报错 | PKIX path building failed: ...SunCertPathBuilderException:unable to find valid certification...

最新推荐文章于 2025-04-24 11:21:16 发布
最新推荐文章于 2025-04-24 11:21:16 发布
阅读量3.9w 收藏 73
点赞数 20
分类专栏: 报错 杂记 文章标签: https java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuzhongyi103/article/details/131515281
版权

文章目录

01 问题场景

在Java中访问不受信任的HTTPS网站时,会提示报错信息:

PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

翻译成中文是:

PKIX路径构建失败:sun.security.provider.certpath.SunCertPathBuilderException:无法找到请求目标的有效认证路径。

这是由于JVM (Java Virtual Machine) 默认信任证书不包含该目标网站的SSL证书,导致无法建立有效的信任链。

02 分析问题

JVM自己维护有一个默认的信任证书,是一个没有后缀名的文件,文件名为cacerts,位于java安装路径下,例如:

C:\Program Files\Java\jdk-17\lib\security\cacerts

当Java访问https的网站时,通常不会出现这一异常,但有的https网站,因为种种原因,存在证书不受信任的问题,使用浏览器访问会出现如下界面:

在这里插入图片描述
Java访问这种网站就会导致报错。

03 三种解决方案

经过我的一番搜寻,网上一般有解决方案:

  1. 信任所有SSL证书
    参考:https://developer.aliyun.com/article/812846
    这种方案不失为一种解决办法,但除了存在安全问题,还会对代码造成侵入,且在框架项目中不易集成。

  2. 将不信任的证书加入到JVM默认信任证书
    参考:https://www.cnblogs.com/qixing/p/11883494.html
    这种方案避免了代码入侵的问题,但想到要对java自带的默认文件动手动脚,且加入的还是不受信任的证书,多少有些不合适,而且加入后以后可能会忘记复原,或是要备份原始默认文件。

  3. 单独为不信任的网站生成证书并在项目中指定
    这也是本文使用的方案,避免了上面两个方案的问题。

04 解决步骤

4.1 获取目标网站的SSL证书

因为我是访问自己的网站,我作为站长,有自己的证书,就不涉及获取目标网站证书的问题,如果需要获取,也不困难,直接在浏览器网页左上角点击图标,进行导出即可(可自行百度),导出后通常为.crt.pem文件。

4.2 创建一个Java信任库

创建一个Java信任库(Truststore),并将目标网站的SSL证书导入其中。使用java自带的keytool命令行工具来完成此操作。在cmd中使用命令:

keytool -import -keystore <信任库文件路径> -storepass <密码> -alias alias_for_certificate -file <证书文件路径>

该命令由4个部分组成:
keytool -import 用于导入的命令
-keystore <信任库文件路径> 希望生成的信任库文件,例如路径可以写:C:\Users\abc\Desktop\truststore.jks
-storepass <密码> 设置一个信任库密码
-alias alias_for_certificate -file <证书文件路径> 指定要导入的证书文件,例如可以写:C:\Users\abc\Desktop\cert.pem

4.3 告知JVM使用信任库

在你的Java应用程序中,告知JVM使用你刚刚创建的信任库。使JVM在运行时加载该信任库。
通过设置以下系统属性来实现:

System.setProperty("javax.net.ssl.trustStore", "<信任库文件路径>");	// 刚才填写的路径
System.setProperty("javax.net.ssl.trustStorePassword", "<密码>");	// 刚才填写的密码

这样问题就得到解决了!

05 补充

5.1 命令行提示没有keytool的解决

通常是因为jdk没有加入环境变量造成的,可以加入环境变量再试,或者直接cd到keytool所在的路径执行命令,例如我的keytool工具存放位置在:C:\Program Files\Java\jdk-17\bin目录下。

5.2 SpringBoot项目中如何指定信任库

将上面的两行代码放到SpringApplication.run()所在位置即可。示例:

