команда для проверки подключения:

"%Java_HOME%/bin/Java" SSLPoke <hostname> 443
 Sun.security.validator.ValidatorException: не удалось построить путь PKIX: 
 Sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации к запрошенной цели 
 at Sun.security.validator.PKIXValidator.doBuild (PKIXValidator.Java:387) 
 at Sun.security.validator.PKIXValidator.engineValidate (PKIXValidator.Java:292) 
 at Sun.security.validator.Validator.validate (Validator.Java:260) 
 at Sun.security.ssl.X509TrustManagerImpl.validate (X509TrustManagerImpl.Java:324) 
 в Sun.security.ssl.X509TrustManagerImpl.checkTrusted (X509TrustManagerImpl.Java:229) 
 в Sun.security.ssl.X509TrustManagerImpl.checkServerTrusted (X509TrustManagerImpl.Java:124) 
 в Sun.security.ssl.ClientHandshaker.serverCertificate (ClientHandshaker.Java:1496) 
 в Sun.security.ssl.ClientHandshaker.processMessage (ClientHandshaker.Java:216) 
 at Sun.security.ssl.Handshaker.processLoop (Handshaker.Java:1026) 
 в Sun.security.ssl.Handshaker.process_record (Handshaker.Java:961) 
 в Sun.security.ssl.SSLSocketImpl.readRecord (SSLSocketImpl.Java:1062) 
 at Sun.security.ssl.SSLSocketImpl.performInitialHandshake (SSLSocketImpl.Java:1375) 
 at Sun.security.ssl.SSLSocketImpl.writeRecord (SSLSocketImpl.Java:747) 
 в Sun.security.ssl.AppOutputStream.write (AppOutputStream.Java:123) 
 в Sun.security.ssl.AppOutputStream.write (AppOutputStream.Java:138) 
 на SSLPoke.main (SSLPoke.Java:31) 
 Вызвано: Sun.security.provider.certpath.SunCertPathBuilderException: невозможно найти действительный путь сертификации к 
 запрошенная цель 
 at Sun.security.provider.certpath.SunCertPathBuilder.build (SunCertPathBuilder.Java:141) 
 at Sun.security.provider.certpath.SunCertPathBuilder.engineBuild (SunCertPathBuilder.Java:126) 
 в Java.security.cert.CertPathBuilder.build (CertPathBuilder.Java:280) 
 at Sun.security.validator.PKIXValidator.doBuild (PKIXValidator.Java:382) 
 ... еще 15 
keytool -import -alias brinternal -keystore "%Java_HOME%/jre/lib/security/cacerts" -file <cert path>

сначала будет предложено «Введите пароль хранилища ключей:» changeit - пароль по умолчанию. и, наконец, приглашение «Доверять этому сертификату? [нет]:», укажите «да», чтобы добавить сертификат в хранилище ключей.

Проверка:

C:\tools>"%Java_HOME%/bin/Java" SSLPoke <hostname> 443
Successfully connected    
0
Naveen

сначала загрузите ssl-сертификат, затем вы можете перейти по пути Java bin, выполнив следующую команду в консоли.

C:\Java\JDK1.8.0_66-X64\bin>keytool -printcert -file C:\Users\lova\openapi.cer -keystore openapistore
0
Lova Chittumuri

Вот как я смог решить проблему: http://code.naishe.in/2011/07/looks-like-article-no-more-unable-to.html

0
Bogdan Ustyak

В моем случае я использую MacOs High Sierra с Java 1.6. Файл cacert находится в другом месте, чем указано выше в ответе Гейба Мартина-Демпси. Файл cacert также уже был связан с другим местоположением (/ Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts). 

Используя FireFox, я экспортировал сертификат с соответствующего веб-сайта в локальный файл с именем «exportedCertFile.crt». Оттуда я использовал keytool для перемещения сертификата в файл cacert. Это решило проблему.

bash-3.2# cd /Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security/
bash-3.2# keytool -importcert -file ~/exportedCertFile.crt -alias example -keystore cacerts -storepass changeit
0
Alan Curtis