CAS SSO 错误返回PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:

最新推荐文章于 2025-11-17 15:31:45 发布
原创 最新推荐文章于 2025-11-17 15:31:45 发布 · 1w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sso #jdk

在CAS单点登录项目实施中遇到SSLHandshakeException,原因是客户端和服务器端JDK版本不一致或证书问题。解决办法是参照兔哥的博客重新生成证书并导入到正确JDK的证书库中,注意CAS服务器主机名填写正确,并删除已存在的证书。

在用CAS做单点登录项目时,主要参考的是兔哥的博客:诸位请看,先感激一下下:http://www.kafeitu.me/sso/2010/11/05/sso-cas-full-course.html



配置好后,run客户端,输入了用户名和密码,但是从服务器端跳转到客户端的时候出现了下列错误:

ava.lang.RuntimeException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:341)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:305)

    org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50)

    org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)

    org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169)

    org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116)

    org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:76)


root cause

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    sun.security.ssl.Alerts.getSSLException(Alerts.java:192)

    sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1836)

    sun.security.ssl.Handshaker.fatalSE(Handshaker.java:276)

    sun.security.ssl.Handshaker.fatalSE(Handshaker.java:270)

    sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1337)

    sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:154)

    sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)

    sun.security.ssl.Handshaker.process_record(Handshaker.java:804)

    sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:966)

    sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1262)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1289)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1273)

    sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:523)

    sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)

    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1296)

    sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:326)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:305)

    org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50)

    org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)

    org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169)

    org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116)

    org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:76)


root cause

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:385)

    sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)

    sun.security.validator.Validator.validate(Validator.java:260)

    sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)

    sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)

    sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)

    sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1319)

    sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:154)

    sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)

    sun.security.ssl.Handshaker.process_record(Handshaker.java:804)

    sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:966)

    sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1262)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1289)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1273)

    sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:523)

    sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)

    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1296)

    sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:326)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:305)

    org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50)

    org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)

    org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169)

    org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116)

    org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:76)


root cause

sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

    sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:196)

    java.security.cert.CertPathBuilder.build(CertPathBuilder.java:268)

    sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:380)

    sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)

    sun.security.validator.Validator.validate(Validator.java:260)

    sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:326)

    sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:231)

    sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:126)

    sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1319)

    sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:154)

    sun.security.ssl.Handshaker.processLoop(Handshaker.java:868)

    sun.security.ssl.Handshaker.process_record(Handshaker.java:804)

    sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:966)

    sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1262)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1289)

    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1273)

    sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:523)

    sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)

    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1296)

    sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:326)

    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:305)

    org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:50)

    org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)

    org.jasig.cas.client.validation.AbstractTicketValidationFilter.doFilter(AbstractTicketValidationFilter.java:169)

    org.jasig.cas.client.authentication.AuthenticationFilter.doFilter(AuthenticationFilter.java:116)

    org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:76)



原因:客户端run的jdk 和server端run的jdk版本不同,或者你拥有多个jdk,在配置的时候,run的其实不是你导入证书的那个jdk.


解决方案:请参考第一行 兔哥的博客,去重新生成一个证书,到你要用的jdk中。


重新生成中请注意:

1.“ 您的名字和姓氏” 这一项,其实是你cas server端的host name,不要乱写。 一开始我写成了自己的名字,在运行项目的时候说,找不到我的服务器名字。


2. 导入到jdk证书库的时候,有提示说已存在某证书名。 请先删除:

(1)先切到 你的jdk ->jre->lib->security 哩

(2) 在用命令删除已存在的证书: keytool -delete -alias wsria -keystore cacerts -storepass 666666 

注:-alias 是化名的意思,在创建的时候已用到。

-keystore 就是键库的意思,在securty下有个文件cacerts是存储键的。

-storepass  就是你创建这个key的时候用到的密码。 输入正确密码才能删除已有的key.