@SpringBootApplication
public class DemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
        // 代码放到这里 可以使用相对路径
        System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\truststore.jks");
        System.setProperty("javax.net.ssl.trustStorePassword", "123456");
    }
}
PKIX path building failed: ...SunCertPathBuilderException:unable to find valid certification
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
06-18 491
http请求忽略SSL证书
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to fi
m0_37593004的博客
04-15 1167
HTTPS 报错 Caused by: javax.net.ssl.SSLHandshakeException: General SSLEngine problem at sun.security.ssl.Alerts.getSSLException(Alerts.java:192) ~[na:1.8.0_171] at sun.security.ssl.SSLEngineImpl.fatal(SSLEngineImpl.java:1728) ~[na:1.8.0_171]
JavaPKIX path building failed: SunCertPathBuilderException解决方法汇总
netyeaxi的专栏
09-15 5722
PKIX path building failed: SunCertPathBuilderException解决方法汇总
验证证书unable to find valid certification path to requested target
05-07
分析: 当在Java中使用URL.openConnection().connect()方法进行HTTPS请求时,如果遇到PKIX path building failed异常,通常意味着Java运行环境在验证服务器证书链时遇到了问题。具体错误信息sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target指出Java虚拟机(JVM)无法找到一个可信的路径来验证服务器提供的SSL/TLS证书。 这个问题的根本原因是Java的信任存储(通常是JKS格式的证书库,默认位于$JAVA_HOME/lib/security/cacerts文件中)中没有包含服务器证书的根CA证书,或者服务器证书本身不是由受信任的CA签发,或者证书链不完整。 解决: 参考资源中《验证证书unable to find valid certification path to requested target问题解决.txt》
java使用ssl协议发送邮件,出现 PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderExcep
weixin_54501932的博客
04-24 153
网上找了一大圈,大部分都是让安装证书,或者忽略ssl加密都是比较繁琐的后来找到一种方式,3行代码就可以解决这个问题设置`MailSSLSocketFactory`信任所有主机和开启SSL加密。此方法适用于不希望进行复杂证书安装或忽略SSL加密的情况。
问题PKIX path building failed unable to find valid certification path to requested target分析
gongjin28_csdn的博客
05-08 1573
解决这一问题的核心在于确保Java环境能够信任目标服务器的证书,要么通过确保证书链的有效性和完整性,要么通过手动将所需证书添加到Java的信任存储中。对于生产环境,强烈建议遵循最佳实践,使用权威CA签发的证书,并保持Java环境的安全更新。
SunCertPathBuilderException: unable to find valid certification path to requested target问题处理
山巅
02-04 1758
RestTemplate ssl跳过证书验证。
SunCertPathBuilderException: unable to find valid certification path to requested target
t0m的专栏
02-01 2192
背景: 使用HttpClient4.5发送post请求,对方需要使用证书,需要本地安装证书,之后本地正常请求https,部署到centos后,安装证书,发送http请求报错SunCertPathBuilderException: unable to find valid certification path to requested target 证书安装: keytool -import -v -trustcacerts -alias spdbuat -file spdbuat.cer -
解决 PKIX path building failed: && unable to find valid certification path to requested target
热门推荐
qq_43406318的博客
03-20 1万+
java 项目 访问 https url 时报错PKIX path building failed: && unable to find valid certification path to requested target
SunCertPathBuilderException: unable to find valid certification path
司马懿的西山居
10-11 8524
Project build error: Non-resolvable parent POM for com.example:test:0.0.1-SNAPSHOT: Failure to transfer org.springframework.boot:spring- boot-starter-parent:pom:2.1.9.RELEASE from https://repo.maven....
【编程问题】SunCertPathBuilderException: unable to find valid certification path to requested target
李晋江的博客
03-13 1519
SSL安全证书校验导致的异常问题解决 SunCertPathBuilderException: unable to find valid certification path to requested target
PKIX path building failed
qq_19586619的博客
08-09 2407
生产环境业务流程走不通,查了es后以为请求其他服务器资源有错,错误如下: [http-nio-9097-exec-1] sun.security.validator.ValidatorException: PKIX path building fai led: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target java
