Làm thế nào để giải quyết lỗi javax.net.ssl.SSLHandshakeException?

Tôi đã kết nối với VPN để thiết lập API kiểm kê để lấy danh sách sản phẩm và nó hoạt động tốt. Khi tôi nhận được kết quả từ dịch vụ web và tôi liên kết với giao diện người dùng. Và tôi cũng đã tích hợp PayPal với ứng dụng của mình để thực hiện thanh toán Nhanh khi thực hiện cuộc gọi thanh toán, tôi đang gặp phải lỗi này. Tôi sử dụng servlet cho quá trình back-end. Bất kỳ ai có thể cho biết làm thế nào để khắc phục sự cố này?

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target

Trước tiên, bạn cần lấy chứng chỉ công khai từ máy chủ mà bạn đang cố kết nối. Điều đó có thể được thực hiện theo nhiều cách, chẳng hạn như liên hệ với quản trị viên máy chủ và yêu cầu nó, sử dụng OpenSSL để tải xuống hoặc, vì đây có vẻ là một máy chủ HTTP, kết nối với nó bằng bất kỳ trình duyệt nào, xem thông tin bảo mật của trang và lưu một bản sao của chứng chỉ. (Google sẽ có thể cho bạn biết chính xác những gì cần làm cho trình duyệt cụ thể của bạn.)

Bây giờ bạn đã lưu chứng chỉ trong một tệp, bạn cần thêm chứng chỉ đó vào kho lưu trữ tin cậy của JVM. Tại $JAVA_HOME/jre/lib/security/đối với JRE hoặc $JAVA_HOME/lib/securityđối với JDK, có một tệp có tên cacerts, đi kèm với Java và chứa các chứng chỉ công khai của Cơ quan cấp chứng chỉ nổi tiếng. Để nhập chứng chỉ mới, hãy chạy keytool với tư cách người dùng có quyền ghi vào cacerts:

keytool -import -file <the cert file> -alias <some meaningful name> -keystore <path to cacerts file>

Rất có thể nó sẽ yêu cầu bạn nhập mật khẩu. Mật khẩu mặc định được vận chuyển với Java là changeit. Hầu như không ai thay đổi nó. Sau khi hoàn thành các bước tương đối đơn giản này, bạn sẽ giao tiếp an toàn và đảm bảo rằng bạn đang nói chuyện với đúng máy chủ và chỉ máy chủ phù hợp (miễn là họ không bị mất khóa riêng).

Bây giờ tôi đã giải quyết vấn đề này theo cách này,

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.OutputStream; 

// Create a trust manager that does not validate certificate chains like the default 

TrustManager[] trustAllCerts = new TrustManager[]{
        new X509TrustManager() {

            public java.security.cert.X509Certificate[] getAcceptedIssuers()
            {
                return null;
            }
            public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType)
            {
                //No need to implement.
            }
            public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)
            {
                //No need to implement.
            }
        }
};

// Install the all-trusting trust manager
try 
{
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} 
catch (Exception e) 
{
    System.out.println(e);
}

Tất nhiên, giải pháp này chỉ nên được sử dụng trong các trường hợp không thể cài đặt các chứng chỉ bắt buộc bằng cách sử dụng keytoolví dụ: thử nghiệm cục bộ với các chứng chỉ tạm thời.

Bất cứ khi nào chúng tôi cố gắng kết nối với URL,

nếu máy chủ tại trang web khác đang chạy trên giao thức https và bắt buộc chúng tôi phải giao tiếp thông qua thông tin được cung cấp trong chứng chỉ thì chúng tôi có tùy chọn sau:

1) yêu cầu chứng chỉ (tải xuống chứng chỉ), nhập chứng chỉ này vào cửa hàng tin cậy. Bạn có thể tìm thấy cách sử dụng java đáng tin cậy mặc định trong \ Java \ jdk1.6.0_29 \ jre \ lib \ security \ cacerts, sau đó nếu chúng tôi thử kết nối lại với kết nối URL sẽ được chấp nhận.

2) Trong các trường hợp kinh doanh thông thường, chúng tôi có thể đang kết nối với các URL nội bộ trong các tổ chức và chúng tôi biết rằng chúng đúng. Trong những trường hợp như vậy, bạn tin tưởng rằng đó là URL chính xác, Trong những trường hợp như vậy ở trên, mã có thể được sử dụng mà sẽ không bắt buộc phải lưu trữ chứng chỉ để kết nối với URL cụ thể.

đối với điểm số 2, chúng ta phải làm theo các bước sau:

1) viết bên dưới phương thức đặt HostnameVerifier cho HttpsURLConnection trả về true cho mọi trường hợp có nghĩa là chúng tôi đang tin tưởng TrustStore.

  // trusting all certificate 
 public void doTrustToCertificates() throws Exception {
        Security.addProvider(new com.sun.net.ssl.internal.ssl.Provider());
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    public X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }

                    public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        return;
                    }

                    public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        return;
                    }
                }
        };

        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, trustAllCerts, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                if (!urlHostName.equalsIgnoreCase(session.getPeerHost())) {
                    System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
                }
                return true;
            }
        };
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }

2) viết phương thức dưới đây, gọi doTrustToCertificates trước khi cố gắng kết nối với URL

    // connecting to URL
    public void connectToUrl(){
     doTrustToCertificates();//  
     URL url = new URL("https://www.example.com");
     HttpURLConnection conn = (HttpURLConnection)url.openConnection(); 
     System.out.println("ResponseCode ="+conn.getResponseCode());
   }

Cuộc gọi này sẽ trả về mã phản hồi = 200 nghĩa là kết nối thành công.

Để biết thêm chi tiết và ví dụ mẫu, bạn có thể tham khảo URL .

Tôi tin rằng bạn đang cố gắng kết nối với một thứ gì đó sử dụng SSL nhưng một thứ gì đó đang cung cấp chứng chỉ không được xác minh bởi cơ quan cấp chứng chỉ gốc như verisign .. Về bản chất, các kết nối an toàn mặc định chỉ có thể được thiết lập nếu người đang cố gắng kết nối biết các khóa đối tác hoặc một số cơ quan khác như verisign có thể bước vào và nói rằng khóa công khai đang được cung cấp thực sự là đúng ..

ALL OS's tin tưởng một số ít các tổ chức chứng nhận và các tổ chức cấp chứng chỉ nhỏ hơn cần được chứng nhận bởi một trong những nhà chứng nhận lớn tạo nên một chuỗi các nhà chứng nhận nếu bạn hiểu ý tôi ...

Dù sao thì quay lại vấn đề .. Tôi đã gặp một vấn đề tương tự khi lập trình applet java và máy chủ java (Hy vọng một ngày nào đó tôi sẽ viết một bài đăng blog hoàn chỉnh về cách tôi có tất cả bảo mật để hoạt động :))

Về bản chất những gì tôi phải làm là trích xuất khóa công khai từ máy chủ và lưu trữ nó trong kho khóa bên trong applet của mình và khi tôi kết nối với máy chủ, tôi đã sử dụng kho khóa này để tạo nhà máy tin cậy và nhà máy tin cậy đó để tạo ssl kết nối. Có các thủ tục thay đổi cũng như thêm khóa vào máy chủ đáng tin cậy của JVM và sửa đổi kho lưu trữ tin cậy mặc định khi khởi động ..

Tôi đã làm điều này khoảng hai tháng trước và không có mã nguồn trên tôi ngay bây giờ .. sử dụng google và bạn sẽ có thể giải quyết vấn đề này. Nếu bạn không thể nhắn lại cho tôi và tôi có thể cung cấp cho bạn mã nguồn phù hợp cho dự án .. Không biết điều này có giải quyết được vấn đề của bạn không vì bạn đã không cung cấp mã gây ra những ngoại lệ này. Hơn nữa, tôi đang làm việc với các applet wiht nghĩ rằng tôi không thể hiểu tại sao nó không hoạt động trên Serverlets ...

Tái bút Tôi không thể lấy mã nguồn trước cuối tuần vì SSH bên ngoài bị vô hiệu hóa trong văn phòng của tôi :(

SSLHandshakeException có thể được giải quyết theo 2 cách.

1. Kết hợp SSL

   • Nhận SSL (bằng cách hỏi quản trị viên hệ thống nguồn, cũng có thể được tải xuống bằng lệnh openssl hoặc bất kỳ trình duyệt nào tải xuống chứng chỉ)

   • Thêm chứng chỉ vào kho tin cậy (cacerts) có tại JRE / lib / security

   • cung cấp vị trí cửa hàng tin cậy trong đối số vm là "-Djavax.net.ssl.trustStore ="

2. Bỏ qua SSL

   Đối với số 2 này, vui lòng truy cập câu trả lời khác của tôi trên một trang web stackoverflow khác: Cách nhập xác minh SSL Bỏ qua lỗi chứng chỉ SSL với Java

Bây giờ tôi đã giải quyết vấn đề này theo cách này,

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.OutputStream;
// Create a trust manager that does not validate certificate chains like the 
default TrustManager[] trustAllCerts = new TrustManager[] {
    new X509TrustManager() {
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }
        public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
            //No need to implement. 
        }
        public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
            //No need to implement. 
        }
    }
};
// Install the all-trusting trust manager
try {
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
    System.out.println(e);
}