delete create commands java ssl keytool

java - create - keytool import certificate



No se puede encontrar una ruta de certificación válida para el objetivo solicitado, error incluso después de la importación del certificado (8)

Posible duplicado:
Creación de ruta de PKIX fallida: no se puede encontrar una ruta de certificación válida para el objetivo solicitado

Tengo un cliente de Java que intenta acceder a un servidor con un certificado autofirmado.

Cuando intento publicar en el servidor, aparece el siguiente error:

no se puede encontrar una ruta de certificación válida para el objetivo solicitado

Después de investigar un poco sobre el tema, hice lo siguiente.

  1. Guardado el nombre de dominio de mi servidor como un archivo root.cer.
  2. En mi JRE del servidor de Glassfish, ejecuté esto: keytool -import -alias ejemplo -keystore cacerts -file root.cer.
  3. Para verificar que el certificado se haya agregado exitosamente a mi cacert, hice esto: keytool -list -v -cays de StoreStore Puedo ver que el certificado está presente.
  4. Luego reinicié Glassfish y retiré la ''publicación''.

Todavía estoy recibiendo el mismo error.

Tengo la sensación de que esto se debe a que Glassfish no está leyendo realmente el archivo cacert que he modificado, pero tal vez otro.

¿Alguno de ustedes ha tenido este problema y puede empujarme en la dirección correcta?


(reenvío de mi otra respuesta )
Utilice la herramienta de clave cli keytool de la distribución de software java para importar (¡y confiar! ) Certificados necesarios

Muestra:

  1. De cli change dir a jre / bin

  2. Comprobar keystore (archivo encontrado en el directorio jre / bin)
    keytool -list -keystore .. / lib / security / cacerts
    La contraseña es changeit

  3. Descargue y guarde todos los certificados en cadena desde el servidor necesario.

  4. Agregar certificados (antes de necesitar eliminar el atributo "solo lectura" en el archivo ".. / lib / security / cacerts"), ejecute: keytool -alias REPLACE_TO_ANY_UNIQ_NAME -import -keystore .. / lib / security / cacerts -file "r: / root.crt "

accidentalmente encontré un consejo tan simple. Otras soluciones requieren el uso de InstallCert.Java y JDK

fuente: http://www.java-samples.com/showtutorial.php?tutorialid=210


Aquí está la solución, siga el siguiente enlace paso a paso:

http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/

ARCHIVO JAVA: que falta en el blog

/* * Copyright 2006 Sun Microsystems, Inc. All Rights Reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: * * - Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * * - Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * * - Neither the name of Sun Microsystems nor the names of its * contributors may be used to endorse or promote products derived * from this software without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR * PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. */ import java.io.*; import java.net.URL; import java.security.*; import java.security.cert.*; import javax.net.ssl.*; public class InstallCert { public static void main(String[] args) throws Exception { String host; int port; char[] passphrase; if ((args.length == 1) || (args.length == 2)) { String[] c = args[0].split(":"); host = c[0]; port = (c.length == 1) ? 443 : Integer.parseInt(c[1]); String p = (args.length == 1) ? "changeit" : args[1]; passphrase = p.toCharArray(); } else { System.out.println("Usage: java InstallCert <host>[:port] [passphrase]"); return; } File file = new File("jssecacerts"); if (file.isFile() == false) { char SEP = File.separatorChar; File dir = new File(System.getProperty("java.home") + SEP + "lib" + SEP + "security"); file = new File(dir, "jssecacerts"); if (file.isFile() == false) { file = new File(dir, "cacerts"); } } System.out.println("Loading KeyStore " + file + "..."); InputStream in = new FileInputStream(file); KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType()); ks.load(in, passphrase); in.close(); SSLContext context = SSLContext.getInstance("TLS"); TrustManagerFactory tmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); tmf.init(ks); X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0]; SavingTrustManager tm = new SavingTrustManager(defaultTrustManager); context.init(null, new TrustManager[] {tm}, null); SSLSocketFactory factory = context.getSocketFactory(); System.out.println("Opening connection to " + host + ":" + port + "..."); SSLSocket socket = (SSLSocket)factory.createSocket(host, port); socket.setSoTimeout(10000); try { System.out.println("Starting SSL handshake..."); socket.startHandshake(); socket.close(); System.out.println(); System.out.println("No errors, certificate is already trusted"); } catch (SSLException e) { System.out.println(); e.printStackTrace(System.out); } X509Certificate[] chain = tm.chain; if (chain == null) { System.out.println("Could not obtain server certificate chain"); return; } BufferedReader reader = new BufferedReader(new InputStreamReader(System.in)); System.out.println(); System.out.println("Server sent " + chain.length + " certificate(s):"); System.out.println(); MessageDigest sha1 = MessageDigest.getInstance("SHA1"); MessageDigest md5 = MessageDigest.getInstance("MD5"); for (int i = 0; i < chain.length; i++) { X509Certificate cert = chain[i]; System.out.println (" " + (i + 1) + " Subject " + cert.getSubjectDN()); System.out.println(" Issuer " + cert.getIssuerDN()); sha1.update(cert.getEncoded()); System.out.println(" sha1 " + toHexString(sha1.digest())); md5.update(cert.getEncoded()); System.out.println(" md5 " + toHexString(md5.digest())); System.out.println(); } System.out.println("Enter certificate to add to trusted keystore or ''q'' to quit: [1]"); String line = reader.readLine().trim(); int k; try { k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1; } catch (NumberFormatException e) { System.out.println("KeyStore not changed"); return; } X509Certificate cert = chain[k]; String alias = host + "-" + (k + 1); ks.setCertificateEntry(alias, cert); OutputStream out = new FileOutputStream("jssecacerts"); ks.store(out, passphrase); out.close(); System.out.println(); System.out.println(cert); System.out.println(); System.out.println ("Added certificate to keystore ''jssecacerts'' using alias ''" + alias + "''"); } private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray(); private static String toHexString(byte[] bytes) { StringBuilder sb = new StringBuilder(bytes.length * 3); for (int b : bytes) { b &= 0xff; sb.append(HEXDIGITS[b >> 4]); sb.append(HEXDIGITS[b & 15]); sb.append('' ''); } return sb.toString(); } private static class SavingTrustManager implements X509TrustManager { private final X509TrustManager tm; private X509Certificate[] chain; SavingTrustManager(X509TrustManager tm) { this.tm = tm; } public X509Certificate[] getAcceptedIssuers() { throw new UnsupportedOperationException(); } public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { throw new UnsupportedOperationException(); } public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { this.chain = chain; tm.checkServerTrusted(chain, authType); } } }


