Невозможно найти действительный путь сертификации к запрошенной цели - ошибка даже после импорта сертификата

206

У меня есть клиент Java, пытающийся получить доступ к серверу с самозаверяющим сертификатом.

Когда я пытаюсь отправить сообщение на сервер, я получаю следующую ошибку:

невозможно найти действительный путь сертификации для запрошенной цели

Проведя некоторое исследование по этому вопросу, я сделал следующее.

  1. Сохранено доменное имя моего сервера в виде root.cerфайла.
  2. В JRE моего сервера Glassfish я запустил это:
    keytool -import -alias example -keystore cacerts -file root.cer
  3. Чтобы проверить, что сертификат был успешно добавлен в мой cacert, я сделал это:
    keytool -list -v -keystore cacerts
    я вижу, что сертификат присутствует.
  4. Затем я перезапустил Glassfish и удалил «пост».

Я все еще получаю ту же ошибку.

У меня есть ощущение, что это потому, что мой Glassfish на самом деле не читает файл cacert, который я исправил, но, возможно, какой-то другой.

Кто-нибудь из вас имел эту проблему и может подтолкнуть меня в правильном направлении?

TheCoder
источник
1
Просто чтобы уточнить: «У меня есть Java-клиент, пытающийся получить доступ к серверу с самозаверяющим сертификатом.»: Вы говорите об использовании клиентских сертификатов, которые являются самозаверяющими, не так ли? Есть ли какая-либо конкретная конфигурация для ваших настроек соединителя на Glassfish (в частности, настройки хранилища доверия)?
Бруно
«У меня есть Java-клиент, пытающийся получить доступ к серверу с самозаверяющим сертификатом». Вы говорите об использовании клиентских сертификатов, которые являются самозаверяющими, не так ли? - да.
TheCoder
1
Я нашел 2 настройки в Glassfish JVM: -Djavax.net.ssl.keyStore = $ {com.sun.aas.instanceRoot} /config/keystore.jks и -Djavax.net.ssl.trustStore = $ {com.sun. aas.instanceRoot} /config/cacerts.jks. Теперь мне нужно добавить сертификат к одному из них. Можете ли вы подтвердить, что это хранилище ключей, к которому я добавляю?
TheCoder
4
На сервере хранилище ключей предназначено для сертификата сервера и его закрытого ключа (хранилище ключей предназначено для того, что «принадлежит» локальной стороне). Склад доверенных сертификатов предназначен для сертификатов, используемых для проверки доверия к удаленной стороне. Вы должны добавить сертификат клиента в доверенное хранилище вашего сервера. (См это тоже, хотя Glassfish не кажется, использует местоположение по умолчанию в JRE в.)
Бруно
Это сработало Бруно. Я добавил его в свой склад доверенных лиц Glassfish. Большое спасибо за вашу помощь. Ты тоже Дирк.
TheCoder

Ответы:

155

К сожалению - это может быть много вещей - и многие серверы приложений и другие java-«обёртки» склонны играть со свойствами и своими «собственными» взглядами на цепочки для ключей, а что нет. Так что это может быть что-то совершенно другое.

Если не считать связки - я бы попробовал:

java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...

чтобы увидеть, поможет ли это. Вместо «все» можно также установить «ssl», менеджер ключей и менеджер доверия - что может помочь в вашем случае. При установке значения 'help' на большинстве платформ будет отображаться что-то вроде ниже.

Независимо от этого - убедитесь, что вы полностью понимаете разницу между хранилищем ключей (в котором у вас есть личный ключ и сертификат, с которым вы подтверждаете свою личность) и хранилищем доверенных сертификатов (которое определяет, кому вы доверяете) - и тем фактом, что ваша личность также имеет «цепочку» доверия к корню - которая отделена от любой цепочки к корню, вам нужно выяснить «кому» вы доверяете.

all            turn on all debugging
ssl            turn on ssl debugging

The   following can be used with ssl:
    record       enable per-record tracing
    handshake    print each handshake message
    keygen       print key generation data
    session      print session activity
    defaultctx   print default SSL initialization
    sslctx       print SSLContext tracing
    sessioncache print session cache tracing
    keymanager   print key manager tracing
    trustmanager print trust manager tracing
    pluggability print pluggability tracing

    handshake debugging can be widened with:
    data         hex dump of each handshake message
    verbose      verbose handshake message printing

    record debugging can be widened with:
    plaintext    hex dump of record plaintext
    packet       print raw SSL/TLS packets

