Невозможно найти действительный путь сертификации к запрошенной цели - ошибка даже после импорта сертификата

Question

У меня есть клиент Java, пытающийся получить доступ к серверу с самозаверяющим сертификатом.

Когда я пытаюсь отправить сообщение на сервер, я получаю следующую ошибку:

невозможно найти действительный путь сертификации для запрошенной цели

Проведя некоторое исследование по этому вопросу, я затем сделал следующее.

1. Сохранено доменное имя моего сервера в виде root.cer файла.
2. В JRE моего сервера Glassfish я запустил это:
   keytool -import -alias example -keystore cacerts -file root.cer
3. Чтобы проверить, что сертификат был успешно добавлен в мой cacert, я сделал это:
   keytool -list -v -keystore cacerts
   Я вижу, что сертификат присутствует.
4. Затем я перезапустил Glassfish и удалил «пост».

Я все еще получаю ту же ошибку.

У меня такое ощущение, что мой Glassfish на самом деле не читает файл cacert, который я исправил, но, может быть, какой-то другой.

Кто-нибудь из вас имел эту проблему и может подтолкнуть меня в правильном направлении?

Answer 1

К сожалению - это может быть много вещей - и многие серверы приложений и другие java-«обёртки» склонны играть со свойствами и своими «собственными» взглядами на цепочки для ключей, а что нет. Так что это может быть что-то совершенно другое.

Если не считать фермы - я бы попробовал:

java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...

чтобы увидеть, поможет ли это. Вместо «все» можно также установить «ssl», менеджер ключей и менеджер доверия - что может помочь в вашем случае. При установке значения 'help' на большинстве платформ будет отображаться что-то вроде ниже.

Независимо - убедитесь, что вы полностью понимаете разницу между хранилищем ключей (в котором у вас есть личный ключ и сертификат, с которым вы подтверждаете свою личность) и хранилищем доверенных сертификатов (которое определяет, кому вы доверяете) - и тем, что ваш собственная идентичность также имеет «цепочку» доверия к корню - которая отделена от любой цепочки до корня, вам необходимо выяснить «кому» вы доверяете.

all            turn on all debugging
ssl            turn on ssl debugging

The   following can be used with ssl:
    record       enable per-record tracing
    handshake    print each handshake message
    keygen       print key generation data
    session      print session activity
    defaultctx   print default SSL initialization
    sslctx       print SSLContext tracing
    sessioncache print session cache tracing
    keymanager   print key manager tracing
    trustmanager print trust manager tracing
    pluggability print pluggability tracing

    handshake debugging can be widened with:
    data         hex dump of each handshake message
    verbose      verbose handshake message printing

    record debugging can be widened with:
    plaintext    hex dump of record plaintext
    packet       print raw SSL/TLS packets

Источник: # См. http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug

Answer 2

Вот решение, перейдите по ссылке ниже Шаг за шагом:

http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/

JAVA FILE: отсутствует в блоге

/*
 * Copyright 2006 Sun Microsystems, Inc.  All Rights Reserved.
 *
 * Redistribution and use in source and binary forms, with or without
 * modification, are permitted provided that the following conditions
 * are met:
 *
 *   - Redistributions of source code must retain the above copyright
 *     notice, this list of conditions and the following disclaimer.
 *
 *   - Redistributions in binary form must reproduce the above copyright
 *     notice, this list of conditions and the following disclaimer in the
 *     documentation and/or other materials provided with the distribution.
 *
 *   - Neither the name of Sun Microsystems nor the names of its
 *     contributors may be used to endorse or promote products derived
 *     from this software without specific prior written permission.
 *
 * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
 * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
 * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 */



import java.io.*;
import java.net.URL;

import java.security.*;
import java.security.cert.*;

import javax.net.ssl.*;

public class InstallCert {

    public static void main(String[] args) throws Exception {
    String host;
    int port;
    char[] passphrase;
    if ((args.length == 1) || (args.length == 2)) {
        String[] c = args[0].split(":");
        host = c[0];
        port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
        String p = (args.length == 1) ? "changeit" : args[1];
        passphrase = p.toCharArray();
    } else {
        System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
        return;
    }

