HTTPS-клиент не может подключиться - сбой построения пути PKIX, но существует корневой сертификат

Question

У меня есть HTTP-клиент в Java, который я получаю с помощью SSLHandshakeException с сообщением «PKIX path path building [имя класса] не удалось найти действительный путь сертификации к запрошенной цели»

Я искал, но все предложения, похоже,будь то, что корневой CA не находится в хранилище доверенных сертификатов.За исключением этого ... Я попытался добавить корневой сертификат в хранилище доверенных сертификатов, и keytool сказал

«Сертификат уже существует в общесистемном хранилище ключей CA под псевдонимом» с псевдонимом.

И яполучил сертификат, чтобы попробовать это, зайдя на сайт, который я пытаюсь открыть в браузере (Chrome - но ни один браузер не жалуется на какие-либо проблемы), и я экспортировал корневой сертификат в цепочку.Который я затем попытался импортировать с результатами выше (я тогда прервал импорт).

Я не уверен, как это исправить на данном этапе.

Я отмечаю, что браузер в цепочке сертификатов показывает второй сертификат для ЦС (поэтому сертификат ЦС 1 -> Сертификат ЦС 2 -> целевой сертификат), и я предполагаю, что могу попробовать импортировать этот сертификат, но я чувствую,Я здесь стреляю в темноте.

Что-то еще мне не хватает?

Answer 1

Чтобы сертификат считался действительным, у вас должен быть полный путь от него до доверенного корневого сертификата.

Обычно это выполняется сервером, предоставляющим все необходимые сертификатыклиенту.Однако некоторые веб-серверы этого не делают, вместо этого предоставляют только свой собственный сертификат.

Вероятно, вы столкнулись с таким неправильно настроенным сервером.Попробуйте импортировать промежуточный сертификат в локальное хранилище доверенных сертификатов, чтобы клиент мог построить полную цепочку от сертификата сервера до доверенного корня.Помните также параметр -trustcacerts.