Источник: # См. Http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug

Дирк-Виллем ван Гулик
источник
6
Большое спасибо! -Djavax.net.ssl.trustStore = / location_of / trustStore решил мою проблему, и отладочная информация была действительно полезна.
RHE
5
java -Djavax.net.debug = all -Djavax.net.ssl.trustStore = trustStore ... выдает следующую ошибку: Ошибка: не удалось найти или загрузить основной класс ...
rohith
1
Конечно, вам также может понадобиться указать пароль хранилища доверенных сертификатов с помощью -Djavax.net.ssl.trustStorePassword = changeit
user1754036
18

Вот решение, перейдите по ссылке ниже шаг за шагом:

http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/

JAVA FILE: чего нет в блоге

/*
 * Copyright 2006 Sun Microsystems, Inc.  All Rights Reserved.
 *
 * Redistribution and use in source and binary forms, with or without
 * modification, are permitted provided that the following conditions
 * are met:
 *
 *   - Redistributions of source code must retain the above copyright
 *     notice, this list of conditions and the following disclaimer.
 *
 *   - Redistributions in binary form must reproduce the above copyright
 *     notice, this list of conditions and the following disclaimer in the
 *     documentation and/or other materials provided with the distribution.
 *
 *   - Neither the name of Sun Microsystems nor the names of its
 *     contributors may be used to endorse or promote products derived
 *     from this software without specific prior written permission.
 *
 * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
 * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
 * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 */



import java.io.*;
import java.net.URL;

import java.security.*;
import java.security.cert.*;

import javax.net.ssl.*;

public class InstallCert {

    public static void main(String[] args) throws Exception {
    String host;
    int port;
    char[] passphrase;
    if ((args.length == 1) || (args.length == 2)) {
        String[] c = args[0].split(":");
        host = c[0];
        port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
        String p = (args.length == 1) ? "changeit" : args[1];
        passphrase = p.toCharArray();
    } else {
        System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
        return;
    }

    File file = new File("jssecacerts");
    if (file.isFile() == false) {
        char SEP = File.separatorChar;
        File dir = new File(System.getProperty("java.home") + SEP
            + "lib" + SEP + "security");
        file = new File(dir, "jssecacerts");
        if (file.isFile() == false) {
        file = new File(dir, "cacerts");
        }
    }
    System.out.println("Loading KeyStore " + file + "...");
    InputStream in = new FileInputStream(file);
    KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
    ks.load(in, passphrase);
    in.close();

    SSLContext context = SSLContext.getInstance("TLS");
    TrustManagerFactory tmf =
        TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(ks);
    X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0];
    SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
    context.init(null, new TrustManager[] {tm}, null);
    SSLSocketFactory factory = context.getSocketFactory();

    System.out.println("Opening connection to " + host + ":" + port + "...");
    SSLSocket socket = (SSLSocket)factory.createSocket(host, port);
    socket.setSoTimeout(10000);
    try {
        System.out.println("Starting SSL handshake...");
        socket.startHandshake();
        socket.close();
        System.out.println();
        System.out.println("No errors, certificate is already trusted");
    } catch (SSLException e) {
        System.out.println();
        e.printStackTrace(System.out);
    }

    X509Certificate[] chain = tm.chain;
    if (chain == null) {
        System.out.println("Could not obtain server certificate chain");
        return;
    }

    BufferedReader reader =
        new BufferedReader(new InputStreamReader(System.in));

    System.out.println();
    System.out.println("Server sent " + chain.length + " certificate(s):");
    System.out.println();
    MessageDigest sha1 = MessageDigest.getInstance("SHA1");
    MessageDigest md5 = MessageDigest.getInstance("MD5");
    for (int i = 0; i < chain.length; i++) {
        X509Certificate cert = chain[i];
        System.out.println
            (" " + (i + 1) + " Subject " + cert.getSubjectDN());
        System.out.println("   Issuer  " + cert.getIssuerDN());
        sha1.update(cert.getEncoded());
        System.out.println("   sha1    " + toHexString(sha1.digest()));
        md5.update(cert.getEncoded());
        System.out.println("   md5     " + toHexString(md5.digest()));
        System.out.println();
    }

