Java: von sun.Sicherheit.Anbieter.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Hier ist, was zuverlässig funktioniert bei mir auf macOS. Stellen Sie sicher, Sie zu ersetzen example.com und 443 mit dem eigentlichen Hostnamen und port ein, den Sie eine Verbindung herstellen möchten, und geben Sie eine benutzerdefinierte alias. Der erste Befehl lädt die hinterlegte Zertifikat vom remote-server und speichert Sie lokal im x509-format. Der zweite Befehl lädt das gespeicherte Zertifikat in Java-SSL-trust-Shop.

openssl x509 -in <(openssl s_client -connect example.com:443 -prexit 2>/dev/null) -out ~/example.crt
sudo keytool -importcert -file ~/example.crt -alias example -keystore $(/usr/libexec/java_home)/jre/lib/security/cacerts -storepass changeit

InformationsquelleAutor Gabe Martin-Dempesy

1. Exportieren Sie das SSL-Zertifikat mit Firefox. Können Sie diese exportieren, indem du die URL in den browser, und wählen Sie dann die option zum exportieren des Zertifikats. Nehmen wir an, die cert-Datei-name ist Ihr.ssl.server.name.crt
2. Gehen Sie zu Ihrem JRE_HOME/bin oder JDK/JRE/bin
3. Geben Sie den Befehl
4. keytool -keystore ..\lib\security\cacerts -import -alias your.ssl.server.name -file .\relative-path-to-cert-file\your.ssl.server.name.crt
5. Starten Sie Ihren Java-Prozess

InformationsquelleAutor Robin

@Frank Martin-Dempesy die Antwort half mir. Und ich ein kleines Skript geschrieben. Die Verwendung ist sehr einfach.

Installieren Sie ein Zertifikat von host:

> sudo ./java-cert-importer.sh example.com

Entfernen Sie das Zertifikat bereits installiert ist.

> sudo ./java-cert-importer.sh example.com --delete

java-cert-importer.sh

#!/usr/bin/env bash

# Exit on error
set -e

# Ensure script is running as root
if [ "$EUID" -ne 0 ]
  then echo "WARN: Please run as root (sudo)"
  exit 1
fi

# Check required commands
command -v openssl >/dev/null 2>&1 || { echo "Required command 'openssl' not installed. Aborting." >&2; exit 1; }
command -v keytool >/dev/null 2>&1 || { echo "Required command 'keytool' not installed. Aborting." >&2; exit 1; }

# Get command line args
host=$1; port=${2:-443}; deleteCmd=${3:-${2}}

# Check host argument
if [ ! ${host} ]; then
cat << EOF
Please enter required parameter(s)

usage:  ./java-cert-importer.sh <host> [ <port> | default=443 ] [ -d | --delete ]

EOF
exit 1
fi;

if [ "$JAVA_HOME" ]; then
    javahome=${JAVA_HOME}
elif [[ "$OSTYPE" == "linux-gnu" ]]; then # Linux
    javahome=$(readlink -f $(which java) | sed "s:bin/java::")
elif [[ "$OSTYPE" == "darwin"* ]]; then # Mac OS X
    javahome="$(/usr/libexec/java_home)/jre"
fi

if [ ! "$javahome" ]; then
    echo "WARN: Java home cannot be found."
    exit 1
elif [ ! -d "$javahome" ]; then
    echo "WARN: Detected Java home does not exists: $javahome"
    exit 1
fi

echo "Detected Java Home: $javahome"

# Set cacerts file path
cacertspath=${javahome}/lib/security/cacerts
cacertsbackup="${cacertspath}.$$.backup"

if ( [ "$deleteCmd" == "-d" ] || [ "$deleteCmd" == "--delete" ] ); then
    sudo keytool -delete -alias ${host} -keystore ${cacertspath} -storepass changeit
    echo "Certificate is deleted for ${host}"
    exit 0
fi

# Get host info from user
#read -p "Enter server host (E.g. example.com) : " host
#read -p "Enter server port (Default 443) : " port

# create temp file
tmpfile="/tmp/${host}.$$.crt"

# Create java cacerts backup file
cp ${cacertspath} ${cacertsbackup}

echo "Java CaCerts Backup: ${cacertsbackup}"

# Get certificate from speficied host
openssl x509 -in <(openssl s_client -connect ${host}:${port} -prexit 2>/dev/null) -out ${tmpfile}

# Import certificate into java cacerts file
sudo keytool -importcert -file ${tmpfile} -alias ${host} -keystore ${cacertspath} -storepass changeit

