Java JCE:验证X509自签名证书时发生异常
我们为SSL/TLS开发了一个定制的JCE安全提供者 我们的一个用户在客户端遇到服务器证书验证失败。这是常见的“找不到请求目标的有效认证路径”错误。(是的,证书在信任库中。) 注意:尽管我们正在实现一个自定义提供程序,但我们依赖于信任管理器的标准JCE提供程序,在TLS握手期间使用javax.net.ssl.X509TrustManager.checkServerTrusted(X509Certificate[]chain,String)Java JCE:验证X509自签名证书时发生异常,java,ssl,x509certificate,jce,Java,Ssl,X509certificate,Jce,我们为SSL/TLS开发了一个定制的JCE安全提供者 我们的一个用户在客户端遇到服务器证书验证失败。这是常见的“找不到请求目标的有效认证路径”错误。(是的,证书在信任库中。) 注意:尽管我们正在实现一个自定义提供程序,但我们依赖于信任管理器的标准JCE提供程序,在TLS握手期间使用javax.net.ssl.X509TrustManager.checkServerTrusted(X509Certificate[]chain,String) sun.security.validator.Valid
sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:387)
at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
at sun.security.validator.Validator.validate(Validator.java:260)
at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:105)
[snip]
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:146)
at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:131)
at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:382)
...
***
Found trusted certificate:
[
[
Version: V3
Subject: CN=[snip], OU=[snip], O=[snip], L=Bangalore, ST=[snip], C=IN
Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
Key: Sun RSA public key, 2048 bits
modulus: [snip]
public exponent: 65537
Validity: [From: Wed Feb 17 14:45:40 IST 2016,
To: Thu Nov 20 14:45:40 IST 2070]
Issuer: CN=[snip], OU=[snip], O=[snip], L=Bangalore, ST=[snip], C=IN
SerialNumber: [ 5cf68160]
Certificate Extensions: 1
[1]: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
[snip]
]
]
]
Algorithm: [SHA256withRSA]
Signature:
[snip]
]
[编辑3]添加了接受的发行人段落事实证明,这是缓存信任管理器的问题 使用默认提供程序或我们的自定义提供程序,信任管理器最初使用cacerts信任库进行实例化 使用默认提供程序,新的信任管理器稍后将使用javax.net.ssl.trustStore指定的信任库进行实例化。我们的自定义提供程序只是重新使用以前实例化的cacerts信任管理器
解决方案:实例化一个新的信任管理器,它将尊重javax.net.ssl.trustStore。事实证明,这是缓存信任管理器的问题 使用默认提供程序或我们的自定义提供程序,信任管理器最初使用cacerts信任库进行实例化 使用默认提供程序,新的信任管理器稍后将使用javax.net.ssl.trustStore指定的信任库进行实例化。我们的自定义提供程序只是重新使用以前实例化的cacerts信任管理器
解决方案:实例化一个新的信任管理器,它将尊重javax.net.ssl.trustStore。此问题不是名称检查,因为只有在路径验证成功后才会发生,并且仅适用于某些应用程序,例如HTTPS。但是,如果/当它完成时,您的文本显示“他们”(用户?)使用127.0.0.1,但您的跟踪显示证书具有CN=localhost;这些名称不相同,在尝试时将不匹配,即使通常都是同一主机和伪接口的名称。至于您的实际问题,我可以确认自签名证书和hostname=localhost工作正常,您显然也这样做了。。。。。。除了(secprop)jdk.certpath.disabledAlgorithms之外,我想不出任何JVM设置,它对于给定JRE中的所有应用都应该是相同的,并且无论如何都不会影响这种情况。我能建议的最好方法是尝试使用sysprop java.security.debug=certpath运行,看看它所说的是否有帮助?我意识到127.0.0.1和localhost是不同的。然而,在我的测试代码中,无论我使用127.0.0.1还是localhost(有或没有提供程序),都可以使用该证书成功地建立连接。而且,我设法把错误的证书放在了帖子里。这是来自以前的连接,我们在其中充当服务器(没有问题)。我会试试certpath,看看它给了我什么。谢谢,这里有点奇怪。java.security.debug=certpath在使用默认提供程序或使用我的测试代码时(即所有不显示异常的场景)似乎不会产生任何输出。但是对于失败的案例,我得到了大量的输出(使用采用者的应用程序和我们的安全提供商)。调试功能直接打印在
系统上。err2>/dev/nulltm.getAcceptedissuers()javax.net.ssl.trustStore*