    System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
    String line = reader.readLine().trim();
    int k;
    try {
        k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
    } catch (NumberFormatException e) {
        System.out.println("KeyStore not changed");
        return;
    }

    X509Certificate cert = chain[k];
    String alias = host + "-" + (k + 1);
    ks.setCertificateEntry(alias, cert);

    OutputStream out = new FileOutputStream("jssecacerts");
    ks.store(out, passphrase);
    out.close();

    System.out.println();
    System.out.println(cert);
    System.out.println();
    System.out.println
        ("Added certificate to keystore 'jssecacerts' using alias '"
        + alias + "'");
    }

    private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

    private static String toHexString(byte[] bytes) {
        StringBuilder sb = new StringBuilder(bytes.length * 3);
        for (int b : bytes) {
            b &= 0xff;
            sb.append(HEXDIGITS[b >> 4]);
            sb.append(HEXDIGITS[b & 15]);
            sb.append(' ');
        }
        return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {

    private final X509TrustManager tm;
    private X509Certificate[] chain;

    SavingTrustManager(X509TrustManager tm) {
        this.tm = tm;
    }

    public X509Certificate[] getAcceptedIssuers() {
        throw new UnsupportedOperationException();
    }

    public void checkClientTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        throw new UnsupportedOperationException();
    }

    public void checkServerTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        this.chain = chain;
        tm.checkServerTrusted(chain, authType);
    }
    }

}
user6258309
источник
3
Это решение сработало для меня, но оно нуждается в небольшом изменении в приватном классе SavingTrustManager:public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0];}
Ричард
1
@ Richard, @ Paul, @ user6258309 Я получил сообщение об ошибке Исключение в потоке "main" java.net.SocketTimeoutException: истекло время ожидания на java.net.SocketInputStream.socketRead0 (собственный метод) на java.net.SocketInputStream.socketRead (неизвестный источник ) Как я могу это исправить
Ренджит Кришнан
5
Это «так; заманчивость» радикально небезопасна. Не используй.
Маркиз Лорн
9
Этот ответ в основном код. Это не объясняет, почему или почему не работает.
13

Вам необходимо настроить свойства системы JSSE, в частности указать хранилище сертификатов клиента.

Через командную строку:

java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Client

или через код Java:

import java.util.Properties;
    ...
    Properties systemProps = System.getProperties();
    systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore");
    systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks");
    systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts");
    systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore");
    System.setProperties(systemProps);
    ...

Для получения дополнительной информации обратитесь к подробностям на сайте RedHat .

Vic
источник
Та же проблема была с Spring Boot, микросервисами Spring Cloud и самозаверяющим SSL-сертификатом. Мне удалось установить keyStore и keyStorePassword в application.properties и заставить его работать так, как есть, но безуспешно сделать то же самое с trustStore и trustStorePassword. Этот ответ работал на меня для магазина доверия.
Матэ Шимович
7

(перепост из моего другого ответа )
Используйте утилиту cli keytool из дистрибутива программного обеспечения java для импорта (и доверия! ) необходимых сертификатов

Образец:

  1. От изменения курса dir до jre \ bin

  2. Проверьте хранилище ключей (файл находится в каталоге jre \ bin)
    keytool -list -keystore .. \ lib \ security \ cacerts
    Пароль изменен

  3. Скачайте и сохраните все сертификаты в цепочке с нужного сервера.

  4. Добавьте сертификаты (прежде чем нужно удалить атрибут "только для чтения" в файле ".. \ lib \ security \ cacerts"), выполните: keytool -alias REPLACE_TO_ANY_UNIQ_NAME -import -keystore .. \ lib \ security \ cacerts -file "r: \ root.crt»

случайно нашел такой простой совет. Другие решения требуют использования InstallCert.Java и JDK

источник: http://www.java-samples.com/showtutorial.php?tutorialid=210

Алексей Присяжный
источник
6

У меня была такая же проблема с SBT .
Он попытался извлечь зависимости из repo1.maven.org через ssl,
но сказал, что «не может найти действительный путь сертификации для запрошенного целевого URL».
поэтому я следил за этим постом и все еще не смог проверить соединение.
Поэтому я прочитал об этом и обнаружил, что корневого сертификата недостаточно, как это было предложено в посте, поэтому
для меня сработал импорт промежуточных сертификатов CA в хранилище ключей .
Я фактически добавил все сертификаты в цепочку, и это сработало как шарм.

