sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效认证路径

小开

当尝试使用JSSE打开到主机的SSL连接时。这通常意味着服务器正在使用测试证书(可能是使用keytool生成的)，而不是来自著名的商业认证机构(如Verisign或GoDaddy)的证书。在这种情况下，Web浏览器会显示警告对话框，但由于JSSE不能假设存在交互式用户，因此在默认情况下它只会抛出一个异常。

证书验证是SSL安全性的一个非常重要的部分，但我写这篇文章不是为了解释细节。如果你感兴趣，你可以从阅读维基百科的简介开始。我写这篇文章是为了展示一种使用测试证书与该主机对话的简单方法，如果您真的想这样做的话。

基本上，您希望将服务器的证书与受信任的证书一起添加到KeyStore

尝试这里提供的代码。这可能会有帮助。

小开

当您的服务器拥有自签名证书时，就会出现问题。要解决这个问题，可以将该证书添加到JVM的受信任证书列表中。

在本文中作者描述了如何从浏览器中获取证书并将其添加到JVM的cacerts文件中。你可以编辑JAVA_HOME/jre/lib/security/cacerts文件或者使用-Djavax.net.ssl.trustStore参数运行你的应用程序。验证您使用的JDK/JRE，因为这通常是混淆的来源。

参见:SSL证书服务器名称如何解析/我可以使用keytool添加替代名称吗?如果你遇到java.security.cert.CertificateException: No name matching localhost found异常。

小开

以下是我在macOS上可靠工作的方法。请确保将example.com和443替换为您试图连接的实际主机名和端口，并提供一个自定义别名。第一个命令从远程服务器下载提供的证书，并以x509格式保存在本地。第二个命令将保存的证书加载到Java的SSL信任存储区。

openssl x509 -in <(openssl s_client -connect example.com:443 -prexit 2>/dev/null) -out ~/example.crt
sudo keytool -importcert -file ~/example.crt -alias example -keystore $(/usr/libexec/java_home)/jre/lib/security/cacerts -storepass changeit

小开

我在赛门铁克的有效签名通配符证书上也遇到了同样的问题。

首先尝试使用< < em > -Djavax.net.debug = SSL / em >运行java应用程序，看看到底发生了什么。

我结束了导入中间证书 . sh . sh，这导致证书链中断。

我从赛门铁克下载了缺少的中间证书(您可以在ssl握手日志中看到缺少证书的下载链接:在我的例子中是http://svrintl-g3-aia.verisign.com/SVRIntlG3.cer)。

我在java密钥库中导入了证书。导入中间证书后，我的通配符ssl证书终于开始工作:

keytool -import -keystore ../jre/lib/security/cacerts -trustcacerts -alias "VeriSign Class 3 International Server CA - G3" -file /pathto/SVRIntlG3.cer

小开

我能够让它只与代码工作，即不需要使用keytool:

import com.netflix.config.DynamicBooleanProperty; import com.netflix.config.DynamicIntProperty; import com.netflix.config.DynamicPropertyFactory; import org.apache.http.client.config.RequestConfig; import org.apache.http.config.Registry; import org.apache.http.config.RegistryBuilder; import org.apache.http.conn.ssl.SSLContexts; import org.apache.http.conn.ssl.TrustStrategy; import org.apache.http.conn.ssl.X509HostnameVerifier; import org.apache.http.impl.nio.client.CloseableHttpAsyncClient; import org.apache.http.impl.nio.client.HttpAsyncClients; import org.apache.http.impl.nio.conn.PoolingNHttpClientConnectionManager; import org.apache.http.impl.nio.reactor.DefaultConnectingIOReactor; import org.apache.http.impl.nio.reactor.IOReactorConfig; import org.apache.http.nio.conn.NoopIOSessionStrategy; import org.apache.http.nio.conn.SchemeIOSessionStrategy; import org.apache.http.nio.conn.ssl.SSLIOSessionStrategy; import javax.net.ssl.SSLContext; import javax.net.ssl.SSLException; import javax.net.ssl.SSLSession; import javax.net.ssl.SSLSocket; import java.io.IOException; import java.security.cert.CertificateException; import java.security.cert.X509Certificate; public class Test { private static final DynamicIntProperty MAX_TOTAL_CONNECTIONS = DynamicPropertyFactory.getInstance().getIntProperty("X.total.connections", 40); private static final DynamicIntProperty ROUTE_CONNECTIONS = DynamicPropertyFactory.getInstance().getIntProperty("X.total.connections", 40); private static final DynamicIntProperty CONNECT_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.connect.timeout", 60000); private static final DynamicIntProperty SOCKET_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.socket.timeout", -1); private static final DynamicIntProperty CONNECTION_REQUEST_TIMEOUT = DynamicPropertyFactory.getInstance().getIntProperty("X.connectionrequest.timeout", 60000); private static final DynamicBooleanProperty STALE_CONNECTION_CHECK = DynamicPropertyFactory.getInstance().getBooleanProperty("X.checkconnection", true); public static void main(String[] args) throws Exception { SSLContext sslcontext = SSLContexts.custom() .useTLS() .loadTrustMaterial(null, new TrustStrategy() { @Override public boolean isTrusted(X509Certificate[] chain, String authType) throws CertificateException { return true; } }) .build(); SSLIOSessionStrategy sslSessionStrategy = new SSLIOSessionStrategy(sslcontext, new AllowAll()); Registry<SchemeIOSessionStrategy> sessionStrategyRegistry = RegistryBuilder.<SchemeIOSessionStrategy>create() .register("http", NoopIOSessionStrategy.INSTANCE) .register("https", sslSessionStrategy) .build(); DefaultConnectingIOReactor ioReactor = new DefaultConnectingIOReactor(IOReactorConfig.DEFAULT); PoolingNHttpClientConnectionManager connectionManager = new PoolingNHttpClientConnectionManager(ioReactor, sessionStrategyRegistry); connectionManager.setMaxTotal(MAX_TOTAL_CONNECTIONS.get()); connectionManager.setDefaultMaxPerRoute(ROUTE_CONNECTIONS.get()); RequestConfig requestConfig = RequestConfig.custom() .setSocketTimeout(SOCKET_TIMEOUT.get()) .setConnectTimeout(CONNECT_TIMEOUT.get()) .setConnectionRequestTimeout(CONNECTION_REQUEST_TIMEOUT.get()) .setStaleConnectionCheckEnabled(STALE_CONNECTION_CHECK.get()) .build(); CloseableHttpAsyncClient httpClient = HttpAsyncClients.custom() .setSSLStrategy(sslSessionStrategy) .setConnectionManager(connectionManager) .setDefaultRequestConfig(requestConfig) .build(); httpClient.start(); // use httpClient... } private static class AllowAll implements X509HostnameVerifier { @Override public void verify(String s, SSLSocket sslSocket) throws IOException {} @Override public void verify(String s, X509Certificate x509Certificate) throws SSLException {} @Override public void verify(String s, String[] strings, String[] strings2) throws SSLException {} @Override public boolean verify(String s, SSLSession sslSession) { return true; } } }

小开

对于那些喜欢Debian和预打包Java的人:

sudo mkdir /usr/share/ca-certificates/test/ # don't mess with other certs sudo cp ~/tmp/test.loc.crt /usr/share/ca-certificates/test/ sudo dpkg-reconfigure --force ca-certificates # check your cert in curses GUI! sudo update-ca-certificates --fresh --verbose

不要忘记检查/etc/default/cacerts:

# enable/disable updates of the keystore /etc/ssl/certs/java/cacerts cacerts_updates=yes

删除证书:

sudo rm /usr/share/ca-certificates/test/test.loc.crt sudo rm /etc/ssl/certs/java/cacerts sudo update-ca-certificates --fresh --verbose

小开

使用Firefox浏览器导出SSL证书。您可以通过在浏览器中点击URL，然后选择导出证书的选项来导出它。让我们假设证书文件名是your.ssl.server.name.crt

去你的JRE_HOME/bin或JDK/JRE/bin

输入命令

keytool -keystore ..\lib\security\cacerts -import -alias your.ssl.server.name -file .\relative-path-to-cert-file\your.ssl.server.name.crt