# Remove temp certificate file
rm ${tmpfile}

# Check certificate alias name (same with host) that imported successfully
result=$(keytool -list -v -keystore ${cacertspath} -storepass changeit | grep "Alias name: ${host}")

# Show results to user
if [ "$result" ]; then
    echo "Success: Certificate is imported to java cacerts for ${host}";
else
    echo "Error: Something went wrong";
fi;

InformationsquelleAutor bhdrk

Die Quelle dieser Fehler auf meinem Apache 2.4 Instanz (über ein Comodo wildcard-Zertifikat) war einer unvollständigen Pfad zu der SHA-1-signierte root-Zertifikat. Es gab mehrere Ketten in das Zertifikat ausgestellt hat, und die Kette führt zu einem SHA-1 root Zertifikat fehlte ein intermediate-Zertifikat. Moderne Browser wissen, wie Sie damit umgehen, aber Java 7 nicht handhaben es standardmäßig (obwohl es gibt einige komplizierte Wege, dies zu erreichen im code). Das Ergebnis ist, Fehlermeldungen, die identisch Aussehen, um der Falle der selbst-signierte Zertifikate:

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)
    at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)
    at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)
    ... 22 more

In diesem Fall, das "unable to find valid certification path to requested target" - Meldung wird erzeugt wegen der fehlenden intermediate-Zertifikat. Sie kann prüfen, welches Zertifikat fehlt mit SSL Labs test gegen den server. Einmal finden Sie das entsprechende Zertifikat herunterladen und (wenn der server unter deiner Kontrolle) fügen Sie es, um das Zertifikat zu bündeln. Alternativ können Sie importieren Sie die fehlenden Zertifikat lokal. Unterbringung dieses Problem auf dem server ist eine Allgemeine Lösung für das problem.

InformationsquelleAutor vallismortis

Nur für Windows, gehen Sie folgendermaßen vor:

1. In Chrome auf Einstellungen gehen.
2. In den Einstellungen klicken Sie auf anzeigen erweiterte Einstellungen.
3. Unter HTTPS/SSL Klicken Sie auf Zertifikate Verwalten.
4. Ihr Zertifikat Exportieren.
5. In der Windows-Suche (Drücken der windows-Taste auf der Tastatur) geben Sie java.
6. Wählen (Configure Java) die Möglichkeit, Das Java Control Panel
7. Wählen Sie Registerkarte "Sicherheit" im Java Control Panel
8. Wählen Sie Verwalten Von Zertifikaten
9. Klicken Sie Auf Importieren
10. Unter (Benutzer) ' ausgewählt und das Zertifikat geben als (Vertrauenswürdige Zertifikate)
11. Klicken Sie auf die Schaltfläche importieren, und navigieren Sie zum heruntergeladenen Zertifikat und importieren Sie es.

InformationsquelleAutor Praveen

UPDATE:, Dass ein Neustart geholfen hat war Zufall (ich hoffte also, hooray!). Die wirkliche Ursache des Problems war dies: Wenn Gradle ist gerichtet auf die Verwendung einer bestimmten keystore, keystore muss außerdem enthalten alle offiziellen root-Zertifikate. Sonst kann es keinen Zugriff auf Bibliotheken aus regulären repositories. Was ich zu tun hatte, war dies:

Importieren Sie das selbstsignierte Zertifikat:

keytool -import -trustcacerts -alias myselfsignedcert -file /Users/me/Desktop/selfsignedcert.crt -keystore ./privateKeystore.jks

Fügen Sie den offiziellen root-Zertifikate:

keytool -importkeystore -srckeystore <java-home>/lib/security/cacerts -destkeystore ./privateKeystore.jks

Vielleicht den Gradle daemon auch in den Weg kam. Sich lohnen könnte zu töten alle Laufenden daemons gefunden mit ./gradlew --status wenn die Dinge beginnen, suchen düster.

ORIGINAL-POSTING:

Niemand glauben, ich weiß. Noch, wenn alles andere fehlschlägt, probieren Sie es aus:
Nach einer Neustart von meinem Mac war das problem Weg. Grrr.

Hintergrund:
./gradlew Glas hielt er mir "unable to find valid certification path to requested target"

Ich bin stecken mit einem selbst signierten Zertifikat aus dem browser gesichert werden, importiert privateKeystore.jks. Wies dann Gradle arbeiten mit privateKeystore.jks:

org.gradle.jvmargs=-Djavax.net.debug=SSL -Djavax.net.ssl.trustStore="/Users/me/IntelliJ/myproject/privateKeystore.jks"  -Djavax.net.ssl.trustStorePassword=changeit

Wie bereits erwähnt, dies funktioniert nur nach einem Neustart.