Дэнни Мор
источник
4

Решение при переходе с JDK 8 на JDK 10

JDK 10

root@c339504909345:/opt/jdk-minimal/jre/lib/security #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 80 entries

JDK 8

root@c39596768075:/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 151 entries

Шаги, чтобы исправить

  • Я удалил сертификат JDK 10 и заменил его на JDK 8
  • Так как я создаю Docker Images, я мог быстро сделать это, используя многоэтапные сборки
    • Я строю минимальную JRE, используя jlinkкак/opt/jdk/bin/jlink \ --module-path /opt/jdk/jmods...

Итак, вот разные пути и последовательность команд ...

# Java 8
COPY --from=marcellodesales-springboot-builder-jdk8 /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts /etc/ssl/certs/java/cacerts

# Java 10
RUN rm -f /opt/jdk-minimal/jre/lib/security/cacerts
RUN ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts
Марчелло де Сэйлс
источник
2

Я работаю над учебным пособием для веб-служб REST по адресу www.udemy.com (веб-службы REST Java). В примере из учебника сказано, что для того, чтобы иметь SSL, в моем проекте клиента «eclipse» должен быть каталог «trust_store», который должен содержать файл «хранилища ключей» (у нас был проект «клиента» для вызова службы и «сервисный» проект, который содержал веб-сервис REST - 2 проекта в одной рабочей области Eclipse, один клиент, другой сервис). Для простоты они сказали скопировать «keystore.jks» с сервера приложений glassfish (glassfish \ domains \ domain1 \ config \ keystore.jks), который мы используем, и поместили его в эту папку «trust_store», которую они мне внесли в клиентский проект. Кажется, это имеет смысл: самоподписанные сертификаты на сервере s key_store будет соответствовать сертификатам в клиенте trust_store. Теперь, делая это, я получаю сообщение об ошибке, о котором говорится в оригинальном сообщении. Я прогуглил это и прочитал, что ошибка происходит из-за файла «keystore.jks» на клиенте, не содержащего доверенного / подписанного сертификата, что сертификат, который он находит, является самоподписанным.

Для ясности позвольте мне сказать, что, насколько я понимаю, «keystore.jks» содержит самозаверяющие сертификаты, а файл «cacerts.jks» содержит сертификаты CA (подписанные CA). «Keystore.jks» - это «keystore», а «cacerts.jks» - «хранилище доверенных сертификатов». Как сказал выше комментатор "Bruno", "keystore.jks" является локальным, а "cacerts.jks" - для удаленных клиентов.

Итак, я сказал себе: эй, у glassfish также есть файл "cacerts.jks", который является файлом trust_store glassfish. Предполагается, что cacerts.jsk содержит сертификаты CA. И, очевидно, мне нужно, чтобы в моей папке trust_store содержался файл хранилища ключей, в котором есть хотя бы один сертификат CA. Поэтому я попытался поместить файл «cacerts.jks» в созданную мной папку «trust_store» в своем клиентском проекте и изменить свойства виртуальной машины так, чтобы они указывали на «cacerts.jks» вместо «keystore.jks». Это избавило от ошибки. Я предполагаю, что все, что нужно, это сертификат CA для работы.

Это не может быть идеальным для производства, или даже для развития, за исключением просто заставить что-то работать. Например, вы можете использовать команду «keytool» для добавления сертификатов CA в файл «keystore.jks» на клиенте. Но в любом случае, надеюсь, это, по крайней мере, сужает возможные сценарии, которые могут происходить здесь, чтобы вызвать ошибку.

ТАКЖЕ: мой подход оказался полезным для клиента (сертификат сервера добавлен в клиент trust_store), похоже, что приведенные выше комментарии для разрешения исходного сообщения полезны для сервера (сертификат клиента добавлен в сервер trust_store). Приветствия.

