Не удалось найти допустимый путь сертификации для запрошенной целевой ошибки даже после импорта сертификата

У меня есть клиент Java, пытающийся получить доступ к серверу с самозаверяющим сертификатом.

Когда я пытаюсь отправить сообщение на сервер, я получаю следующую ошибку:

невозможно найти действительный путь сертификации к запрошенной цели

Проведя некоторое исследование по этому вопросу, я сделал следующее.

Сохранено доменное имя моего сервера в виде файла root.cer.
На моем сервере Glassfish JRE я запустил это:
keytool -import -alias example -keystore cacerts -file root.cer
Чтобы проверить, что сертификат был успешно добавлен в мой cacert, я сделал это:
keytool -list -v -keystore cacerts
Я вижу, что сертификат присутствует.
Затем я перезапустил Glassfish и удалил "пост".

Я все еще получаю ту же ошибку.

У меня такое чувство, что это потому, что мой Glassfish на самом деле не читает файл cacert, который я исправил, но, возможно, какой-то другой.

Кто-нибудь из вас имел эту проблему и может подтолкнуть меня в правильном направлении?

Ответ 1

К сожалению - это может быть много вещей, и множество серверов приложений и других оболочек java склонны играть со свойствами, а их "собственные" используют брелки, а что нет. Поэтому он может смотреть на нечто совершенно другое.

Короче говоря, я попробую:

java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...

чтобы узнать, помогает ли это. Вместо "всего" можно также установить его в "ssl", менеджер ключей и менеджер доверия, что может помочь в вашем случае. Если установить его на "help", на большинстве платформ будет указано что-то вроде ниже.

Независимо - убедитесь, что вы полностью понимаете разницу между хранилищем ключей (в котором у вас есть закрытый ключ и сертификат, подтверждающий вашу собственную личность) и хранилищем доверия (который определяет, кому вы доверяете), и тот факт, что ваш собственная идентичность также имеет "цепочку" доверия к корню, который отделен от любой цепи до корня, который вам нужно выяснить, "кому" вы доверяете.

all            turn on all debugging
ssl            turn on ssl debugging

The   following can be used with ssl:
    record       enable per-record tracing
    handshake    print each handshake message
    keygen       print key generation data
    session      print session activity
    defaultctx   print default SSL initialization
    sslctx       print SSLContext tracing
    sessioncache print session cache tracing
    keymanager   print key manager tracing
    trustmanager print trust manager tracing
    pluggability print pluggability tracing

    handshake debugging can be widened with:
    data         hex dump of each handshake message
    verbose      verbose handshake message printing

    record debugging can be widened with:
    plaintext    hex dump of record plaintext
    packet       print raw SSL/TLS packets

Источник: # См. http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug

Ответ 2

Вот решение, следуйте приведенной ниже ссылке Шаг за шагом:

http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/

JAVA FILE: отсутствует в блоге

/*
 * Copyright 2006 Sun Microsystems, Inc.  All Rights Reserved.
 *
 * Redistribution and use in source and binary forms, with or without
 * modification, are permitted provided that the following conditions
 * are met:
 *
 *   - Redistributions of source code must retain the above copyright
 *     notice, this list of conditions and the following disclaimer.
 *
 *   - Redistributions in binary form must reproduce the above copyright
 *     notice, this list of conditions and the following disclaimer in the
 *     documentation and/or other materials provided with the distribution.
 *
 *   - Neither the name of Sun Microsystems nor the names of its
 *     contributors may be used to endorse or promote products derived
 *     from this software without specific prior written permission.
 *
 * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
 * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
 * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 */



import java.io.*;
import java.net.URL;

import java.security.*;
import java.security.cert.*;

import javax.net.ssl.*;

public class InstallCert {

    public static void main(String[] args) throws Exception {
    String host;
    int port;
    char[] passphrase;
    if ((args.length == 1) || (args.length == 2)) {
        String[] c = args[0].split(":");
        host = c[0];
        port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
        String p = (args.length == 1) ? "changeit" : args[1];
        passphrase = p.toCharArray();
    } else {
        System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
        return;
    }