    File file = new File("jssecacerts");
    if (file.isFile() == false) {
        char SEP = File.separatorChar;
        File dir = new File(System.getProperty("java.home") + SEP
            + "lib" + SEP + "security");
        file = new File(dir, "jssecacerts");
        if (file.isFile() == false) {
        file = new File(dir, "cacerts");
        }
    }
    System.out.println("Loading KeyStore " + file + "...");
    InputStream in = new FileInputStream(file);
    KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
    ks.load(in, passphrase);
    in.close();

    SSLContext context = SSLContext.getInstance("TLS");
    TrustManagerFactory tmf =
        TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(ks);
    X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0];
    SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
    context.init(null, new TrustManager[] {tm}, null);
    SSLSocketFactory factory = context.getSocketFactory();

    System.out.println("Opening connection to " + host + ":" + port + "...");
    SSLSocket socket = (SSLSocket)factory.createSocket(host, port);
    socket.setSoTimeout(10000);
    try {
        System.out.println("Starting SSL handshake...");
        socket.startHandshake();
        socket.close();
        System.out.println();
        System.out.println("No errors, certificate is already trusted");
    } catch (SSLException e) {
        System.out.println();
        e.printStackTrace(System.out);
    }

    X509Certificate[] chain = tm.chain;
    if (chain == null) {
        System.out.println("Could not obtain server certificate chain");
        return;
    }

    BufferedReader reader =
        new BufferedReader(new InputStreamReader(System.in));

    System.out.println();
    System.out.println("Server sent " + chain.length + " certificate(s):");
    System.out.println();
    MessageDigest sha1 = MessageDigest.getInstance("SHA1");
    MessageDigest md5 = MessageDigest.getInstance("MD5");
    for (int i = 0; i < chain.length; i++) {
        X509Certificate cert = chain[i];
        System.out.println
            (" " + (i + 1) + " Subject " + cert.getSubjectDN());
        System.out.println("   Issuer  " + cert.getIssuerDN());
        sha1.update(cert.getEncoded());
        System.out.println("   sha1    " + toHexString(sha1.digest()));
        md5.update(cert.getEncoded());
        System.out.println("   md5     " + toHexString(md5.digest()));
        System.out.println();
    }

    System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
    String line = reader.readLine().trim();
    int k;
    try {
        k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
    } catch (NumberFormatException e) {
        System.out.println("KeyStore not changed");
        return;
    }

    X509Certificate cert = chain[k];
    String alias = host + "-" + (k + 1);
    ks.setCertificateEntry(alias, cert);

    OutputStream out = new FileOutputStream("jssecacerts");
    ks.store(out, passphrase);
    out.close();

    System.out.println();
    System.out.println(cert);
    System.out.println();
    System.out.println
        ("Added certificate to keystore 'jssecacerts' using alias '"
        + alias + "'");
    }

    private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

    private static String toHexString(byte[] bytes) {
    StringBuilder sb = new StringBuilder(bytes.length * 3);
    for (int b : bytes) {
        b &= 0xff;
        sb.append(HEXDIGITS[b >> 4]);
        sb.append(HEXDIGITS[b & 15]);
        sb.append(' ');
    }
    return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {

    private final X509TrustManager tm;
    private X509Certificate[] chain;

    SavingTrustManager(X509TrustManager tm) {
        this.tm = tm;
    }

    public X509Certificate[] getAcceptedIssuers() {
        throw new UnsupportedOperationException();
    }

    public void checkClientTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        throw new UnsupportedOperationException();
    }

    public void checkServerTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        this.chain = chain;
        tm.checkServerTrusted(chain, authType);
    }
    }

}

Answer 3

Вам необходимо настроить свойства системы JSSE, в частности указать хранилище сертификатов клиента.

Через командную строку:

java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Client

или через код Java:

import java.util.Properties;
    ...
    Properties systemProps = System.getProperties();
    systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore");
    systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks");
    systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts");
    systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore");
    System.setProperties(systemProps);
    ...

Подробнее см. На сайте RedHat .