重新启动Java进程

小开

这也可能由使用使用SHA2签名的Java 7的GoDaddy证书引起。

Chrome和所有其他浏览器都开始弃用使用SHA1签名的SSL证书，因为它不那么安全。

更多信息关于这个问题可以在这里找到，以及如何解决它在你的服务器上，如果你需要现在。

小开

在我的Apache 2.4实例(使用Comodo通配符证书)上，此错误的来源是到SHA-1签名根证书的不完整路径。已颁发的证书中有多个链，导致SHA-1根证书的链缺少中级证书。现代浏览器知道如何处理这个问题，但是Java 7默认情况下不处理它(尽管在代码中有一些复杂的方法来完成这个任务)。结果是错误消息看起来与自签名证书的情况相同:

Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196) at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268) at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380) ... 22 more

在这种情况下，由于缺少中间证书，将产生“无法找到请求目标的有效认证路径”消息。你可以对服务器使用SSL实验室 test检查哪个证书丢失了。找到适当的证书后，下载它并将其添加到证书包中(如果服务器在您的控制之下)。您也可以在本地导入缺少的证书。在服务器上解决这个问题是一个更通用的解决方案。

小开

@Gabe martin - dempasy的回答对我很有帮助。我写了一个相关的小脚本。使用方法非常简单。

从主机安装证书:

> sudo ./java-cert-importer.sh example.com

删除已经安装的证书。

> sudo ./java-cert-importer.sh example.com --delete

java-cert-importer.sh

#!/usr/bin/env bash # Exit on error set -e # Ensure script is running as root if [ "$EUID" -ne 0 ] then echo "WARN: Please run as root (sudo)" exit 1 fi # Check required commands command -v openssl >/dev/null 2>&1 || { echo "Required command 'openssl' not installed. Aborting." >&2; exit 1; } command -v keytool >/dev/null 2>&1 || { echo "Required command 'keytool' not installed. Aborting." >&2; exit 1; } # Get command line args host=$1; port=${2:-443}; deleteCmd=${3:-${2}} # Check host argument if [ ! ${host} ]; then cat << EOF Please enter required parameter(s) usage: ./java-cert-importer.sh <host> [ <port> | default=443 ] [ -d | --delete ] EOF exit 1 fi; if [ "$JAVA_HOME" ]; then javahome=${JAVA_HOME} elif [[ "$OSTYPE" == "linux-gnu" ]]; then # Linux javahome=$(readlink -f $(which java) | sed "s:bin/java::") elif [[ "$OSTYPE" == "darwin"* ]]; then # Mac OS X javahome="$(/usr/libexec/java_home)/jre" fi if [ ! "$javahome" ]; then echo "WARN: Java home cannot be found." exit 1 elif [ ! -d "$javahome" ]; then echo "WARN: Detected Java home does not exists: $javahome" exit 1 fi echo "Detected Java Home: $javahome" # Set cacerts file path cacertspath=${javahome}/lib/security/cacerts cacertsbackup="${cacertspath}.$$.backup" if ( [ "$deleteCmd" == "-d" ] || [ "$deleteCmd" == "--delete" ] ); then sudo keytool -delete -alias ${host} -keystore ${cacertspath} -storepass changeit echo "Certificate is deleted for ${host}" exit 0 fi # Get host info from user #read -p "Enter server host (E.g. example.com) : " host #read -p "Enter server port (Default 443) : " port # create temp file tmpfile="/tmp/${host}.$$.crt" # Create java cacerts backup file cp ${cacertspath} ${cacertsbackup} echo "Java CaCerts Backup: ${cacertsbackup}" # Get certificate from speficied host openssl x509 -in <(openssl s_client -connect ${host}:${port} -prexit 2>/dev/null) -out ${tmpfile} # Import certificate into java cacerts file sudo keytool -importcert -file ${tmpfile} -alias ${host} -keystore ${cacertspath} -storepass changeit # Remove temp certificate file rm ${tmpfile} # Check certificate alias name (same with host) that imported successfully result=$(keytool -list -v -keystore ${cacertspath} -storepass changeit | grep "Alias name: ${host}") # Show results to user if [ "$result" ]; then echo "Success: Certificate is imported to java cacerts for ${host}"; else echo "Error: Something went wrong"; fi;

小开

我有同样的问题与证书错误，这是因为SNI:我使用的http客户端没有SNI实现。所以版本更新起了作用

<dependency> <groupId>org.apache.httpcomponents</groupId> <artifactId>httpclient</artifactId> <version>4.3.6</version> </dependency>