    File file = new File("jssecacerts");
    if (file.isFile() == false) {
        char SEP = File.separatorChar;
        File dir = new File(System.getProperty("java.home") + SEP
            + "lib" + SEP + "security");
        file = new File(dir, "jssecacerts");
        if (file.isFile() == false) {
        file = new File(dir, "cacerts");
        }
    }
    System.out.println("Loading KeyStore " + file + "...");
    InputStream in = new FileInputStream(file);
    KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
    ks.load(in, passphrase);
    in.close();

    SSLContext context = SSLContext.getInstance("TLS");
    TrustManagerFactory tmf =
        TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(ks);
    X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0];
    SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
    context.init(null, new TrustManager[] {tm}, null);
    SSLSocketFactory factory = context.getSocketFactory();

    System.out.println("Opening connection to " + host + ":" + port + "...");
    SSLSocket socket = (SSLSocket)factory.createSocket(host, port);
    socket.setSoTimeout(10000);
    try {
        System.out.println("Starting SSL handshake...");
        socket.startHandshake();
        socket.close();
        System.out.println();
        System.out.println("No errors, certificate is already trusted");
    } catch (SSLException e) {
        System.out.println();
        e.printStackTrace(System.out);
    }

    X509Certificate[] chain = tm.chain;
    if (chain == null) {
        System.out.println("Could not obtain server certificate chain");
        return;
    }

    BufferedReader reader =
        new BufferedReader(new InputStreamReader(System.in));

    System.out.println();
    System.out.println("Server sent " + chain.length + " certificate(s):");
    System.out.println();
    MessageDigest sha1 = MessageDigest.getInstance("SHA1");
    MessageDigest md5 = MessageDigest.getInstance("MD5");
    for (int i = 0; i < chain.length; i++) {
        X509Certificate cert = chain[i];
        System.out.println
            (" " + (i + 1) + " Subject " + cert.getSubjectDN());
        System.out.println("   Issuer  " + cert.getIssuerDN());
        sha1.update(cert.getEncoded());
        System.out.println("   sha1    " + toHexString(sha1.digest()));
        md5.update(cert.getEncoded());
        System.out.println("   md5     " + toHexString(md5.digest()));
        System.out.println();
    }

    System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
    String line = reader.readLine().trim();
    int k;
    try {
        k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
    } catch (NumberFormatException e) {
        System.out.println("KeyStore not changed");
        return;
    }

    X509Certificate cert = chain[k];
    String alias = host + "-" + (k + 1);
    ks.setCertificateEntry(alias, cert);

    OutputStream out = new FileOutputStream("jssecacerts");
    ks.store(out, passphrase);
    out.close();

    System.out.println();
    System.out.println(cert);
    System.out.println();
    System.out.println
        ("Added certificate to keystore 'jssecacerts' using alias '"
        + alias + "'");
    }

    private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

    private static String toHexString(byte[] bytes) {
    StringBuilder sb = new StringBuilder(bytes.length * 3);
    for (int b : bytes) {
        b &= 0xff;
        sb.append(HEXDIGITS[b >> 4]);
        sb.append(HEXDIGITS[b & 15]);
        sb.append(' ');
    }
    return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {

    private final X509TrustManager tm;
    private X509Certificate[] chain;

    SavingTrustManager(X509TrustManager tm) {
        this.tm = tm;
    }

    public X509Certificate[] getAcceptedIssuers() {
        throw new UnsupportedOperationException();
    }

    public void checkClientTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        throw new UnsupportedOperationException();
    }

    public void checkServerTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        this.chain = chain;
        tm.checkServerTrusted(chain, authType);
    }
    }

}

Ответ 3

Вам необходимо настроить свойства системы JSSE, в частности указать хранилище сертификатов клиента.

Через командную строку:

java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Client

или через Java-код:

import java.util.Properties;
    ...
    Properties systemProps = System.getProperties();
    systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore");
    systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks");
    systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts");
    systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore");
    System.setProperties(systemProps);
    ...

Подробнее см. подробности сайта RedHat.

Ответ 4

У меня была такая же проблема с SBT.
Он пытался получить зависимости от repo1.maven.org через ssl
но сказал, что "не смог найти действительный путь сертификации для запрошенного целевого URL".
поэтому я следил за этим постом и все еще не смог проверить соединение.
Поэтому я прочитал об этом и обнаружил, что корневого сертификата недостаточно, как это было предложено в сообщении, поэтому -
то, что работало для меня, это импорт промежуточных сертификатов CA в хранилище ключей.
Я фактически добавил все сертификаты в цепочку, и это сработало как шарм.

