当前位置: 首页 > news >正文

Java HTTPS 请求失败排查与证书导入全过程

news 2025/8/2 6:44:10

文章目录

  • Java HTTPS 请求失败排查与证书导入全过程
  • 问题背景
  • 问题初步分析
  • 排查过程
    • 查看目标地址证书
    • 导入证书
    • 验证证书是否导入成功
    • 重启应用
  • 进一步验证:是否真的是证书问题?
    • 1. 浏览器访问
    • 2. 抓包工具验证(如 Charles、Wireshark)
  • 补充知识点
    • ✅ Java 中默认信任库在哪里?
    • ✅ 如果要删除已导入证书?
    • ✅ 可否使用浏览器导出证书?
  • 总结
  • 生产上解决

Java HTTPS 请求失败排查与证书导入全过程

在实际项目部署中,我们可能会遇到 Java 应用调用某个 HTTPS 接口失败,特别是涉及公司网关(如 www.test.com)或 WAF 防护设备时,问题常常集中在 SSL/TLS 证书验证失败上。本文记录一次完整的排查过程,并给出相关知识点补充。

问题背景

Java 应用通过 java.net.HttpURLConnection 或 RestTemplate 等方式请求接口 https://www.test.com,却出现如下异常:

javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

问题初步分析

该错误表明 Java 无法信任目标服务的 HTTPS 证书。常见原因有:

  • 服务端证书是自签名(Self-signed)
  • 服务端证书链不完整
  • Java SDK 默认的 cacerts 信任库中缺少对应根证书或中间证书

特别注意:Java 不使用系统证书库,而是依赖其内置的 cacerts 信任库。

排查过程

查看目标地址证书

openssl s_client -connect www.test.com:443 -showcerts

可以看到目标返回了一整套证书链,包括:

  • 服务器证书(.crt)
  • 中间证书(可能有多个)
  • 根证书(部分环境不提供)

导入证书

你可能收到运维/安全团队提供的证书文件,如:

www.test.com_public.crt
www.test.com_chain.crt
www.test.com.key

我们只需要 .crt 文件,通常导入 www.test.com_chain.crt 即可。

导入命令如下(以 JDK 默认 cacerts 为例):

keytool -importcert \-trustcacerts \-alias test-gateway \-file www.test.com_chain.crt \-keystore $JAVA_HOME/lib/security/cacerts \-storepass changeit

验证证书是否导入成功

keytool -list -keystore $JAVA_HOME/lib/security/cacerts -storepass changeit | grep duola

输出示例:

test-gateway, Jul 31, 2025, trustedCertEntry,

重启应用

# 这是走默认的cacerts信任库
java -jar my-test-project-0.0.1-SNAPSHOT.jar
# 下边是指定我们导入的信任库
java -Djavax.net.ssl.trustStore=$JAVA_HOME/lib/security/cacerts -Djavax.net.ssl.trustStorePassword=changeit -jar my-test-project-0.0.1-SNAPSHOT.jar

此时如果请求成功,即可初步判定问题解决。

进一步验证:是否真的是证书问题?

如果你怀疑是 WAF、CDN 等中间设备阻断,可以用两种方式验证:

1. 浏览器访问

浏览器访问 https://www.test.com 是否提示 “证书不受信任”?如果没有,一般说明服务器证书链是完整的,但 Java 环境中仍然缺少相应的中间证书。

2. 抓包工具验证(如 Charles、Wireshark)

查看 TLS 握手过程是否被中断或中间设备返回自定义证书。

补充知识点

✅ Java 中默认信任库在哪里?

  • 路径:$JAVA_HOME/lib/security/cacerts
  • 默认密码:changeit

✅ 如果要删除已导入证书?

keytool -delete -alias test-gateway -keystore $JAVA_HOME/lib/security/cacerts -storepass changeit

✅ 可否使用浏览器导出证书?

可以。在浏览器中点击锁图标 → 查看证书 → 导出为 .crt 文件,然后再导入 Java 信任库。

总结

这次排查证明:

Java HTTPS 请求失败,通常不是网络或 WAF 问题,而是 Java 缺少可信证书链中的中间证书

解决方法也非常明确:

  1. 获取目标服务的完整证书链
  2. 将链中缺失的证书导入 Java 的 cacerts 信任库
  3. 重启应用验证是否成功

如果你在实际部署中也遇到类似问题,不妨从证书入手,按图索骥逐步排查。

生产上解决

证书等级提升,开始是从阿里云上够买个人免费版证书,提升证书等级就行了

http://www.dtcms.com/a/309688.html

相关文章:

  • 从豆瓣小组到深度洞察:一个基于Python的舆情分析爬虫实践
  • 【05】VM二次开发——模块参数配置--带渲染/不带渲染(WinForm界面调用 模块参数配置)
  • JVM指针压缩的那些事
  • JVM学习日记(十三)Day13
  • C#线程同步(二)锁
  • 【工具变量大全】上市公司实证研究常用控制变量数据集(2001-2024年)
  • sqli-labs通关笔记-第26a关GET字符注入(多重关键字过滤绕过 手注法)
  • qt贝塞尔曲线演示工具
  • Product Hunt 每日热榜 | 2025-08-01
  • 5-EP4CE10F17C8-引脚配置
  • Fiddler中文版使用指南 提升开发流程的一站式抓包与调试体验
  • 大模型幻觉的本质:深度=逻辑层次,宽度=组合限制,深度为n的神经网络最多只能处理n层逻辑推理,宽度为w的网络无法区分超过w+1个复杂对象的组合
  • 搭建体育直播系统所需的核心数据接入
  • 深度解析:Nginx的卓越性能
  • C# 中生成随机数的常用方法
  • 消息顺序、消息重复问题
  • 在VScode里运行并调试C++程序
  • SpringMVC的拦截器
  • Mermaid流程图可视化系统:基于Spring Boot与Node.js的三层架构实现
  • gradio作为原型工具
  • 专业餐饮直播如何激发食欲与购买欲?
  • zabbix的PostgreSQL监控模板中文环境采集问题处理
  • 【BFS】P7555 [USACO21OPEN] Maze Tac Toe S|普及+
  • Java向量化
  • C语言使用GmSSL库实现sm3、sm4算法
  • SH3001六轴传感器应用(二)(IIC驱动开发)
  • Linux---编辑器vim
  • JAVA结合AI
  • Linux 硬盘分区管理
  • 工程化(一):Vite vs. Webpack:从“打包”到“服务”,构建工具的范式转移