whyzh
关注
当用的RestTemplate去调用api时,解决报错java.security.cert.CertificateException: No name matching
weixin_41686049的博客
04-10 903
q=java+%e5%bf%bd%e7%95%a5%e4%b8%bb%e6%9c%ba%e5%90%8d%e9%aa%8c%e8%af%81 访问时间 2023/4/10.: 与必应的对话, 2023/4/10(1) Java忽略过期证书, 没有证书的 Java https 请求, 禁用 ssl 证书验证 java, Java ssl 证书验证, Java .... https://zditect.com/article/52430912.html 访问时间 2023/4/10.
Java错误:com.netflix.client.ClientException: Load balancer does not have available server for client
CSBIGDOG的博客
03-10 6051
检查客户端和服务端的配置,确保它们能够正确地与服务注册中心通信,并且服务名称(如module-sso。:查看服务注册中心、服务提供者以及客户端的日志,看是否有更详细的错误信息可以帮助定位问题。:确保服务实例正在运行并且已经注册到服务注册中心,且被调用的模块也在注册中心中存在。:可能所有对应的服务实例都没有运行,或者由于某种原因(如崩溃、维护等)都不可用。:可能是因为网络问题导致客户端无法连接到服务注册中心或者服务实例。:确保网络没有问题,客户端可以访问服务注册中心和服务实例。)已经在服务注册中心
SSL.7z,解决PKIX path building failed 的问题
03-10
PKIX path building failed 的问题。解决本地环境中报错 PKIX path building failed 的问题。 其中有产生证书的代码,将运行产生的证书放在文档中指定位置即可
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilder
weixin_46028606的博客
05-02 8721
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilder
解决:PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderExcep—SSL证书导入Java信任库
最新发布
记录工作生活中的学习笔记和心得体会
11-17 810
本文记录了在内网服务器通过Nginx代理调用第三方API时遇到的SSL证书校验问题及解决方案。由于内网环境无法直接访问外网API,而Nginx代理使用了自签证书导致Java报错"unable to find valid certification path"。解决方法是通过OpenSSL导出API请求地址对应的合法证书,并将其导入Java信任库,确保请求地址证书、Java信任库证书和Nginx证书三者一致。最终通过重新配置证书成功解决问题。文章强调遇到问题应先准确定位问题点,避免盲目尝试
Springboot报错:PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
qq_35155680的博客
09-09 2791
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target minio报错问题解决
springboot PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
只会hello world的小白啊
07-14 2335
驱动程序无法通过使用安全套接字层(SSL)加密与 SQL Server 建立安全连接。
解决PKIX path building failed的问题
03-17
标题中的“解决PKIX path building failed的问题”是一个关于网络安全和证书验证的常见错误,通常出现在Java应用程序中。当一个程序尝试通过HTTPS连接到一个服务器时,如果Java的信任存储(Truststore)不包含服务器...
sso.rar_DotNetCasClient.dll_sso_sso 单点登录_单点登录_鍗曠偣鐧诲綍
09-20
"sso.rar"中的"DotNetCasClient.dll"是一个关键组件,它是.NET平台上实现CAS(Central Authentication Service)协议的客户端库,用于支持SSO功能。 CAS是耶鲁大学开发的一种开放源代码的SSO框架,它提供了一个中心...
CAS(SSO)-.zip_CAS_CAS SSO_java sso_sso java
09-24
单点登录(Single Sign-On,简称SSO)是...尽管文档可能存在一些错误,但总体上,它会为你提供一个全面的CAS SSO实现指南。在实践过程中,注意理解和适应不同的应用场景,以便更好地利用SSO提升用户体验和系统安全性。
异常:PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
小单的博客专栏
06-26 3万+
问题 java使用httpclient或者restTemplate进行https请求时,出现如下异常: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertP...
Jsoup爬取缺少安全证书异常
qq_42897733的博客
05-21 912
项目场景: 抓取https网站数据失败 问题描述: 出现异常: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested t
报错 | PKIX path building failed: ...SunCertPathBuilderException:unable to find valid certification...
