Не удается найти допустимый путь сертификации к запрошенной целевой ошибке даже после импорта сертификата
У меня есть Java-клиент пытается получить доступ к серверу с самоподписанным сертификатом.
когда я пытаюсь отправить на сервер, я получаю следующее сообщение об ошибке:
не удалось найти действительный путь сертификации в требуемое целевое
проведя некоторое исследование по этому вопросу, я сделал следующее.
- сохранено доменное имя моих серверов в качестве корня.CER-файл.
- в JRE моего сервера Glassfish, я запустил это:
ключей -импорт -псевдоним пример-хранилище cacerts в файл корень.ССВ. - чтобы проверить сертификат был добавлен в мой cacert успешно, я сделал это:
keytool-list - V-keystore cacerts
Я вижу, что сертификат присутствует. - затем я перезапустил Glassfish и удалил "пост".
Я все еще получаю ту же ошибку.
У меня такое чувство, что это потому, что мой Glassfish на самом деле не читает файл cacert, который я исправил, но, возможно, некоторые другие один.
У кого-нибудь из вас была эта проблема и может подтолкнуть меня в правильном направлении?
9 ответов:
к сожалению - это может быть много вещей - и многие серверы приложений и другие Java "обертки" склонны играть со свойствами и их "собственными" взять на себя брелки, а что нет. Поэтому он может смотреть на что-то совершенно другое.
Если бы не связывание-я бы попробовал:
java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...чтобы увидеть, если это помогает. Вместо " все "можно также установить его на "ssl", key manager и trust manager - что может помочь в вашем случае. Установка его в "помощь" будет перечислять что-то вроде ниже большинство платформ.
независимо - убедитесь, что вы полностью понимаете разницу между хранилищем ключей (в котором у вас есть закрытый ключ и сертификат, с которым вы подтверждаете свою личность) и хранилищем доверия (которое определяет, кому Вы доверяете) - и тот факт, что ваша собственная личность также имеет "цепочку" доверия к корню - которая отделена от любой цепочки к корню, вам нужно выяснить, "кому" Вы доверяете.
all turn on all debugging ssl turn on ssl debugging The following can be used with ssl: record enable per-record tracing handshake print each handshake message keygen print key generation data session print session activity defaultctx print default SSL initialization sslctx print SSLContext tracing sessioncache print session cache tracing keymanager print key manager tracing trustmanager print trust manager tracing pluggability print pluggability tracing handshake debugging can be widened with: data hex dump of each handshake message verbose verbose handshake message printing record debugging can be widened with: plaintext hex dump of record plaintext packet print raw SSL/TLS packetsИсточник: # Смотри http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug
вот решение, следуйте по ссылке ниже Шаг за шагом:
JAVA-файл: который отсутствует в блоге
/* * Copyright 2006 Sun Microsystems, Inc. All Rights Reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: * * - Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * * - Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * * - Neither the name of Sun Microsystems nor the names of its * contributors may be used to endorse or promote products derived * from this software without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. */ import java.io.*; import java.net.URL; import java.security.*; import java.security.cert.*; import javax.net.ssl.*; public class InstallCert { public static void main(String[] args) throws Exception { String host; int port; char[] passphrase; if ((args.length == 1) || (args.length == 2)) { String[] c = args[0].split(":"); host = c[0]; port = (c.length == 1) ? 443 : Integer.parseInt(c[1]); String p = (args.length == 1) ? "changeit" : args[1]; passphrase = p.toCharArray(); } else { System.out.println("Usage: java InstallCert <host>[:port] [passphrase]"); return; } File file = new File("jssecacerts"); if (file.isFile() == false) { char SEP = File.separatorChar; File dir = new File(System.getProperty("java.home") + SEP + "lib" + SEP + "security"); file = new File(dir, "jssecacerts"); if (file.isFile() == false) { file = new File(dir, "cacerts"); } } System.out.println("Loading KeyStore " + file + "..."); InputStream in = new FileInputStream(file); KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType()); ks.load(in, passphrase); in.close(); SSLContext context = SSLContext.getInstance("TLS"); TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tmf.init(ks); X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0]; SavingTrustManager tm = new SavingTrustManager(defaultTrustManager); context.init(null, new TrustManager[] {tm}, null); SSLSocketFactory factory = context.getSocketFactory(); System.out.println("Opening connection to " + host + ":" + port + "..."); SSLSocket socket = (SSLSocket)factory.createSocket(host, port); socket.setSoTimeout(10000); try { System.out.println("Starting SSL handshake..."); socket.startHandshake(); socket.close(); System.out.println(); System.out.println("No errors, certificate is already trusted"); } catch (SSLException e) { System.out.println(); e.printStackTrace(System.out); } X509Certificate[] chain = tm.chain; if (chain == null) { System.out.println("Could not obtain server certificate chain"); return; } BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); System.out.println(); System.out.println("Server sent " + chain.length + " certificate(s):"); System.out.println(); MessageDigest sha1 = MessageDigest.getInstance("SHA1"); MessageDigest md5 = MessageDigest.getInstance("MD5"); for (int i = 0; i < chain.length; i++) { X509Certificate cert = chain[i]; System.out.println (" " + (i + 1) + " Subject " + cert.getSubjectDN()); System.out.println(" Issuer " + cert.getIssuerDN()); sha1.update(cert.getEncoded()); System.out.println(" sha1 " + toHexString(sha1.digest())); md5.update(cert.getEncoded()); System.out.println(" md5 " + toHexString(md5.digest())); System.out.println(); } System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]"); String line = reader.readLine().trim(); int k; try { k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1; } catch (NumberFormatException e) { System.out.println("KeyStore not changed"); return; } X509Certificate cert = chain[k]; String alias = host + "-" + (k + 1); ks.setCertificateEntry(alias, cert); OutputStream out = new FileOutputStream("jssecacerts"); ks.store(out, passphrase); out.close(); System.out.println(); System.out.println(cert); System.out.println(); System.out.println ("Added certificate to keystore 'jssecacerts' using alias '" + alias + "'"); } private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray(); private static String toHexString(byte[] bytes) { StringBuilder sb = new StringBuilder(bytes.length * 3); for (int b : bytes) { b &= 0xff; sb.append(HEXDIGITS[b >> 4]); sb.append(HEXDIGITS[b & 15]); sb.append(' '); } return sb.toString(); } private static class SavingTrustManager implements X509TrustManager { private final X509TrustManager tm; private X509Certificate[] chain; SavingTrustManager(X509TrustManager tm) { this.tm = tm; } public X509Certificate[] getAcceptedIssuers() { throw new UnsupportedOperationException(); } public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { throw new UnsupportedOperationException(); } public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { this.chain = chain; tm.checkServerTrusted(chain, authType); } } }
необходимо настроить системные свойства JSSE, в частности указать хранилище сертификатов клиента.
через командную строку:
java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Clientили через Java-код:
import java.util.Properties; ... Properties systemProps = System.getProperties(); systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore"); systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks"); systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts"); systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore"); System.setProperties(systemProps); ...для получения дополнительной информации см. сайт RedHat.
У меня была такая же проблема с sbt.
Он попытался получить зависимости отrepo1.maven.org через ssl
но сказал, что он "не смог найти действительный путь сертификации к запрошенному целевому url".
поэтому я последовал этот пост и все равно не удалось проверить соединение.
Поэтому я прочитал об этом и обнаружил, что корневого сертификата недостаточно,как было предложено в сообщении, поэтому -
то, что работало для меня, было импортированием сертификаты промежуточных центров сертификации в хранилище.
Я на самом деле добавил все сертификаты в цепочке и он работал как шарм.
(репост от мой другой ответ)
Использование утилиты командной строки keytool из дистрибутива программного обеспечения java для импорта (и доверие!), необходимые сертификатыпример:
из cli change dir в jre\bin
Проверьте хранилище ключей (файл найден в каталоге jre\bin)
ключей -списке -ключей ..\lib\security\cacerts
Пароль changeitЗагрузите и сохраните все сертификаты в цепочке с необходимого сервера.
добавить сертификаты (перед необходимостью удалить атрибут "только для чтения "в файле"..\lib\security\cacerts"), выполнить: keytool-псевдоним REPLACE_TO_ANY_UNIQ_NAME-импорт-хранилище ключей ..\lib\security\cacerts-file "r:\root.ЭЛТ"
случайно я нашел такой простой совет. Другие решения требуют использования InstallCert.Ява и JDK
источник:http://www.java-samples.com/showtutorial.php?tutorialid=210
моя проблема заключалась в том, что брокер безопасности облачного доступа NetSkope был установлен на моем рабочем ноутбуке через обновление программного обеспечения. Это изменяло цепочку сертификатов, и я все еще не мог подключиться к серверу через мой клиент java после импорта всей цепочки в мое хранилище ключей cacerts. Я отключил NetSkope и смог успешно подключиться.