maven-pom报错PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
qq_40302378的博客
03-05 1147
问题描述: Failure to transfer org.apache.maven:maven-archiver:pom:2.5 from https://maven.aliyun.com/repository/public was cached in the local repository, resolution will not be reattempted until the updat...
解决eclipse的PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException问题
qq_38069453的博客
07-06 1567
因为远程办公,使用了VPN,而且还无法关闭的VPN的情况下,(如果vpn可以断开的小伙伴,你可以直接断开vpn连个热点试试,一般没问题,如果不行你再看下面的文章)eclipse的MarketPlace打开之后报错PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException...
jdk17保存图片到本地报错PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
最新发布
05-16
当在 JDK17 中尝试通过 HTTPS 协议下载图片并保存到本地时,可能会遇到 `PKIX path building failed` 或者 `.SunCertPathBuilderException: unable to find valid certification path to requested target` 的错误。...
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException
qq_1259799716的博客
03-26 1431
相信大家在开发过程中肯定遇到过这样的异常信息这个异常信息的大致意思就是咱们用java发送http请求时,证书无法验证目标网址的证书是否有效。关于这块的原因分析大家请自行百度~
Java Apache Http绕过Https证书校验:PKIX failed: SunCertPathBuilderException:unable to find valid certificat
张小凡
07-23 478
Java Apache Http绕过Https证书校验:PKIX failed: SunCertPathBuilderException:unable to find valid certificat
because it violates the following Content Security Policy directive: "img-src 'self' data: base64"
04-10
### 解决Content Security Policy (CSP) img-src 'self' data: base64 错误 当遇到 `img-src` CSP 指令违反策略的问题时,通常是由于网页尝试加载不符合指定来源的图像资源引起的。以下是可能的原因以及解决方案: #### 原因分析 1. **CSP 策略定义不足** 当前 CSP 中设置了 `img-src 'self'`,这意味着只有来自同一源(即当前域名)的图片才能被加载。如果页面中有通过 `data:` 或者其他外部 URL 加载的图片,则会被阻止[^1]。 2. **Base64 图像嵌入问题** 使用 Base64 编码的内联图像是一种常见的优化手段,但如果未显式允许 `data:` 协议,在 CSP 下这些图像将无法正常显示。 3. **动态生成的内容冲突** 动态注入 HTML 内容可能导致意外行为,尤其是当内容中包含不受信任的数据时,这可能会触发 CSP 警告或错误。 --- #### 解决方案 ##### 方法一:扩展 `img-src` 定义范围 修改 `<meta>` 标签中的 CSP 策略以支持更多类型的图像来源。例如: ```html <meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self'; img-src 'self' data:;"> ``` 上述配置表示除了允许同源的图片外,还允许基于 Base64 的编码图像加载。 ##### 方法二:调整服务器端响应头 如果 CSP 是由 HTTP 头部设置而非 `<meta>` 标签控制,则需更新 Web 服务器配置文件。对于 Nginx 和 Apache 分别有以下示例: - **Nginx** ```nginx add_header Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self' data;"; ``` - **Apache** ```apache Header set Content-Security-Policy "default-src 'self'; script-src 'self'; img-src 'self' data;" ``` 以上更改确保浏览器能够识别并接受 Base64 数据作为合法的图像来源[^1]。 ##### 方法三:移除违规代码片段 检查前端代码是否存在非法调用第三方资源的情况。比如某些框架库自动插入了跨域请求或者使用了未经许可的协议加载媒体资产。清理掉不必要的部分有助于减少潜在风险。 ##### 方法四:启用报告机制捕获异常事件 为了更好地监控实际运行状况,建议开启 CSP Reports 功能收集反馈日志以便后续改进措施制定。 ```html <meta http-equiv="Content-Security-Policy" content="... report-uri /csp-report-endpoint"> ``` 此操作会把每次发生的违禁访问记录提交至指定 URI 地址供管理员审查处理。 --- ### 示例代码展示 下面给出一段简单的 PHP 页面演示如何正确应用增强后的 CSP 设置防止类似问题再次发生。 ```php <?php header('Content-Security-Policy: default-src \'self\'; script-src \'self\'; img-src \'self\' data:'); ?> <!DOCTYPE html> <html lang="en"> <head> <title>CSP Example</title> </head> <body> <!-- 合法本地图片 --> <img src="/images/example.jpg"> <!-- 合法base64编码图片 --> <img src="data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAUA..." alt="Embedded Image"> <h1>Secure Page Loaded Successfully!</h1> </body> </html> ``` ---
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序猿林仔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值