下载安全证书到jdk中的cacerts证书库

最近在公司遇到访问https请求，JDK返回异常信息的问题。返回如下：

java.lang.Exception: java.lang.Exception: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

通过查找网上各种资料， 需要将服务器的安全证书添加到JVM的配置中。

在JVM中缺省的证书存放路径如下 $JAVA_HOME/jre/lib/security/cacerts, 我们需要把服务器的证书添加到这个文件中。

在网上检索了一下， 发现要手工获取服务器端证书还是比较困难，需要在借助浏览器提供的证书导出功能， 而且这样做还特别容易出错。后来发现在Github上面有一个现成的证书安装Java程序可以直接使用。 于是记录下了具体的使用步骤：

1. 下载InstallCert.java。下载地址：

wget https://raw.githubusercontent.com/escline/InstallCert/master/InstallCert.java

2.编译代码

javac InstallCert.java

 3.执行代码

java InstallCert [--proxy=proxyHost:proxyPort] [:port]

 点击回车

4.从创建的jsseccerts密钥库中提取证书

keytool -exportcert -alias [host]-1 -keystore jssecacerts -storepass changeit -file [host].cer

 5.将证书导入系统密钥库

sudo keytool -importcert -alias [host] -keystore [path to system cacerts] -storepass changeit -file [host].cer 

 

注意：从java11开始，可以用-cacerts，不使用路径

Note since Java 11, you can use the -cacerts flag instead of -keystore [cacerts path]

sudo keytool -importcert -alias [host] -cacerts -storepass changeit -file [host].cer 

 

参考资料

如何在JDK中添加安全证书 - 知乎

https://github.com/escline/InstallCert#access-server-and-retrieve-certificate-accept-default-certificate-1