通过 JLink 创建的 JRE 缺少一些安全证书 (cacerts)

【问题标题】:JRE created via JLink missing some security certificates (cacerts)通过 JLink 创建的 JRE 缺少一些安全证书 (cacerts)
【发布时间】:2020-06-15 20:03:33
【问题描述】:

我使用 JLink 工具创建了一个缩小的 JRE

jlink --add-modules java.base,jdk.crypto.ec --output jre

我创建了一个连接到https://www.example.com的非常基本的应用程序

当我使用 JDK 运行此应用程序时,一切正常。 当我使用缩小的 JRE 运行它时,我得到以下信息:

Exception in thread "main" javax.net.ssl.SSLException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
        at java.base/sun.security.ssl.Alert.createSSLException(Alert.java:133)
        at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:320)
        at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:263)
        at java.base/sun.security.ssl.TransportContext.fatal(TransportContext.java:258)
        at java.base/sun.security.ssl.SSLSocketImpl.handleException(SSLSocketImpl.java:1313)
        at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:408)
        at java.base/sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:567)
        at java.base/sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
        at java.base/sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1587)
        at java.base/sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1515)
        at java.base/java.net.HttpURLConnection.getResponseCode(HttpURLConnection.java:527)
        at java.base/sun.net.www.protocol.https.HttpsURLConnectionImpl.getResponseCode(HttpsURLConnectionImpl.java:334)
        at URLTest.printResponseCode(URLTest.java:68)
        at URLTest.main(URLTest.java:47)
Caused by: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
        at java.base/sun.security.validator.PKIXValidator.<init>(PKIXValidator.java:102)
        at java.base/sun.security.validator.Validator.getInstance(Validator.java:181)
        at java.base/sun.security.ssl.X509TrustManagerImpl.getValidator(X509TrustManagerImpl.java:300)
        at java.base/sun.security.ssl.X509TrustManagerImpl.checkTrustedInit(X509TrustManagerImpl.java:176)
        at java.base/sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:189)
        at java.base/sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:129)
        at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.checkServerCerts(CertificateMessage.java:1316)
        at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.onConsumeCertificate(CertificateMessage.java:1207)
        at java.base/sun.security.ssl.CertificateMessage$T13CertificateConsumer.consume(CertificateMessage.java:1150)
        at java.base/sun.security.ssl.SSLHandshake.consume(SSLHandshake.java:392)
        at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:443)
        at java.base/sun.security.ssl.HandshakeContext.dispatch(HandshakeContext.java:421)
        at java.base/sun.security.ssl.TransportContext.dispatch(TransportContext.java:177)
        at java.base/sun.security.ssl.SSLTransport.decode(SSLTransport.java:164)
        at java.base/sun.security.ssl.SSLSocketImpl.decode(SSLSocketImpl.java:1151)
        at java.base/sun.security.ssl.SSLSocketImpl.readHandshakeRecord(SSLSocketImpl.java:1062)
        at java.base/sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:402)
        ... 8 more
Caused by: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty
        at java.base/java.security.cert.PKIXParameters.setTrustAnchors(PKIXParameters.java:200)
        at java.base/java.security.cert.PKIXParameters.<init>(PKIXParameters.java:120)
        at java.base/java.security.cert.PKIXBuilderParameters.<init>(PKIXBuilderParameters.java:104)
        at java.base/sun.security.validator.PKIXValidator.<init>(PKIXValidator.java:99)
        ... 24 more

我注意到 JDK 中的 lib\security\cacerts 文件比缩小的 JRE 中的文件大得多(246KB 对 156KB)。当我将此文件复制到缩小的 JRE 中时,我的应用程序可以正常工作。

这表明 JLink 进程出于某种原因正在删除一些证书。我在文档中或在线看不到任何解释。我错过了什么吗?

【问题讨论】:

  • 只是为了排除它,您可以尝试使用 Java 13 吗?我不知道你在这里遗漏了什么,谷歌给我的一些点击往往围绕着手动复制一个 cacerts 文件。在您的情况下不同的是,显然 jlink 不仅产生了一个严重减少的 cacerts 文件 - 它产生了一个空文件。如果错误抱怨没有信任锚,至少我会假设。
  • 哪个 JDK 版本和操作系统仍然存在?
  • @Gimby 感谢您的回复。尝试过 OpenJDK13,它可以正常工作。所以也许这是一个暂时的错误。
  • @AlanBateman 我在 Windows 上运行,使用 Amazon Corretto 11.0.6.10.1(最新)。尝试过 OpenJDK11 它可以工作 - 所以它看起来是 Amazon Corretto 的一个问题。
  • @Jakg 我可以确认:我们在使用 Amazon Corretto 11.0.6.10.1 2020-01-14 LTS 时面临同样的问题

标签: java java-11 jlink corretto


【解决方案1】:

在 OpenJDK 上看到过这个,我认为这不是 Corretto 唯一的错误。我认为 Corretto 错误只是将一些 AWS 证书添加到常规 JDK​​ cacerts 文件中,而不是 jlink 基础模块中的 cacerts 文件中。

我们在尝试使用 keytool 添加一些新的 ca 证书时遇到了同样的问题,只更新了 JDK 中的 lib/security/cacerts 文件,而不是 jmods/java.base.jmod 中的那个文件。 cacerts 文件来源于使用 jlink 时。

解决方案是在运行 jlink 之前更新 jmods/java.base.jmod 中的 lib/security/cacerts。 .jmod 文件格式是 zip,在 zip 的开头有一个额外的标头,为 4 个字节。标头包含首字母“JM”,后跟 jmod 主要版本号 0x01 和 jmod 次要版本号 0x00。如果您有兴趣,请在https://hg.openjdk.java.net/jdk9/jdk9/jdk/file/tip/src/java.base/share/classes/jdk/internal/jmod/JmodFile.javahttps://bugs.astron.com/view.php?id=59 了解更多信息

我们在 Linux 上的修复是从 JDK 目录运行以下内容:

tail -c +5 jmods/java.base.jmod > jmods/java.base.jmod.zip
zip -ur jmods/java.base.jmod.zip lib/security/cacerts
printf "\x4a\x4d\x01\x00" | cat - jmods/java.base.jmod.zip > jmods/java.base.jmod
rm jmods/java.base.jmod.zip

【讨论】:

    【解决方案2】:
    猜你喜欢
    • 2021-09-03
    • 1970-01-01
    • 2018-03-13
    • 2015-10-24
    • 1970-01-01
    • 1970-01-01
    • 2015-11-22
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode