javax.net.ssl.SSLHandshakeExceptionエラーを解決する方法

VPNに接続して在庫APIをセットアップし、製品リストを取得したところ、問題なく動作しました。Webサービスから結果を取得したら、UIにバインドします。また、PayPalを私のアプリケーションに統合して、エクスプレスチェックアウトの支払いを行うと、このエラーが発生します。私はバックエンドプロセスにサーブレットを使用しています。誰でもこの問題を修正する方法を言うことができますか？

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException:
unable to find valid certification path to requested target

まず、接続しようとしているサーバーから公開証明書を取得する必要があります。これは、サーバー管理者に連絡して要求する、OpenSSLを使用してダウンロードする、またはこれはHTTPサーバーのように見えるため、任意のブラウザーでサーバーに接続してページのセキュリティ情報を表示するなど、さまざまな方法で実行できます。 、証明書のコピーを保存します。（Googleは、特定のブラウザーに対して何をすべきかを正確に指示できるはずです。）

証明書をファイルに保存したので、証明書をJVMのトラストストアに追加する必要があります。時$JAVA_HOME/jre/lib/security/のJREまたは$JAVA_HOME/lib/securityJDKのために、名前のファイルがありますcacertsJavaの付属しており、よく知られた証明機関の公開証明書が含まれています、。新しい証明書をインポートするには、cacertsへの書き込み権限を持つユーザーとしてkeytoolを実行します。

keytool -import -file <the cert file> -alias <some meaningful name> -keystore <path to cacerts file>

ほとんどの場合、パスワードを要求します。Javaに付属するデフォルトのパスワードはchangeitです。ほとんど誰もそれを変更しません。これらの比較的単純な手順を完了すると、適切なサーバーおよび適切なサーバーのみと通信していることを確認しながら、安全に通信できます（秘密キーを紛失しない限り）。

今私はこの方法でこの問題を解決しました、

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.OutputStream; 

// Create a trust manager that does not validate certificate chains like the default 

TrustManager[] trustAllCerts = new TrustManager[]{
        new X509TrustManager() {

            public java.security.cert.X509Certificate[] getAcceptedIssuers()
            {
                return null;
            }
            public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType)
            {
                //No need to implement.
            }
            public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType)
            {
                //No need to implement.
            }
        }
};

// Install the all-trusting trust manager
try 
{
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} 
catch (Exception e) 
{
    System.out.println(e);
}

もちろん、このソリューションはkeytool、一時的な証明書を使用したローカルテストなどを使用して必要な証明書をインストールできないシナリオでのみ使用する必要があります。

URLに接続しようとするたびに、

他のサイトのサーバーがhttpsプロトコルで実行されており、証明書で提供される情報を介して通信する必要がある場合は、次のオプションがあります。

1）証明書を要求し（証明書をダウンロード）、この証明書をトラストアにインポートします。Trustore Javaのデフォルトの使用は\ Java \ jdk1.6.0_29 \ jre \ lib \ security \ cacertsにあり、URLへの接続を再試行すると、接続が受け入れられます。

2）通常のビジネスケースでは、組織の内部URLに接続している可能性があり、それらが正しいことがわかっています。そのような場合、それが正しいURLであると信頼します。上記のような場合、特定のURLに接続するための証明書の保存を要求しないコードを使用できます。

ポイント2では、以下の手順に従う必要があります。

1）HttpsURLConnectionのHostnameVerifierを設定するメソッドを以下に記述します。これは、trustStoreを信頼することを意味するすべての場合にtrueを返します。

  // trusting all certificate 
 public void doTrustToCertificates() throws Exception {
        Security.addProvider(new com.sun.net.ssl.internal.ssl.Provider());
        TrustManager[] trustAllCerts = new TrustManager[]{
                new X509TrustManager() {
                    public X509Certificate[] getAcceptedIssuers() {
                        return null;
                    }

                    public void checkServerTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        return;
                    }

                    public void checkClientTrusted(X509Certificate[] certs, String authType) throws CertificateException {
                        return;
                    }
                }
        };

