PKIX chemin de bâtiment échoué dans l'application Java

J'ai été mal pendant presque une semaine pour avoir mes applications en cours d'exécution après le déplacement de mes applications de Windows 2000 vers Windows Server 2008 R2.

La procédure:

  1. Installé le JDK Java 1.7.0_25
  2. Définir une variable d'environnement système JAVA_HOME à C:\Progra~1\Java\jdk1.7.0_25\
  3. Importé le certificat dans le fichier cacerts avec keytool
  4. Veillé à ce que le certificat existe dans keytool avec -list.

J'ai essayé de répéter étape 3 avec InstallCert pour s'assurer que je n'ai pas loupé quelque chose jusqu'.

Les méthodes ci-dessus n'a pas résolu mon problème, j'ai donc essayé de le faire par programmation:

System.setProperty("javax.net.ssl.trustStore",
"C:/Progra~1/Java/jdk1.7.0_25/jre/lib/security/cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "changeit");

Toujours sans un peu de chance. Je suis coincé et pas tout à fait sûr de la direction pour aller à partir d'ici.

Trace de la pile:

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1886)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)
at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1341)
at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:153)
at sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)
at sun.security.ssl.Handshaker.process_record(Handshaker.java:804)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1016)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1312)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1339)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1323)
at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:515)
at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
at sun.net.www.protocol.https.HttpsURLConnectionImpl.connect(HttpsURLConnectionImpl.java:153)
at util.SMS.send(SMS.java:93)
at domain.ActivationSMSSenderMain.sendActivationMessagesToCustomers(ActivationSMSSenderMain.java:80)
at domain.ActivationSMSSenderMain.<init>(ActivationSMSSenderMain.java:44)
at domain.ActivationSMSSenderMain.main(ActivationSMSSenderMain.java:341)
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)
at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1323)
... 14 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)
... 20 more

Mise à JOUR:

À la fois
System.out.println(System.getProperty("javax.net.ssl.trustStore"));
et
System.out.println(System.getProperty("javax.net.ssl.keyStore"));

retourne null.

  • avez-vous ajouté votre certificats intermédiaires?
  • Je ne suis pas tout à fait sûr que vous voulez dire, mais je n'ai pas touché aux certificats par défaut dans le fichier cacerts.
  • intermédiaire cert se réfère à votre cert émetteur. si votre cert émetteur n'est pas digne de confiance, votre cert est également non fiables. par exemple, pour authentifier google.com vous devrez également ajouter Google Internet de l'Autorité et de GeoTrust pour truststore.
  • Donc, si j'ouvre le Certification path dans Chrome, je vois un arbre structure Geotrust Global CA -> RapidSSL CA -> *.thedomain.com. J'ai besoin d'ajouter les deux premières aswell?
  • oui, ils sont nécessaires.
  • Le GlobalCA a déjà été ajouté, mais RapidSSL manquait. Malheureusement, il n'a pas de résoudre mon problème..
  • Pouvez-vous montrer le résultat de votre programme lorsque vous l'exécutez avec -Djavax.net.debug=all?
  • beny23, la sortie est assez longue, où dois-je inclure ce?
  • J'ai téléchargé le dump sur pastebin pastebin.com/W3Akw4M9
  • Magdaléno j'ai essayé toutes les étapes pour importer des tiers certificat dans le fichier cacerts comme vous l'avez mentionné, cependant, je reçois toujours la même Exception

InformationsquelleAutor JavaCake | 2013-08-22
  1. 33

    J'ai couru dans des problèmes similaires dont la cause et la solution s'est avéré à la fois être plutôt simple:

    Principale Cause: n'A pas d'importer le bon cert à l'aide de keytool

    REMARQUE: Uniquement l'importation d'autorité de certification racine (ou de votre propre auto-signé) certificats

    REMARQUE: ne pas importer un intermédiaire, non de la chaîne de certification racine cert

