个人中心
文章发布
退出
作者热门文章
- iOS/Objective-C 元类和类别
- objective-c - -1001 错误,当 NSURLSession 通过 httpproxy 和/etc/hosts
- java - 使用网络类获取 url 地址
- ios - 推送通知中不播放声音
24
4
我在两个不同的 tomcats t1 和 t2 上安装了两个 https web 应用程序 app1 和 app2(t1 和 t2 在不同的机器上)。在 app1 中时我与 app2 建立了 url 连接,但出现 SSL 握手错误。原因是我在 app2 中使用了不存在的自签名证书在 app1 jvm 信任库中。因此,正确的修复方法是在 JAVA-HOME/jre/lib/security 中安装自签名证书。要做的同样,我已按照 http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/ 给出的步骤进行操作.不同论坛建议采用相同的步骤。但是我仍然遇到相同的 SSL 握手错误
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.
provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Unknown Source)
虽然我通过在 JVM trustore 中提到以下参数摆脱了这个 SSLHandshakeException。-Djavax.net.ssl.trustStore=C:.keystore-Djavax.net.ssl.trustStorePassword=changeit
我的问题是为什么第一种方法(这是正确的方法),即将 jssecacerts 文件放在/lib/security 下不起作用?还有一点是第一种方法和第二种方法有什么不同?
最佳答案
Though it i got rid of this SSLHandshakeException by mentioning below parameters in JVM trustore. -Djavax.net.ssl.trustStore=C:.keystore -Djavax.net.ssl.trustStorePassword=changeit
不清楚您尝试使用这些选项做什么。您可以使用默认的信任库(通常为 jssecacerts, if it exists; otherwise, cacerts ),也可以指定您自己的信任库。 .keystore 倾向于用作 keystore ,而不是信任库(尽管没有默认的 JSSE 值)。 (顺便说一下,我还会指定完整路径而不是 C:.keystore。)
复制原始 cacerts(或 jssecacerts)文件可能更好(如果您更改了某些内容,请删除您放置的额外文件)并将您的远程证书添加到其中(即,如果需要,app1 副本中的 app2 证书和 app2 副本中的 app1 证书)。
您可以使用 keytool -list -keystore keystore.jks 列出证书(如果需要,请参阅帮助以获取更多选项)。
您可以使用 keytool -export -keystore server1-keystore.jks -alias server_alias -file server1.crt 导出证书。
然后,将其导入另一个信任库:keytool -import -keystore client2-truststore.jks -file server1.crt。 (这里,client2-truststore.jks 将是 cacerts 的副本。)然后,配置运行 Apache Tomcat(不一定是 Tomcat 连接器)的 JVM 以使用它。您应该能够在 catalina.sh (JAVA_OPTS=-D...) 中设置 JVM 参数。
编辑:
My question here is why first approach(which is proper approach) i.e putting the jssecacerts file under /lib/security is not working?
为了更直接地回答您的问题,我刚刚仔细检查了干净的 Oracle JRE 6 安装 (1.6.0_31),jssecacerts 优先于 cacerts存在时(如 JSSE 引用指南中所述,因此似乎没有错误)。我不确定 Oracle 将 Andreas Sterbenz 的 Sun 博客移到了哪里,所以我不确定您使用的是 InstallCert 的哪个副本。我想我那里出了问题。
据我所知,InstallCert 连接到服务器以获取其证书(替换上面的导出步骤):您实际上假设您在第一次连接时获得的证书是正确的一个(并且可以信任)。您还可以获得该证书 using OpenSSL .但是,在您的情况下,您似乎可以控制两台服务器及其各自的 keystore ,因此您不妨使用 keytool -export 来确定。
Another point is what is different between first and second approach ?
第一种方法(更改 jssecacerts)为将使用此 JRE 安装的所有应用程序设置配置,而第二种方法将这些设置应用于仅运行 Apache Tomcat 的 JVM。
请注意,如果您没有 jssecacerts 而只有 cacerts 文件,如果您只将证书导入 jssecacerts, cacerts 将被忽略,因此您将无法连接到具有通常默认情况下受信任的 CA 颁发的证书的服务器。这就是为什么从默认文件的副本开始会很有用。 (此外,如果您的应用程序还连接到通常默认情况下受信任的其他站点,这也可以解释为什么这次您会在不同的地方收到此错误消息。)
最终,it's your responsiblity to check what's in jssecacerts or cacerts :
IMPORTANT NOTE: The JDK ships with a limited number of trusted root certificates in the /lib/security/cacerts file. As documented in keytool, it is your responsibility to maintain (that is, add/remove) the certificates contained in this file if you use this file as a truststore.