Digamos si estás utilizando variables classpath como $ {JAVA_HOME} en pom.xml.

<target> <property name="compile_classpath" refid="maven.compile.classpath"/> <property name="runtime_classpath" refid="maven.runtime.classpath"/> <property name="test_classpath" refid="maven.test.classpath"/> <property name="plugin_classpath" refid="maven.plugin.classpath"/> <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/> <property name="project_home" value="${PROJECT_HOME}"/> <property name="java_home" value="${JAVA_HOME}"/> <property name="ant_home" value="${ANT_HOME}"/> <property name="common_home" value="${COMMON_HOME}"/> <property name="JAXP_HOME" value="${common_home}/lib"/> <property name="ejfw_home" value="${PROJECT_HOME}/lib"/> <property name="weblogic_home" value="${WL_HOME}"/> <property name="fw_home" value="${FW_HOME}"/> <property name="env" value="${BUILDENV}"/> <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>

En objetivos, agregue las variables classpath. es decir .., -DANT_HOME, -DJAVA_HOME

clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:/bea1036/modules/org.apache.ant_1.7.1 -DJAVA_HOME=C:/bea1036/jdk160_31


Estoy trabajando en un tutorial para los servicios web REST en www.udemy.com (REST Java Web Services). El ejemplo en el tutorial decía que para tener SSL, debemos tener una carpeta llamada "trust_store" en mi proyecto de eclipse "cliente" que debe contener un archivo "key store" (teníamos un proyecto de "cliente" para llamar al servicio) , y el proyecto de "servicio" que contenía el servicio web REST: 2 proyectos en el mismo espacio de trabajo de eclipse, uno el cliente y el otro el servicio). Para simplificar, dijeron copiar "keystore.jks" del servidor de la aplicación glassfish (glassfish / domains / domain1 / config / keystore.jsk) que estamos usando y ponerlo en esta carpeta "trust_store" que me hicieron hacer en el proyecto del cliente. Eso parece tener sentido: los certificados autofirmados en la tienda_clave del servidor corresponderían a los certs en el cliente trust_store. Ahora, al hacer esto, recibí el error que menciona la publicación original. He buscado en Google esto y he leído que el error se debe al archivo "keystore.jks" en el cliente que no contiene un certificado de confianza / firmado, que el certificado que encuentra es autofirmado.

Para mantener las cosas claras, permítanme decir que, tal como lo entiendo, el "keystore.jsk" contiene certificados autofirmados, y el archivo "cacerts.jks" contiene certificados de CA (firmados por la CA). El "keystore.jks" es el "keystore" y el "cacerts.jks" es el "trust store". Como dice "Bruno", comentarista, "keystore.jks" es local y "cacerts.jks" es para clientes remotos.