        SSLContext sc = SSLContext.getInstance("SSL");
        sc.init(null, trustAllCerts, new SecureRandom());
        HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
        HostnameVerifier hv = new HostnameVerifier() {
            public boolean verify(String urlHostName, SSLSession session) {
                if (!urlHostName.equalsIgnoreCase(session.getPeerHost())) {
                    System.out.println("Warning: URL host '" + urlHostName + "' is different to SSLSession host '" + session.getPeerHost() + "'.");
                }
                return true;
            }
        };
        HttpsURLConnection.setDefaultHostnameVerifier(hv);
    }

2）URLへの接続を試みる前にdoTrustToCertificatesを呼び出す以下のメソッドを記述します

    // connecting to URL
    public void connectToUrl(){
     doTrustToCertificates();//  
     URL url = new URL("https://www.example.com");
     HttpURLConnection conn = (HttpURLConnection)url.openConnection(); 
     System.out.println("ResponseCode ="+conn.getResponseCode());
   }

この呼び出しは応答コードを返します= 200は接続が成功したことを意味します。

詳細とサンプルの例については、URLを参照してください。

SSLを使用して何かに接続しようとしているが、ベリサインなどのルート証明機関によって検証されていない証明書が何かによって提供されていると思います。基本的に、安全な接続は、接続しようとしている人が知っている場合にのみ確立できます。取引相手の鍵またはベリサインなどの他のverndorが介入し、提供されている公開鍵が実際に正しいと言うことができます。

すべてのOSが信頼するのは少数の認証局と小規模な証明書発行者であり、大規模な認証機関の1つが認証機関のチェーンを作成し、認証を取得する必要があります。

とにかくポイントに戻って.. JavaアプレットとJavaサーバーをプログラミングするときに同様の問題がありました（うまくいけば、すべてのセキュリティをどのように機能させるかについて完全なブログ投稿を書くでしょう:)）

本質的に私がしなければならなかったことは、サーバーから公開鍵を抽出し、それをアプレット内のキーストアに格納することでした。サーバーに接続したときに、このキーストアを使用してトラストファクトリを作成し、そのトラストファクトリでsslを作成しました。接続。JVMの信頼できるホストにキーを追加したり、起動時にデフォルトの信頼ストアを変更したりするなど、別の手順もあります。

私は約2か月前にこれを行いましたが、現在ソースコードはありません。Googleを使用すれば、この問題を解決できるはずです。メッセージを返せず、プロジェクトの関連するソースコードを提供できる場合は、これらの例外の原因となるコードを提供していないため、問題が解決するかどうかはわかりません。さらに、なぜアプレットがサーバーレットで機能しないのかわからないと思ってアプレットで作業していました...

PS私のオフィスでは外部SSHが無効になっているため、週末までにソースコードを取得できません:(

SSLHandshakeExceptionは2つの方法で解決できます。

1. SSLの組み込み

   • SSLを取得します（ソースシステム管理者に問い合わせることで、opensslコマンドでダウンロードすることも、ブラウザで証明書をダウンロードすることもできます）。

   • JRE / lib / securityにあるトラストストア（cacerts）に証明書を追加します

   • トラストストアの場所をvm引数で「-Djavax.net.ssl.trustStore =」として提供します

2. SSLを無視する

   この＃2については、別のstackoverflow Webサイトで他の回答を参照してください： JavaでSSL検証エラーを無視してSSL証明書エラーを無視する方法

今私はこの方法でこの問題を解決しました、

import javax.net.ssl.HttpsURLConnection;
import javax.net.ssl.SSLContext;
import javax.net.ssl.TrustManager;
import javax.net.ssl.X509TrustManager;
import java.io.OutputStream;
// Create a trust manager that does not validate certificate chains like the 
default TrustManager[] trustAllCerts = new TrustManager[] {
    new X509TrustManager() {
        public java.security.cert.X509Certificate[] getAcceptedIssuers() {
            return null;
        }
        public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) {
            //No need to implement. 
        }
        public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) {
            //No need to implement. 
        }
    }
};
// Install the all-trusting trust manager
try {
    SSLContext sc = SSLContext.getInstance("SSL");
    sc.init(null, trustAllCerts, new java.security.SecureRandom());
    HttpsURLConnection.setDefaultSSLSocketFactory(sc.getSocketFactory());
} catch (Exception e) {
    System.out.println(e);
}