Answer 4

(repost from мой другой ответ )
Используйте утилиту cli keytool из дистрибутива программного обеспечения Java для импорта (и trust! ) необходимые сертификаты

Пример:

1. Из cli изменить dir на jre \ bin

2. Проверить хранилище ключей (файл находится в каталоге jre \ bin)
   keytool -list -keystore .. \ lib \ security \ cacerts
   Пароль changeit

3. Загрузить и сохранить все сертификаты в цепочке с необходимого сервера.

4. Добавить сертификаты (перед необходимостью удалить атрибут "только для чтения" в файле ".. \ lib \ security \ cacerts"), выполнить: keytool -alias REPLACE_TO_ANY_UNIQ_NAME -import -keystore.. \ lib \ security \ cacerts -file "r: \ root.crt"

случайно нашел такой простой совет.Другие решения требуют использования InstallCert.Java и JDK

source: http://www.java -samples.com / showtutorial.php? Tutorialid = 210

Answer 5

У меня была такая же проблема с sbt .Он пытался получить зависимости от repo1.maven.org через sslно сказал, что «не смог найти действительный путь сертификации для запрошенного целевого URL».поэтому я следовал этому сообщению и все еще не смог проверить соединение.Поэтому я прочитал об этом и обнаружил, что корневого сертификата недостаточно, как это было предложено в сообщении, поэтому - для меня сработало импортирование промежуточных сертификатов CA в хранилище ключей .Я фактически добавил все сертификаты в цепочку, и это сработало как шарм.

Answer 6

Решение при переходе с JDK 8 на JDK 10

• Сертификаты действительно разные
  • JDK 10 имеет 80, в то время как JDK 8 имеет 151
• JDK 10 был недавно добавлен certs
  • https://dzone.com/articles/openjdk-10-now-includes-root-ca-certificates
  • http://openjdk.java.net/jeps/319

JDK 10

root@c339504909345:/opt/jdk-minimal/jre/lib/security #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 80 entries

JDK 8

root@c39596768075:/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 151 entries

Действия по исправлению

• Я удалил сертификат JDK 10 и заменил его на JDK 8
• Так как я собираю Docker Images, я мог быстро сделать это, используя многоэтапные сборки
  • Я строю минимальную JRE, используя jlink как /opt/jdk/bin/jlink \ --module-path /opt/jdk/jmods...

Итак, вот различные пути и последовательность команд ...

# Java 8
COPY --from=marcellodesales-springboot-builder-jdk8 /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts /etc/ssl/certs/java/cacerts

# Java 10
RUN rm -f /opt/jdk-minimal/jre/lib/security/cacerts
RUN ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts

Answer 7

Я работаю над учебным пособием для веб-служб REST по адресу www.udemy.com (веб-службы REST Java). В примере из учебника сказано, что для того, чтобы иметь SSL, в моем проекте клиента «eclipse» должен быть каталог «trust_store», который должен содержать файл «хранилища ключей» (у нас был проект «клиента» для вызова службы и «сервисный» проект, который содержал веб-сервис REST - 2 проекта в одной рабочей области Eclipse, один клиент, другой сервис). Для простоты они сказали скопировать «keystore.jks» с сервера приложений glassfish (glassfish \ domains \ domain1 \ config \ keystore.jks), который мы используем, и поместить его в эту папку «trust_store», которую они заставили меня сделать в клиентский проект. Кажется, это имеет смысл: самоподписанные сертификаты в key_store сервера будут соответствовать сертификатам в клиенте trust_store. Теперь, делая это, я получаю сообщение об ошибке, о котором упоминается в оригинальном сообщении. Я прогуглил это и прочитал, что ошибка вызвана тем, что файл keystore.jks на клиентском компьютере не содержит доверенного / подписанного сертификата, а найденный сертификат самоподписан.

Для ясности позвольте мне сказать, что, насколько я понимаю, "keystore.jks" содержит самозаверяющие сертификаты, а файл "cacerts.jks" содержит сертификаты CA (подписанные CA). «Keystore.jks» - это «хранилище ключей», а «cacerts.jks» - «хранилище доверенных сертификатов». Как сказал выше комментатор "Bruno", "keystore.jks" является локальным, а "cacerts.jks" - для удаленных клиентов.