小开

你有两个选择，将自签名证书导入到java的keystore中，用于软件运行的每个jvm，或者尝试不验证ssl工厂:

jdbc:postgresql://myserver.com:5432/mydatabasename?ssl=true&sslfactory=org.postgresql.ssl.NonValidatingFactory

小开

仅适用于Windows，请遵循以下步骤:

在Chrome浏览器进入设置。

在“设置”中单击“显示高级设置”。

在“HTTPS/SSL”下单击“管理证书”。

导出您的证书。

在Windows搜索(按键盘上的Windows键)输入java。

选择(配置Java)选项，将打开Java控制面板

在Java控制面板中选择安全选项卡

选择管理证书

单击Import

在(用户)选项卡下选择证书类型为(受信任证书)

点击导入按钮，浏览下载的证书并导入。

小开

重启帮助是巧合(我希望如此，万岁!)。问题的真正原因是:当Gradle被指示使用特定的密钥存储库时，该密钥存储库还必须包含所有正式的根证书。否则，它不能从常规存储库访问库。我要做的是:

导入自签名证书:

keytool -import -trustcacerts -alias myselfsignedcert -file /Users/me/Desktop/selfsignedcert.crt -keystore ./privateKeystore.jks

添加官方根证书:

keytool -importkeystore -srckeystore <java-home>/lib/security/cacerts -destkeystore ./privateKeystore.jks

也许Gradle守护进程也在其中。如果事情开始变得暗淡，可能值得杀死所有使用./gradlew --status找到的正在运行的守护进程。

最初的发布:
我知道没人会相信的。不过，如果其他方法都失败了，不妨试一试: 在我的Mac的重新启动后，问题消失了。叽阿。< / p > < p >背景: ./gradlew jar一直告诉我“无法找到请求目标的有效认证路径”

我只能使用自签名证书，从浏览器保存，导入privateKeystore.jks中。然后指导Gradle使用privateKeystore.jks:

org.gradle.jvmargs=-Djavax.net.debug=SSL -Djavax.net.ssl.trustStore="/Users/me/IntelliJ/myproject/privateKeystore.jks" -Djavax.net.ssl.trustStorePassword=changeit

如前所述，这仅在重新启动后有效。

小开

AVG版本18.1.3044 (Windows 10)干扰我的本地Spring应用程序。

解决方案:进入AVG部分称为“Web和电子邮件”，并禁用“电子邮件保护”。
. AVG如果站点不安全，将阻止证书

小开

这解决了我的问题，

我们需要将证书导入到本地java。如果不是，我们可以得到下面的异常。

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1949) at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:302)

SSLPOKE是一个工具，你可以在你的本地机器上测试https连接。

命令测试连通性。

"%JAVA_HOME%/bin/java" SSLPoke <hostname> 443

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:387) at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292) at sun.security.validator.Validator.validate(Validator.java:260) at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324) at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229) at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124) at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496) at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:216) at sun.security.ssl.Handshaker.processLoop(Handshaker.java:1026) at sun.security.ssl.Handshaker.process_record(Handshaker.java:961) at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1062) at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375) at sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:747) at sun.security.ssl.AppOutputStream.write(AppOutputStream.java:123) at sun.security.ssl.AppOutputStream.write(AppOutputStream.java:138) at SSLPoke.main(SSLPoke.java:31) Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141) at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126) at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280) at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:382) ... 15 more

keytool -import -alias <anyname> -keystore "%JAVA_HOME%/jre/lib/security/cacerts" -file <cert path>

这将首先提示“Enter keystore password:”changeit是默认密码。最后一个提示“信任这个证书?”[no]:"，提供"yes"将证书添加到密钥库。

Verfication:

C:\tools>"%JAVA_HOME%/bin/java" SSLPoke <hostname> 443 Successfully connected

小开

在我的例子中，我用Java 1.6运行MacOs High Sierra。cacert文件的位置与Gabe martin - dempasy回答中提到的位置不同。cacert文件也已经链接到另一个位置(/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts)。