热门推荐
野生猿林仔的博客
07-03 4万+
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target的解决方案。
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
02-25 3418
原文地址 JDBC driver : mssql-jdbc-10.2.0.jre11.jar链接AZURE云数据库时出现以下错误PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 解决方案就是将设置连接字符串trustServerCertificate=true
解决:PKIX path building failed: sun.security.provider.cert path.SunCertPathBuilderException
harden_no1的博客
09-22 2623
解决:PKIX path building failed: sun.security.provider.cert path.SunCertPathBuilderException
解决http 发送请求出现 PKIX PATH BUILDING FAILED: SUN.SECURITY.PROVIDER.CERTPATH.SUNCERTPATHBUILDEREXCEP 问题
tazuxianzai的博客
05-06 4550
描述 用myeclipse发送http(post)请求时,报PKIX PATH BUILDING FAILED失败的错,原因是到请求网站的tls/ssl证书找不到,解决方法是往myeclipse项目的jdksecurity目录下的cacert密钥库中增加需要的证书。 参考文章: 解决 MAVE 打包过程中出现“PKIX PATH BUILDING FAILED: SUN.SECURITY.PROVIDER.CERTPATH.SUNCERTPATHBUILDEREXCEP. 流程 到请求网站下载证书 把证
解决CAS单点登录出现PKIX path building failed的问题
weixin_30886233的博客
12-22 297
在一次调试中,出现了这个错误PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 详细报错信息如下: 严重: sun.secu...
调用第三方SSO登录接口报:javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed:
05-08
### 调用第三方SSO登录接口时出现SSL握手异常问题的解决方案 当调用第三方单点登录(SSO)接口时遇到 `javax.net.ssl.SSLHandshakeException` 和 `sun.security.validator.ValidatorException: PKIX path building failed` 的错误,通常是因为客户端无法验证服务器提供的SSL/TLS证书的有效性。以下是详细的分析和解决方案。 #### 错误原因 该错误表明Java应用程序未能找到一条有效的认证路径来验证目标站点的SSL证书。这可能是由于以下原因之一引起的: - 服务器使用的SSL证书未被Java的信任库(cacerts文件)识别。 - 服务器配置了自签名证书或中间CA未受信任。 - 客户端网络环境中的代理或其他安全设备干扰了SSL连接过程[^1]。 #### 解决方案一:导入正确的根证书到JVM信任库 如果可以获取并确认服务器所使用的是合法但尚未安装至本地JDK/JRE cacerts的信任链,则可以通过手动将其添加进来解决问题: ```bash keytool -import -alias yourAliasName -keystore $JAVA_HOME/jre/lib/security/cacerts -file server-cert.cer ``` 执行此命令前需下载对应的`.cer`格式证书文件,并替换默认密码`changeit`为实际值(视操作系统版本而定)[^1]。 #### 解决方案二:忽略SSL验证(仅用于测试) 对于开发阶段或者非生产环境中允许临时关闭HTTPS校验逻辑以便继续调试业务功能的情况,可采用如下方法实现对所有SSL请求均予以放行处理: ```java public static CloseableHttpClient createInsecureClient() { try { SSLContext sslContext = SSLContexts.custom() .loadTrustMaterial((chain, authType) -> true) // 自动接受任何证书 .build(); HostnameVerifier hostnameVerifier = NoopHostnameVerifier.INSTANCE; SSLConnectionSocketFactory socketFactory = new SSLConnectionSocketFactory( sslContext, hostnameVerifier); return HttpClients.custom().setSSLSocketFactory(socketFactory).build(); } catch (NoSuchAlgorithmException | KeyManagementException | KeyStoreException e) { throw new RuntimeException(e); } } ``` 注意这种方法存在严重的安全隐患,在正式部署之前务必移除此类代码片段[^2]。 #### 总结 针对上述提到的不同场景分别采取相应措施能够有效应对因SSL Handshake失败引发的各种状况。推荐优先考虑正规途径即更新信任存储而非轻易放弃安全性保障。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值