Ответ 5

(повторение от моего другого ответа)
Используйте утилиту cli utility keytool из дистрибутива Java для импорта (и доверия!) Необходимых сертификатов

Образец:

Из файла cli change dir to jre\bin
Проверить хранилище ключей (файл найден в каталоге jre\bin)
keytool -list -keystore..\lib\security\cacerts
Пароль изменен
Загрузите и сохраните все сертификаты в цепочке с нужного сервера.
Добавить сертификаты (прежде чем нужно удалить атрибут "только для чтения" в файле "..\lib\security\cacerts"), запустите: keytool -alias REPLACE_TO_ANY_UNIQ_NAME -import -keystore..\lib\security\cacerts -file "г:\root.crt"

случайно я нашел такой простой наконечник. Другие решения требуют использования InstallCert.Java и JDK

источник: http://www.java-samples.com/showtutorial.php?tutorialid=210

Ответ 6

Решение при переходе с JDK 8 на JDK 10

Сертификаты действительно разные
- JDK 10 имеет 80, в то время как JDK 8 имеет 151
JDK 10 был недавно добавлен certs
- https://dzone.com/articles/openjdk-10-now-includes-root-ca-certificates
- http://openjdk.java.net/jeps/319

JDK 10

[email protected]:/opt/jdk-minimal/jre/lib/security #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 80 entries

JDK 8

[email protected]:/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 151 entries

Шаги, чтобы исправить

Я удалил сертификат JDK 10 и заменил его на JDK 8
Так как я собираю Docker Images, я мог быстро сделать это, используя многоэтапные сборки
- Я создаю минимальную JRE, используя jlink как /opt/jdk/bin/jlink\--module-path/opt/jdk/jmods...

Итак, здесь различные пути и последовательность команд...

# Java 8
COPY --from=marcellodesales-springboot-builder-jdk8 /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts /etc/ssl/certs/java/cacerts

# Java 10
RUN rm -f /opt/jdk-minimal/jre/lib/security/cacerts
RUN ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts

Ответ 7

Я работаю над учебным пособием для веб-служб REST по адресу www.udemy.com (веб-службы REST Java). В примере из учебника сказано, что для того, чтобы иметь SSL, в моем проекте клиента "eclipse" должен быть каталог "trust_store", который должен содержать файл "хранилища ключей" (у нас был проект "клиента" для вызова службы и "сервисный" проект, который содержал веб-сервис REST - 2 проекта в одной рабочей области Eclipse, один клиент, другой сервис). Для простоты они сказали скопировать "keystore.jks" с сервера приложений glassfish (glassfish\domains\domain1\config\keystore.jks), который мы используем, и поместить его в эту папку "trust_store", которую они заставили меня сделать в клиентский проект. Кажется, это имеет смысл: самоподписанные сертификаты на сервере key_store будут соответствовать сертификатам на клиенте trust_store. Теперь, делая это, я получаю сообщение об ошибке, о котором упоминается в оригинальном сообщении. Я гуглил это и прочитал, что ошибка происходит из-за файла "keystore.jks" на клиенте, не содержащего доверенного/подписанного сертификата, что сертификат, который он находит, является самоподписанным.

Для ясности позвольте мне сказать, что, насколько я понимаю, "keystore.jks" содержит самоподписанные сертификаты, а файл "cacerts.jks" содержит сертификаты CA (подписанные CA). "Keystore.jks" - это "хранилище ключей", а "cacerts.jks" - "хранилище доверенных сертификатов". Как сказал выше комментатор "Bruno", "keystore.jks" является локальным, а "cacerts.jks" - для удаленных клиентов.

Итак, я сказал себе: эй, у glassfish также есть файл "cacerts.jks", который является файлом glassfish trust_store. cacerts.jsk должен содержать сертификаты CA. И, очевидно, мне нужно, чтобы в моей папке trust_store содержался файл хранилища ключей, в котором есть хотя бы один сертификат CA. Поэтому я попытался поместить файл "cacerts.jks" в созданную мной папку "trust_store" в моем клиентском проекте и изменить свойства виртуальной машины так, чтобы они указывали на "cacerts.jks" вместо "keystore.jks". Это избавило от ошибки. Я предполагаю, что все, что нужно, это сертификат CA для работы.