Entonces, me dije, hey, glassfish también tiene el archivo "cacerts.jks", que es el archivo trust_store de glassfish. Se supone que cacerts.jsk contiene certificados de CA. Y aparentemente necesito que mi carpeta trust_store contenga un archivo de almacenamiento de claves que tenga al menos un certificado de CA. Entonces, traté de poner el archivo "cacerts.jks" en la carpeta "trust_store" que había creado, en mi proyecto de cliente y cambiar las propiedades de la máquina virtual para que apuntaran a "cacerts.jks" en lugar de a "keystore.jks". Eso eliminó el error. Creo que todo lo que necesitaba era un certificado de CA para funcionar.

Esto puede no ser ideal para la producción, o incluso para el desarrollo, más allá de hacer que algo funcione. Por ejemplo, probablemente podría usar el comando "keytool" para agregar certificados CA al archivo "keystore.jks" en el cliente. Pero de todos modos con suerte, esto al menos reduce los posibles escenarios que podrían estar ocurriendo aquí para causar el error.

TAMBIÉN: mi enfoque parecía ser útil para el cliente (certificado de servidor agregado al cliente trust_store), parece que los comentarios anteriores para resolver la publicación original son útiles para el servidor (certificado del cliente agregado al servidor trust_store). Aclamaciones.

Configuración del proyecto Eclipse:

  • MyClientProject
  • src
  • prueba
  • Biblioteca del sistema JRE
  • ...
  • trust_store
    --- cacerts.jks --- keystore.jks

Fragmento del archivo MyClientProject.java:

static { // Setup the trustStore location and password System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks"); // comment out below line System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks"); System.setProperty("javax.net.ssl.trustStorePassword", "changeit"); //System.setProperty("javax.net.debug", "all"); // for localhost testing only javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() { public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) { return hostname.equals("localhost"); } }); }


Lamentablemente, podría tratarse de muchas cosas, y muchos servidores de aplicaciones y otros "contenedores" de Java son propensos a jugar con las propiedades y sus propios "diseños" de llaveros y otras cosas. Entonces puede estar mirando algo totalmente diferente.

A falta de truss-ing, lo intentaría:

java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...

para ver si eso ayuda. En lugar de ''todo'' uno también puede establecerlo en ''ssl'', administrador de claves y administrador de confianza, lo que puede ayudar en su caso. Al establecerlo en "Ayuda" se mostrará una lista de lo siguiente en la mayoría de las plataformas.

De todos modos, asegúrese de comprender completamente la diferencia entre el almacén de claves (en el que tiene la clave privada y el certificado con el que comprueba su identidad) y el almacén de confianza (que determina en quién confía) y el hecho de que también su propia identidad tiene una ''cadena'' de confianza en la raíz, que es independiente de cualquier cadena y raíz que necesita para descubrir ''en quién'' confía.

all turn on all debugging ssl turn on ssl debugging The following can be used with ssl: record enable per-record tracing handshake print each handshake message keygen print key generation data session print session activity defaultctx print default SSL initialization sslctx print SSLContext tracing sessioncache print session cache tracing keymanager print key manager tracing trustmanager print trust manager tracing pluggability print pluggability tracing handshake debugging can be widened with: data hex dump of each handshake message verbose verbose handshake message printing record debugging can be widened with: plaintext hex dump of record plaintext packet print raw SSL/TLS packets

Fuente: # Vea http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug


Mi problema fue que un Cloud Security Broker de seguridad, NetSkope, se instaló en mi portátil de trabajo a través de una actualización de software. Esto estaba alterando la cadena de certificados y todavía no podía conectarme al servidor a través de mi cliente Java después de importar toda la cadena a mi almacén de claves de cacerts. Inhabilité NetSkope y pude conectarme con éxito.


Necesita configurar las Propiedades del sistema JSSE, específicamente apunte al almacén de certificados del cliente.

A través de la línea de comando:

java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Client

o a través de código Java:

import java.util.Properties; ... Properties systemProps = System.getProperties(); systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore"); systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks"); systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts"); systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore"); System.setProperties(systemProps); ...

Para obtener más información, consulte los detalles en el sitio RedHat .


Tuve el mismo problema con sbt .
Intentó buscar dependencias de repo1.maven.org a través de ssl
pero dijo que era "incapaz de encontrar una ruta de certificación válida para la URL de destino solicitada".
así que seguí esta publicación y todavía no pude verificar una conexión.
Así que leí sobre esto y descubrí que el certificado raíz no es suficiente, tal como lo sugirió la publicación, así que ...
Lo que funcionó para mí fue importar los certificados CA intermedios en el almacén de claves .
De hecho, agregué todos los certificados de la cadena y funcionó a las mil maravillas.