问题PKIX path building failed unable to find valid certification path to requested target分析

1.问题分析：

        在Java中，当你尝试使用java.net.URL和java.net.HttpURLConnection进行HTTPS请求时，遇到sun.security.validator.ValidatorException: PKIX path building failed这样的错误，它通常意味着Java虚拟机在验证服务器SSL证书链的过程中遇到了问题。具体来说：

PKIX Path Building Failed：

        这个错误涉及到公钥基础设施(Public Key Infrastructure, PKIX)，它是用于验证SSL/TLS证书完整性的标准过程。当Java安全框架试图从服务器提供的证书构建一条到可信根证书颁发机构(Certificate Authority, CA)的信任路径时，如果无法建立这条信任链，就会抛出这个异常。

SunCertPathBuilderException：

        这是更具体的异常类型，指出在构建证书路径过程中出现问题。unable to find valid certification path to requested target表明Java无法找到一个有效的证书路径到达目标服务器的证书颁发者，也就是说，服务器证书或其上层中间证书未被Java默认信任存储区所信任。

2.解决方法层次分析及步骤：

1. 检查服务器证书

• 确保服务器配置的SSL证书是由一个受广泛信任的CA签发的，并且证书链完整无误。如果没有正确安装完整的证书链，包括所有必要的中间证书，客户端可能无法建立起信任路径。

2. 配置Java信任存储

• 如果服务器证书由内部CA签发或者是一个自签名证书，你需要将该证书添加到Java的信任存储中。这可以通过以下几个步骤实现：

  • 导出服务器证书（或整个证书链）到一个文件（如.crt或.pem格式）。

  • 使用keytool命令行工具将证书导入到Java的信任存储：

    keytool -importcert -file server_certificate.crt -keystore $JAVA_HOME/lib/security/cacerts -alias myservercert
    1

    其中server_certificate.crt替换为实际的证书文件名，myservercert是别名，可以根据需要自行指定。

  • 输入信任存储的密码（默认通常是changeit），确认导入成功。

3. 更改应用信任策略

• 在某些情况下，你可能需要在代码级别更改SSL上下文的信任策略，以允许特定的证书或忽略证书验证。但这不是推荐的做法，因为它会降低安全性，除非是在测试环境中临时使用。
• 具体的更改策略代码实战：【代码解决方案，戳我跳转→→→】

4. 更新Java版本或安全库

• 确认使用的Java版本包含最新的安全更新和受信任的根证书列表。有时，较旧的Java版本可能不包含对新颁发证书的信任支持。

总结：

        解决这一问题的核心在于确保Java环境能够信任目标服务器的证书，要么通过确保证书链的有效性和完整性，要么通过手动将所需证书添加到Java的信任存储中。对于生产环境，强烈建议遵循最佳实践，使用权威CA签发的证书，并保持Java环境的安全更新。