Это не может быть идеальным для производства, или даже для развития, за исключением просто заставить что-то работать. Например, вы можете использовать команду "keytool" для добавления сертификатов CA в файл "keystore.jks" на клиенте. Но, в любом случае, надеюсь, что это, по крайней мере, сужает возможные сценарии, которые могут происходить здесь, чтобы вызвать ошибку.

ТАКЖЕ: мой подход оказался полезным для клиента (сертификат сервера добавлен в клиент trust_store), похоже, что приведенные выше комментарии для разрешения исходного сообщения полезны для сервера (сертификат клиента добавлен в сервер trust_store). Приветствия.

Настройка проекта Eclipse:

MyClientProject
ЦСИ
тестовое задание
Системная библиотека JRE
...
trust_store
---cacerts.jks ---keystore.jks

Фрагмент из файла MyClientProject.java:

static {
  // Setup the trustStore location and password
  System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks");
  // comment out below line
  System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks");
  System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
  //System.setProperty("javax.net.debug", "all");

  // for localhost testing only
  javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() {
        public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) {
          return hostname.equals("localhost");
        }

  });
}

Ответ 8

Моя проблема заключалась в том, что на моем рабочем ноутбуке через обновление программного обеспечения был установлен броузер безопасности доступа к сети, NetSkope. Это изменило цепочку сертификатов, и я все еще не смог подключиться к серверу через мой java-клиент после импорта всей цепочки в хранилище ключей cacerts. Я отключил NetSkope и смог успешно подключиться.

Ответ 9

Проверьте, существует ли файл $JAVA_HOME/lib/security/cacerts ! В моем случае это был не файл, а ссылка на /etc/ssl/certs/java/cacerts а также ссылка на себя (ЧТО???), поэтому из-за этого JVM не может найти файл.

Решение: Скопируйте файл реальных cacerts (вы можете сделать это из другого JDK) в /etc/ssl/certs/java/ и он решит вашу проблему :)

Ответ 10

Если ваш хост находится за брандмауэром/прокси, используйте следующую команду в cmd:

keytool -J-Dhttps.proxyHost=<proxy_hostname> -J-Dhttps.proxyPort=<proxy_port> -printcert -rfc -sslserver <remote_host_name:remote_ssl_port>

Замените <proxy_hostname> и <proxy_port> на настроенный прокси-сервер HTTP. Замените <remote_host_name:remote_ssl_port> одним из удаленных хостов (в основном, url) и порта, имеющих проблему с сертификацией.

Возьмите последний напечатанный контент сертификата и скопируйте его (также скопируйте начало и конец сертификата). Вставьте его в текстовый файл и дайте ему расширение .crt. Теперь импортируйте этот сертификат в cacerts с помощью команды java keytool, и он должен работать.

keytool -importcert -file <filename>.crt -alias randomaliasname -keystore %JAVA_HOME%/jre/lib/security/cacerts -storepass changeit

Ответ 11

Давайте скажем, если вы используете переменные classpath, такие как ${JAVA_HOME} в pom.xml.

<target>
                    <property name="compile_classpath" refid="maven.compile.classpath"/>
                    <property name="runtime_classpath" refid="maven.runtime.classpath"/>
                    <property name="test_classpath" refid="maven.test.classpath"/>
                    <property name="plugin_classpath" refid="maven.plugin.classpath"/>
                    <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/>
                    <property name="project_home" value="${PROJECT_HOME}"/>
                    <property name="java_home" value="${JAVA_HOME}"/>
                    <property name="ant_home" value="${ANT_HOME}"/>
                    <property name="common_home" value="${COMMON_HOME}"/>
                    <property name="JAXP_HOME" value="${common_home}/lib"/>
                    <property name="ejfw_home" value="${PROJECT_HOME}/lib"/>
                    <property name="weblogic_home" value="${WL_HOME}"/>
                    <property name="fw_home" value="${FW_HOME}"/>
                    <property name="env" value="${BUILDENV}"/>
                    <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>

По целям добавьте переменные pathpath. i.e..., -DANT_HOME, -DJAVA_HOME

clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:\bea1036\modules\org.apache.ant_1.7.1 -DJAVA_HOME=C:\bea1036\jdk160_31