InformationsquelleAutor StaticNoiseLog

Ich hatte das gleiche problem mit den Zertifikaten, die Fehler und wurde da von SNI, http-client, die ich früher nicht hatte SNI umgesetzt. So ein version-update hat die Arbeit

   <dependency>
        <groupId>org.apache.httpcomponents</groupId>
        <artifactId>httpclient</artifactId>
        <version>4.3.6</version>
    </dependency>

InformationsquelleAutor Radu Toader

Dieser mein Problem gelöst,

Müssen wir importieren Sie das Zertifikat auf dem lokalen java. Wenn nicht, wir könnten die unten Ausnahme.

 javax.net.ssl.SSLHandshakeException: Sonne.Sicherheit.validator.ValidatorException: PKIX path building failed: sun.Sicherheit.Anbieter.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 
bei der sun.Sicherheit.ssl.- Warnungen.getSSLException(Warnungen.java:192) 
bei der sun.Sicherheit.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1949) 
bei der sun.Sicherheit.ssl.Handshaker.fatalSE(Handshaker.java:302) 

SSLPOKE ist ein tool, mit dem Sie testen können, die https-verbindungen von Ihrem lokalen Computer aus.

Befehl zum testen der Konnektivität:

"%JAVA_HOME%/bin/java" SSLPoke <hostname> 443

 Sonne.Sicherheit.validator.ValidatorException: PKIX path building failed: 
Sonne.Sicherheit.Anbieter.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 
bei der sun.Sicherheit.validator.PKIXValidator.doBuild(PKIXValidator.java:387) 
bei der sun.Sicherheit.validator.PKIXValidator.engineValidate(PKIXValidator.java:292) 
bei der sun.Sicherheit.validator.Validator.validate(Validator.java:260) 
bei der sun.Sicherheit.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324) 
bei der sun.Sicherheit.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229) 
bei der sun.Sicherheit.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124) 
bei der sun.Sicherheit.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496) 
bei der sun.Sicherheit.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:216) 
bei der sun.Sicherheit.ssl.Handshaker.processLoop(Handshaker.java:1026) 
bei der sun.Sicherheit.ssl.Handshaker.process_record(Handshaker.java:961) 
bei der sun.Sicherheit.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1062) 
bei der sun.Sicherheit.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) 
bei der sun.Sicherheit.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:747) 
bei der sun.Sicherheit.ssl.AppOutputStream.schreiben(AppOutputStream.java:123) 
bei der sun.Sicherheit.ssl.AppOutputStream.schreiben(AppOutputStream.java:138) 
bei SSLPoke.main(SSLPoke.java:31) 
Verursacht durch: Sonne.Sicherheit.Anbieter.certpath.SunCertPathBuilderException: unable to find valid certification path to 
angeforderte Ziel 
bei der sun.Sicherheit.Anbieter.certpath.SunCertPathBuilder.bauen(SunCertPathBuilder.java:141) 
bei der sun.Sicherheit.Anbieter.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126) 
bei java.Sicherheit.cert.CertPathBuilder.bauen(CertPathBuilder.java:280) 
bei der sun.Sicherheit.validator.PKIXValidator.doBuild(PKIXValidator.java:382) 
... 15 mehr 

keytool -import -alias brinternal -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file <cert path>

diesem würde ersten Eingabeaufforderung "Enter keystore password:" changeit ist das standardmäßige Kennwort. und schließlich die Aufforderung "Trust this certificate? [keine]:", "ja" fügen Sie das Zertifikat zum keystore.

Verification:

C:\tools>"%JAVA_HOME%/bin/java" SSLPoke <hostname> 443
Successfully connected    

InformationsquelleAutor Naveen

zuerst Laden Sie das ssl-Zertifikat, dann können Sie gehen, um Ihre java-bin-Pfad führen Sie den nachstehenden Befehl in der Konsole.

C:\java\JDK1.8.0_66-X64\bin>keytool -printcert -file C:\Users\lova\openapi.cer -keystore openapistore

InformationsquelleAutor Lova Chittumuri

In meinem Fall hatte ich beide keystore-und truststore-mit dem gleichen Zertifikat so entfernen truststore geholfen. Manchmal ist die Kette von Zertifikaten kann ein Problem sein, wenn Sie haben mehrere Kopien der Zertifikate.

InformationsquelleAutor Smart Coder