java - 即使证书在浏览器中有效,Java 也无法验证证书
问题描述
我有一个使用 java 调用的 GET API,我使用 feign 客户端来调用这个 API。
当我调用这个 API 时,它给出了错误:
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at java.base/sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:439)
at java.base/sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:306)
at java.base/sun.security.validator.Validator.validate(Validator.java:264)
at java.base/sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:313)
at java.base/sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:222)
at java.base/sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:129)
at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1323)
... 18 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at java.base/sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
at java.base/sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
at java.base/java.security.cert.CertPathBuilder.build(CertPathBuilder.java:297)
at java.base/sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:434)
当我在浏览器中点击相同的 API 时,它工作正常。浏览器不会显示为不受信任的连接。
来自Firefox的证书信息:
我在 docker image 中运行我的应用程序openjdk:11-slim。
为什么即使证书有效,java也无法验证证书?
解决方案
这可能是因为它们没有添加到您的 cacerts -
您可以尝试从下面的链接运行 installCerts,以获取您尝试从中下载证书或由于证书问题而不允许访问的站点的 URL。
java --source 11 InstallCert.java
https://github.com/escline/InstallCert
如果它是自签名证书,请在 DockerFile 中尝试以下操作 -
FROM openjdk:11-jdk-slim
WORKDIR /opt/workdir/
#.crt file in the same folder as your Dockerfile
ARG CERT="certificate.crt"
#import cert into java
COPY $CERT /opt/workdir/
RUN keytool -importcert -file $CERT -alias $CERT -cacerts -storepass changeit -noprompt
如果您有 .cer 文件,您可以从浏览器中导出该文件。将以下内容添加到您的 DockerFile。因此,在 ssl 握手之前可以使用所需的证书。-
ADD your_ca_root.crt /usr/local/share/ca-certificates/foo.crt
RUN chmod 644 /usr/local/share/ca-certificates/foo.crt && update-ca-certificates
推荐阅读
- javascript - 如何更改 firebase 函数的环境变量 (functions.config()),而无需从 cli 重新部署该函数
- masm - 无法打开输入文件 Resources.res
- python - ModuleNotFoundError:没有名为“kivy.base Ubuntu 18.04”的模块
- c# - C#:从不同的类更改主窗口的 WindowState
- django - ACL(访问控制列表)Django
- symfony - 按术语检索特定记录
- directory - 如何获取在 Windbg 中打开的转储文件的路径?
- java - 如何制作高度相对于内容长度但宽度恒定的 JTextArea 块?
- c - 在具有最小列号的矩阵中查找前导元素
- docker - 在 docker 容器的文本编辑器中未正确显示特殊字符