使用FireFox，我将证书从该网站导出到一个名为“exportedCertFile.crt”的本地文件。从那里，我使用keytool将证书移动到cacert文件中。这就解决了问题。

bash-3.2# cd /Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security/ bash-3.2# keytool -importcert -file ~/exportedCertFile.crt -alias example -keystore cacerts -storepass changeit

小开

首先下载ssl证书，然后您可以转到您的java bin路径在控制台中执行以下命令。

C:\java\JDK1.8.0_66-X64\bin>keytool -printcert -file C:\Users\lova\openapi.cer -keystore openapistore

小开

确保https://176.66.3.69:6443/有有效的证书。你可以先通过浏览器检查它如果它在浏览器中工作，它将在java中工作。

这对我很有用

小开

在我的例子中，我的密钥存储库和信任存储库都具有相同的证书，因此删除信任存储库有帮助。有时，如果您有多个证书副本，则证书链可能会成为问题。

小开

有很多方法可以解决这个问题…

一种方法是在keystore文件中设置TrustStore证书，并将其放在应用程序的路径中，并在main方法中设置这些系统属性:

public static void main(String[] args) { System.setProperty("javax.net.ssl.trustStore", "trust-store.jks"); System.setProperty("javax.net.ssl.trustStorePassword", "TrustStore"); ... }

另一种方法是将密钥存储库作为资源文件放在项目jar文件中并加载它:

public static SSLContext createSSLContext(String resourcePath, String pass) throws NoSuchAlgorithmException, KeyStoreException, IOException, CertificateException, UnrecoverableKeyException, KeyManagementException { // initialise the keystore final char[] password = pass.toCharArray(); KeyStore ks = KeyStore.getInstance("JKS"); ks.load(ThisClass.class.getResourceAsStream(resourcePath ), password); // Setup the key manager factory. KeyManagerFactory kmf = KeyManagerFactory.getInstance("SunX509"); kmf.init(ks, password); // Setup the trust manager factory. TrustManagerFactory tmf = TrustManagerFactory.getInstance("SunX509"); tmf.init(ks); SSLContext sslc = SSLContext.getInstance("TLS"); sslc.init(kmf.getKeyManagers(), tmf.getTrustManagers(), null); return sslc; } public static void main(String[] args) { SSLContext.setDefault( createSSLContext("/trust-store.jks", "TrustStore")); ... }

在windows中，你也可以尝试这个解决方案:https://stackoverflow.com/a/59056537/980442

我从证书颁发机构CA .crt文件中创建了keystore文件，如下所示:

keytool -import -alias ca -keystore trust-store.jks -storepass TrustStore -trustcacerts -file ca.crt

供参考:https://docs.oracle.com/javadb/10.8.3.0/adminguide/cadminsslclient.html

小开

有这样的问题。

尝试了一些解决方案。但我发现，即使是同一个项目，在别人的工作场所，也完全没问题。不需要额外的设置。所以我们猜测这是环境问题。我们尝试改变JDK版本，IDE，但没有工作。调查花了大约4个小时，直到我们尝试了评分最高的答案。我没有发现答案中提到的错误，但我通过浏览器发现关于HTTP URL(锁)有一个查尔斯的认证。然后我意识到我的查尔斯一直在开着。只要我把它关掉，它就能正常工作
所以我留下了我的经验可能对你的案子有帮助。

小开

我遵循的简单步骤。

<强>问题:< / >强我试图连接到一个端点(https://%s.blob.core.windows.net)使用一个简单的java类(主要方法)。

我遇到了这个认证问题就像上面提到的。

<强>解决方案:< / >强

通过浏览器(chrome)获取证书。为此，在浏览器中粘贴端点URL并输入。现在你会看到一个锁图标，点击它——>证书——>细节——比;复制到文件—>下载它。

以admin身份打开cmd(我使用的是windows)，然后导航到你下载了.cer文件的目录。

3.(可选)如果你在同一台机器上使用多个JDK，那么修改你的JDK版本，使其与你在应用程序中使用的版本一致。

现在使用下面的命令

keytool -import -alias mycertificate -keystore quot 文件\ Java \ jdk-11.0.5 \ lib \安全\ cacerts"- file myurlcrt.cer < / p >

默认密码:changeit

信任此证书:是

这样就做完了。

谢谢!