    Exemple de Solution pour imap.gmail.com

    1. Déterminer la racine CA cert: 

      openssl s_client -showcerts -connect imap.gmail.com:993

      dans ce cas, nous trouvons l'autorité de certification racine est Equifax Secure Autorité de certification

    2. Télécharger autorité de certification racine cert.
    3. Vérifier téléchargé cert a bon SHA-1 ou MD5 empreintes digitales en comparant avec info trouvé ici

    4. Importation cert pour javax.net.ssl.trustStore: 

      keytool -import -alias gmail_imap -file Equifax_Secure_Certificate_Authority.pem
    5. Exécutez votre code java
    • Dans le cas où vous avez beaucoup de JRE installé, vous pouvez spécifier le fichier de clés que vous souhaitez importer le certificat de l'ajout de -keystore path/to/jre/lib/security/cacerts à la commande à l'étape 4.
    InformationsquelleAutor jb1
  2. 9

    Vous avez importé le certificat dans le truststore de la JRE fourni avec le JDK, mais vous sont en cours d'exécution de la java.exe de la JRE installé directement.

    MODIFIER

    Pour plus de clarté, et pour résoudre le bourbier de l'incompréhension dans le commentaire ci-dessous, vous devez importer le certificat dans le cacerts fichier de la JRE vous avez l'intention d'utiliser, et de que rarement, si jamais l'un d'expédition à l'intérieur de la JDK, parce que les clients ne peuvent pas l'habitude d'avoir un JDK. Rien dans le commentaire ci-dessous suggèrent le contraire doit être ignoré comme exprimant pas mon intention ici.

    Une bien meilleure solution serait de créer votre propre truststore, en commençant avec une copie de la cacerts fichier, et spécifiquement dire Java pour l'utiliser par le biais du système de la propriété javax.net.ssl.trustStore.

    Vous devriez faire de la construction de cette partie de votre processus de création, afin de garder à jour avec les modifications que je le cacerts fichier causés par le JDK mises à jour.

    • Mais l'erreur est clairement un certificat manquant, n'est-il pas?
    • Oui, parce que vous avez importé le certificat dans un truststore et que vous utilisez un autre. Faire lire la réponse.
    • EJP, je crois que je comprends maintenant. Mais j'ai essayé d'initialiser les certificats en cacerts aswell, sans aucune différence.
    • tous les JRE a un cacerts de magasin de clés. Ce EJP est en train de vous dire, c'est de faire en sorte que lorsque vous exécutez le programme de la JRE du JDK (avec le cacerts où le certificat est importé) est utilisé et non pas une autre JRE installé sur votre machine. Utilisation System.getProperty("java.runtime.version") pour vérifier si c'est réellement le cas
    • Selon la pleine stacktrace il ressemble à droite. J'ai signalé cette erreur à notre servicedesk, parce que theres pas beaucoup que je peux faire maintenant. Tous les certificats qui doivent être nécessaires sont initialisés.
    • Absolument pas. Je n'ai rien dit de la sorte. Il a importé le certificat dans le mauvais truststore pour le JRE, il est en cours d'exécution. La bonne réponse serait de l'importer dans le bon truststore, de ne pas modifier le JRE utilisé. Pas chaque installation aurait même un JDK.
    • Je n'ai pas proposé de changer la JRE. Je viens élaboré sur votre réponse
    • Vous avez suggéré d'utiliser un spécifique JRE, qui est l'exact opposé de ce que j'ai écrit ci-dessus. Je le répète. Vous n'êtes pas 'élaboration de sur la" mais en les détournant de ma réponse. De plus, je le cite: "ce que l'EJP est en train de vous dire, c'est ..." Par cette formule que vous avez mis des mots dans ma bouche que je n'ai pas dit, et vous ont attribué des points de vue à moi quand ils sont votre propre opinion, pas la mienne. Ne pas le faire. Si vous souhaitez publier votre propre réponse aller de l'avant, mais que vous n'avez pas la prétention d'ajouter votre propre touche à ce que j'ai clairement écrit ici. Je ne suis pas dans le besoin d'être mal interprété et mal représentés ici par vous.
    • Je ne parviens toujours pas à comprendre d'où le "vous suggérons d'utiliser un spécifique JRE" vient de, mais de toute façon. Je pensais que j'étais l'élaboration de votre réponse, mais si ce n'était pas le cas, alors ta remarque est assez juste. Si j'ai mal compris ce que vous avez dit ou si je l'ai offensé en aucune manière de vous s'il vous plaît accepter mes excuses les plus sincères. Ce n'était pas mon intention
    • Vous avez écrit, et je cite: "assurez-vous que lorsque vous exécutez le programme de la JRE du JDK (avec le fichier cacerts où le certificat est importé) est utilisé et non pas une autre JRE installé sur votre machine". J'ai vraiment ne devraient pas avoir à citer vos propres mots à vous.