Настройка проекта Eclipse:

  • MyClientProject
  • ЦСИ
  • тест
  • Системная библиотека JRE
  • ...
  • trust_store
    --- cacerts.jks --- keystore.jks

Фрагмент из файла MyClientProject.java:

static {
  // Setup the trustStore location and password
  System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks");
  // comment out below line
  System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks");
  System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
  //System.setProperty("javax.net.debug", "all");

  // for localhost testing only
  javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() {
        public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) {
          return hostname.equals("localhost");
        }

  });
}
Стив Т
источник
1

Моя проблема заключалась в том, что на моем рабочем ноутбуке было установлено ПО Cloud Access Security Broker NetSkope с помощью обновления программного обеспечения. Это изменяло цепочку сертификатов, и я все еще не мог подключиться к серверу через мой клиент Java после импорта всей цепочки в мое хранилище ключей cacerts. Я отключил NetSkope и смог успешно подключиться.

gary69
источник
1

В моем случае я столкнулся с проблемой, потому что в моем процессе tomcat хранилище ключей было задано с использованием

-Djavax.net.ssl.trustStore=/pathtosomeselfsignedstore/truststore.jks

Когда я импортировал сертификат в cacert JRE / lib / security, изменения не отражались. Затем я сделал ниже команду, где /tmp/cert1.test содержит сертификат целевого сервера

keytool -import -trustcacerts -keystore /pathtosomeselfsignedstore/truststore.jks -storepass password123 -noprompt -alias rapidssl-myserver -file /tmp/cert1.test

Мы можем дважды проверить успешность импорта сертификата

keytool -list -v -keystore /pathtosomeselfsignedstore/truststore.jks

и посмотрите, найден ли ваш taget-сервер против псевдоним rapidssl-myserver

Санджай Бхарвани
источник
0

Проверьте, существует ли файл $JAVA_HOME/lib/security/cacerts! В моем случае это был не файл, а ссылка на/etc/ssl/certs/java/cacerts а также ссылка на себя (ЧТО ???), поэтому JVM не может найти файл.

Решение: Скопируйте файл реальных cacerts ( вы можете сделать это из другого JDK ) в /etc/ssl/certs/java/каталог, и он решит вашу проблему :)

0x7E1
источник
действительно, JDK поддерживает ссылку и, возможно, для совместимости со старыми API, SDK ... Мне удалось сделать то же самое ... Я перехожу с JDK 8 на JDK 10 и использую Docker, поэтому мне просто нужно было скопировать кадры из Изображение на другое ... Я создал ссылку и точно так же ...rm -f /opt/jdk-minimal/jre/lib/security/cacerts ; ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts
Марчелло де Сэйлс
-9

Допустим, вы используете переменные classpath, такие как $ {JAVA_HOME} в pom.xml.

<target>
                    <property name="compile_classpath" refid="maven.compile.classpath"/>
                    <property name="runtime_classpath" refid="maven.runtime.classpath"/>
                    <property name="test_classpath" refid="maven.test.classpath"/>
                    <property name="plugin_classpath" refid="maven.plugin.classpath"/>
                    <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/>
                    <property name="project_home" value="${PROJECT_HOME}"/>
                    <property name="java_home" value="${JAVA_HOME}"/>
                    <property name="ant_home" value="${ANT_HOME}"/>
                    <property name="common_home" value="${COMMON_HOME}"/>
                    <property name="JAXP_HOME" value="${common_home}/lib"/>
                    <property name="ejfw_home" value="${PROJECT_HOME}/lib"/>
                    <property name="weblogic_home" value="${WL_HOME}"/>
                    <property name="fw_home" value="${FW_HOME}"/>
                    <property name="env" value="${BUILDENV}"/>
                    <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>

В целях добавьте переменные classpath. то есть .., -DANT_HOME, -DJAVA_HOME

clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:\bea1036\modules\org.apache.ant_1.7.1 -DJAVA_HOME=C:\bea1036\jdk160_31
Джаякар Джаяраман
источник
1
Пути классов и сертификаты не имеют ничего общего друг с другом.
Маркиз Лорн
1
Я полагаю, вы не поняли вопрос.
Дауд ибн Карим