小开

就像最初的问题一样——如何忽略证书错误，这里为那些使用SpringBoot和RestTemplate的人提供了解决方案

@Service public class SomeService { private final RestTemplate restTemplate; private final ObjectMapper objectMapper; private static HttpComponentsClientHttpRequestFactory createRequestFactory() { try { SSLContextBuilder sslContext = new SSLContextBuilder(); sslContext.loadTrustMaterial(null, new TrustAllStrategy()); CloseableHttpClient client = HttpClients.custom().setSSLContext(sslContext.build()).setSSLHostnameVerifier(NoopHostnameVerifier.INSTANCE).build(); HttpComponentsClientHttpRequestFactory requestFactory = new HttpComponentsClientHttpRequestFactory(); requestFactory.setHttpClient(client); return requestFactory; } catch (KeyManagementException | KeyStoreException | NoSuchAlgorithmException var3) { throw new IllegalStateException("Couldn't create HTTP Request factory ignore SSL cert validity: ", var3); } } @Autowired public SomeService(RestTemplate restTemplate, ObjectMapper objectMapper) { this.objectMapper = objectMapper; this.dimetorURL = dimetorURL; restTemplate.setRequestFactory(createRequestFactory()); } public ResponseEntity<ResponseObject> sendRequest(RequestObject requestObject) { //... return restTemplate.exchange(url, HttpMethod.GET, ResponseObject.class); //... } }

小开

如果在maven或maven的TestNG中得到这个错误:

从目标网站下载证书并在您的计算机上安装证书(使用上面建议的keytool，或在windows上)

向maven参数(命令行和/或IDE)添加以下内容: -Djavax.net.ssl.trustStore = C: \ \用户me.keystore -Djavax.net.ssl.trustStorePassword = X 其中X是在keytool步骤中使用的密码
c:\用户\我密钥存储库也应该设置为与您的机器匹配。例如:

mvn -ea -Dtestng.dtd.http=true -Djavax.net.ssl.trustStore=C:\Users\me\.keystore -Djavax.net.ssl.trustStorePassword=X -Dmaven.wagon.http.ssl.insecure=true -Dmaven.wagon.http.ssl.allowall=true -Dmaven.wagon.http.ssl.ignore.validity.dates=true -Dcucumber.features=src/test/resources -Dcucumber.glue=com.myapp -Dcucumber.filter.tags="@MY_TEST"

小开

Download the certificate from Nexus3 Browser (click on the lock-pad for View Site Information in case of Edge broser) Click on Connection is secure Click on the certificate details Click on Copy To file (it opens up export certificate wizard) Choose Base-64 encoding Browse and select a download location and file-name (let’s say mycert) Open cmd Goto the download location and execute the below command keytool -import -alias mycert -keystore "<<your-JAVA_HOME-directory>>\jre\lib\security\cacerts" -file mycert.cer Restart the machine Execute maven build again.

小开

这是我在macOS上使用的方法。将server-name和server-port替换为您自己的。

在终端上运行这两个命令。

从远程服务器下载证书

openssl x509 -in <(openssl s_client -connect server-name:server-port -prexit 2>/dev/null) -out ~/server-name.crt

将证书导入Java密钥存储库

sudo keytool -importcert -file ~/server-name.crt -alias server-name -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit

重新启动应用程序，certs错误就会消失!

小开

这适用于任何你只需要安装JDK的操作系统:

从远程服务器下载证书:

keytool -printcert -rfc -sslserver <your remote server hostname> > /tmp/remorte-cert.crt

导入证书到您的JDK密钥库:

keytool -importcert -file /tmp/remorte-cert.crt -alias <an alias for your remote server> -storepass changeit -keystore "${JAVA_HOME}/lib/security/cacerts" -noprompt

小开

如果你在2022年来到这里，用的是mac，请跟着我

1. 下载证书。

echo -n | openssl s_client -connect <ServerName>:<PORT> -servername <ServerName> \ | openssl x509 > /tmp/<ServerName>.cert

2. 通过执行命令找到JDK路径。

/usr/libexec/java_home

3.现在将证书导入到jdk的cert-store中。

sudo keytool -import -alias mycertificate -keystore "<JDK_HOME>/lib/security/cacerts" -file /tmp/<ServerName>.cert