Итак, я сказал себе: эй, у glassfish также есть файл "cacerts.jks", который является файлом trust_store glassfish. cacerts.jsk должен содержать сертификаты CA. И, очевидно, мне нужно, чтобы в моей папке trust_store содержался файл хранилища ключей, в котором есть хотя бы один сертификат CA. Поэтому я попытался поместить файл «cacerts.jks» в созданную мной папку «trust_store» в моем клиентском проекте и изменить свойства виртуальной машины так, чтобы они указывали на «cacerts.jks» вместо «keystore.jks». Это избавило от ошибки. Я предполагаю, что все, что нужно, это сертификат CA для работы

Это не может быть идеальным для производства или даже для разработки, помимо просто заставить что-то работать. Например, вы можете использовать команду «keytool» для добавления сертификатов CA в файл «keystore.jks» на клиенте. Но, в любом случае, надеюсь, что это, по крайней мере, сужает возможные сценарии, которые могут происходить здесь, чтобы вызвать ошибку.

ТАКЖЕ: мой подход оказался полезным для клиента (сертификат сервера добавлен в клиент trust_store), похоже, что приведенные выше комментарии для разрешения исходного сообщения полезны для сервера (сертификат клиента добавлен в сервер trust_store). Приветствия.

Настройка проекта Eclipse:

• MyClientProject
• срк
• тест
• Системная библиотека JRE
• ...
• trust_store
  --- cacerts.jks --- keystore.jks

Фрагмент из файла MyClientProject.java:

static {
  // Setup the trustStore location and password
  System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks");
  // comment out below line
  System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks");
  System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
  //System.setProperty("javax.net.debug", "all");

  // for localhost testing only
  javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() {
        public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) {
          return hostname.equals("localhost");
        }

  });
}

Answer 8

Проверьте, существует ли файл $JAVA_HOME/lib/security/cacerts!В моем случае это был не файл, а ссылка на /etc/ssl/certs/java/cacerts, а также ссылка на себя (ЧТО ???), поэтому JVM не может найти файл.

Решение: Скопируйте файл реальных cacerts ( вы можете сделать это из другого JDK ) в каталог /etc/ssl/certs/java/, и это решит вашу проблему:)

Answer 9

Моя проблема заключалась в том, что на моем рабочем ноутбуке было установлено ПО Cloud Access Security Broker NetSkope с помощью обновления программного обеспечения. Это изменило цепочку сертификатов, и я все еще не мог подключиться к серверу через мой клиент Java после импорта всей цепочки в мое хранилище ключей cacerts. Я отключил NetSkope и смог успешно подключиться.

Answer 10

Скажем, если вы используете переменные classpath, такие как $ {JAVA_HOME} в pom.xml.

<target>
                    <property name="compile_classpath" refid="maven.compile.classpath"/>
                    <property name="runtime_classpath" refid="maven.runtime.classpath"/>
                    <property name="test_classpath" refid="maven.test.classpath"/>
                    <property name="plugin_classpath" refid="maven.plugin.classpath"/>
                    <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/>
                    <property name="project_home" value="${PROJECT_HOME}"/>
                    <property name="java_home" value="${JAVA_HOME}"/>
                    <property name="ant_home" value="${ANT_HOME}"/>
                    <property name="common_home" value="${COMMON_HOME}"/>
                    <property name="JAXP_HOME" value="${common_home}/lib"/>
                    <property name="ejfw_home" value="${PROJECT_HOME}/lib"/>
                    <property name="weblogic_home" value="${WL_HOME}"/>
                    <property name="fw_home" value="${FW_HOME}"/>
                    <property name="env" value="${BUILDENV}"/>
                    <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>

В целях добавьте переменные classpath.то есть .., -DANT_HOME, -DJAVA_HOME

clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:\bea1036\modules\org.apache.ant_1.7.1 -DJAVA_HOME=C:\bea1036\jdk160_31