Я работаю над учебником для веб-служб REST по адресу www.udemy.com (REST Java Web Services). Например, в учебнике говорится, что для того, чтобы иметь SSL, мы должны иметь папку с именем "trust_store" в моей затмение "клиент" проект, который должен содержать "хранилище ключей" файл (у нас был "клиент" проекта, чтобы позвонить в службу, и "Сервис Проект", которая содержала остальные веб-сервис - 2 проекта, в то же рабочее пространство Eclipse, один клиент, другой сервис). Чтобы все было просто, они сказал скопировать " хранилище ключей.следующих" из приложения в GlassFish-сервер (сервер приложений GlassFish\Домены\домен1\конфиг\ключей.jsk) мы используем и помещаем его в эту папку "trust_store", которую они заставили меня сделать в клиентском проекте. Это, кажется, имеет смысл: самозаверяющие сертификаты в key_store сервера будут соответствовать сертификатам в клиенте trust_store. Теперь, делая это, я получал ошибку, которую упоминает исходный пост. Я погуглил это и прочитал, что ошибка связана с "keystore.JKS файл" на клиент, не содержащий доверенный / подписанный сертификат, что найденный сертификат является самозаверяющим.
чтобы все было ясно, позвольте мне сказать, что, как я понимаю, "keystore.jsk " содержит самозаверяющие сертификаты и "cacerts.файл " jks " содержит сертификаты CA (подписанные CA). "Хранилище ключей.jks "- это "хранилище ключей" и " cacerts.следующих" это "надежное хранилище". Как" Бруно", комментатор, говорит выше: "keystore.jks "является местным, а" cacerts.следующих" для удаленных клиентов.
Итак, я сказал для себя, Эй, glassfish также имеет " cacerts.JKS " файл, который является файлом trust_store glassfish. cacerts.jsk должен содержать сертификаты CA. И, по-видимому, мне нужна папка trust_store, чтобы содержать файл хранилища ключей, который имеет хотя бы один сертификат CA. Итак, я попробовал поставить " cacerts.файл jks" в папке "trust_store", которую я сделал в своем клиентском проекте, и изменил свойства виртуальной машины, чтобы указать на " cacerts.следующих" вместо "хранилища.следующих". Это избавило от ошибки. Я думаю, все это нужен был сертификат CA для работы.
Это может быть не идеально для производства, или даже для развития за пределами просто получить что-то работать. Например, вы можете использовать команду " keytool "для добавления сертификатов CA в "хранилище ключей".JKS файл" в клиенте. Но в любом случае, надеюсь, это по крайней мере сужает возможные сценарии, которые могут происходить здесь, чтобы вызвать ошибку.
также: мой подход оказался полезным для клиента (сертификат сервера добавлен в клиент trust_store), похоже, что комментарии выше для разрешения исходного сообщения полезны для сервера (клиентский сертификат добавлен в сервер trust_store). Овации.
настройка проекта Eclipse:
- MyClientProject
- src
- тест
- системная библиотека JRE
- ...
- trust_store
--- cacerts.следующих --- хранилище ключей.следующихфрагмент из MyClientProject.java-файл:
static { // Setup the trustStore location and password System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks"); // comment out below line System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks"); System.setProperty("javax.net.ssl.trustStorePassword", "changeit"); //System.setProperty("javax.net.debug", "all"); // for localhost testing only javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() { public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) { return hostname.equals("localhost"); } }); }
проверьте, если файл ! В моем случае это был не файл, а ссылку на
/etc/ssl/certs/java/cacertsи это была ссылка на себя (что???) поэтому из-за этого JVM не может найти файл.устранение: Скопируйте реальный файл cacerts (вы можете сделать это из другого JDK) к и это решит вашу проблему :)
допустим, если вы используете переменные classpath, такие как ${JAVA_HOME} в pom.XML.
<target> <property name="compile_classpath" refid="maven.compile.classpath"/> <property name="runtime_classpath" refid="maven.runtime.classpath"/> <property name="test_classpath" refid="maven.test.classpath"/> <property name="plugin_classpath" refid="maven.plugin.classpath"/> <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/> <property name="project_home" value="${PROJECT_HOME}"/> <property name="java_home" value="${JAVA_HOME}"/> <property name="ant_home" value="${ANT_HOME}"/> <property name="common_home" value="${COMMON_HOME}"/> <property name="JAXP_HOME" value="${common_home}/lib"/> <property name="ejfw_home" value="${PROJECT_HOME}/lib"/> <property name="weblogic_home" value="${WL_HOME}"/> <property name="fw_home" value="${FW_HOME}"/> <property name="env" value="${BUILDENV}"/> <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>в целях добавьте переменные пути к классам. т. е...,- DANT_HOME, - DJAVA_HOME
clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:\bea1036\modules\org.apache.ant_1.7.1 -DJAVA_HOME=C:\bea1036\jdk160_31
Comments