    InformationsquelleAutor user207421
  3. 3

    Si vous utilisez Eclipse, il suffit de traverser vérifier dans Eclipse Windows--> préférences---->java---> installé Jre pointe du JRE courant et le JRE où vous avez configuré votre certificat. Si pas retirer le JRE et ajouter le jre où votre certificat est installé

    InformationsquelleAutor Mohammed Irfan Tirupattur
  4. 0

    Par votre pastebin, vous devez ajouter le proxy.tkk.com certificat pour le truststore.

    • Savez-vous comment je peux récupérer le certificat d'proxy.tkk.com? C'est un proxy local. Je suppose que InstallCert occupé de tout certificat de dépendances.
    • Si toutes les connexions passent par un SSL-inspection de proxy, vous aurez besoin du générique de certificat qui est la signature de toutes les pseudo-certs pour les sites visités. C'est probablement installés dans le navigateur de confiance magasins, ou vous devriez être en mesure d'obtenir à partir de l'admin proxy. Si vous n'êtes pas passer par le proxy pour ces connexions, il vous suffit de faire la "corriger" le certificat pour les sites que vous essayez de confiance, qui semblent être émis par RapidSSL et pas proxy.tkk.com. Les administrateurs du serveur peuvent fournir ces, ou vous pouvez les obtenir à partir de l'extérieur de l'environnement de proxy.
    • Dans mes autres applications sur le web qui ne nécessitent pas de SSL-je besoin pour utiliser le proxyHost paramètre pour obtenir l'accès, mais ce n'est pas suffisant dans ce cas je suppose.
    • Ahhhh, et vous n'êtes pas le faire ici? C'est, allez-vous autour de la proxy pour cette connexion?
    • Sans le proxyHost paramètre-je obtenir un HTTP 407.
    InformationsquelleAutor Sean Baker
  5. 0

    Dans mon cas, le problème a été résolu par l'installation de Oracle JDK officiel 10 plutôt que d'utiliser la valeur par défaut OpenJDK qui est venu avec mon Ubuntu. C'est le guide, j'ai suivi: https://www.linuxuprising.com/2018/04/install-oracle-java-10-in-ubuntu-or.html

    InformationsquelleAutor acohen
  6. 0

    Sur Windows vous pouvez essayer ces étapes:

    1. Télécharger un certificat CA racine du site web.
    2. Trouver un fichier jssecacerts dans le répertoire /lib/security avec le JRE (vous pouvez utiliser un système comand System.out.println(System.getProperty("java.home"); pour trouver le dossier avec le JRE courant). Faire une copie de sauvegarde du fichier.
    3. Télécharger un programme portecle.
    4. Ouvrir le jssecacerts fichier dans portecle.
    5. Entrez le mot de passe: changeit.
    6. Importer le certificat téléchargé avec porticle (Outils > Importation de Certificat de Confiance).
    7. Cliquez Sur Enregistrer.
    8. Remplacer le fichier d'origine jssecacerts.
    InformationsquelleAutor Ilya Lysenko