Depending on the certificate configuration of the servers you contact, you may need to add additional root certificate(s). Obtain the needed specific root certificate(s) from the appropriate vendor.
关于java - 查询 jvm truststore 和 jssecacerts 文件?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/9853169/
24
4
0
是否可以复制一个完整的 JVM,并且在故障转移的情况下只需将负载转移到复制的 JVM 上? 如果是,那我们该怎么做呢? 最佳答案 如果您的应用程序是 Web 应用程序,请阅读“集群”和“负载平衡”。大
我读了下面的话,但我想知道它们之间的区别...... JVM 规范、JVM 实现、JVM 运行时 最佳答案 JVM 规范:描述 JVM 应如何运行的文档。 JVM 实现:基于 JVM 规范的 JVM
我目前有四个不同的 java 应用程序,它们由 .bat 文件启动的 jar 运行,这些文件位于 Windows XP Embedded 开始菜单的 starup 文件夹中。我还启动了 Firefox
有人能给我一些关于强制 64 位 jvm 作为 32 位 jvm 运行的想法吗? 我需要为蓝牙连接编写一个 jse 桌面应用程序。为此,我需要实现 Bluecove jar 。它只有 32 位文件。所
我看到过关于这个问题的多条评论——有人说是,有人说不是,许多答案模棱两可。任何人都可以用更简单的术语描述它所在的位置吗?在一篇文章中,我什至看到有人说它与类加载器加载类的类内存共享相同的内存位置 -
我正在寻找所有可能的 jvm 退出代码的完整列表(不是 java System.exit(x))。我使用搜索引擎唯一能找到的是 SIGTERM 退出代码列表:http://journal.thobe.
为了监视任何正常的 Java 进程 JVM,我们可以使用 Attach API。是否有可用于监控 WebSphere JVM 的 API? 最佳答案 您可以使用 PMI(性能监控基础设施)来监控 JV
这个问题在这里已经有了答案: 8年前关闭。 Possible Duplicate: Java - C-Like Fork? 我想知道如何从 JDK fork 子 JVM,甚至有可能这样做吗? 一些框架
JVM 上的哪些图灵完备语言实现不使用 JVM 堆栈作为调用堆栈? (我问是因为我想在同一个线程中实现 Scala 和另一种语言之间的协程。) 最佳答案 闪蝶 SISC(方案代码的第二解释者) 曾经不
我看到here除了 Java 之外,还有很多语言可以在 JVM 上运行。我对在 JVM 中运行的其他语言的整个概念有些困惑。所以: 为 JVM 使用其他语言有什么优势? 为 JVM 编写语言/编译器需
我已经运行了 straced JVM (OpendJDK 11): strace -e trace=mmap java -Xms8192m Main 输出是: mmap(NULL, 8192, PRO
我已经运行了 straced JVM (OpendJDK 11): strace -e trace=mmap java -Xms8192m Main 输出是: mmap(NULL, 8192, PRO
我编写了一个简单的数独求解器。为了粗略测试性能,我使用简单的 System.currentTimeMillis 调用。 我在文本文件中准备了一组初始数独配置。该程序读取该文件并解决每个数独配置。运行测
JVM 被广泛使用:Scala、Groovy、Jython 等。我听说它被描述为“卓越”、“出色”和“严重低估”。为什么? 更具体地说,是什么让 JVM 独一无二?随着所有资金投入 .NET,或者 C
这个问题在这里已经有了答案: 10年前关闭。 Possible Duplicate: Are there any Java VMs which can save their state to a fi
想象一下 6-7 台服务器的设置都完全相同Java 版本“1.6.0_18”OpenJDK 运行时环境 (IcedTea6 1.8) (fedora-36.b18.fc11-i386)OpenJDK
(如有错误请指正) 我了解到,当您通过发出 java 命令来运行 java 程序时, java MyProg 程序将在新的 JVM 上运行。 什么将程序加载到新的 JVM 中?是生成新线程的 JRE
我们有一个使用 JNI 的桌面应用程序偶尔会导致 JVM 崩溃。幸运的是,JVM 会生成一个 hs_err_pidXXXX.log 文件,这对于调试此类错误非常有用。然而,它似乎总是转到当前工作目录,
我在命令提示符下运行一个程序集 jar 文件并得到下面的异常。并导致终止。 Uncaught error from thread [ccp-akka.persistence.dispatchers.d
一、什么是Java虚拟机 虚拟机:指以软件的方式模拟具有完整硬件系统功能、运行在一个完全隔离环境中的完整计算机系统 ,是物理机的软件实现。常用的虚拟机有VMWare,Visual Box,Java
我是一名优秀的程序员,十分优秀!