我遇到了与此处所述类似的问题:
The Webserver I talk to updated its SSL cert and now my app can't talk to it
“PKIX 路径构建失败”异常,尽管拥有有效的 Verisign 证书。
我不明白为什么当我在网络浏览器中点击相同的 URL 时服务器工作正常。
服务器正在发送整个证书链,我可以在我的网络浏览器中看到它:
(Verisign root)
-> (VeriSign Class 3 Secure Server CA - G3)
-> (my server)
但由于某种原因,Java 和 OpenSSL 命令行工具看不到它。
wget 失败,openssl s_connect 只能看到中间“G3”证书。
但 IE 和 Chrome - 没问题。
这是怎么回事?
【问题讨论】:
您在浏览器中看到的不一定是服务器发送的链,而是浏览器重构的链。 Windows 可能将 G3 中间 CA 作为受信任的锚点,而其他客户端则没有。
要检查服务器发送的实际链,请使用-showcerts 和s_connect:
openssl s_client -showcerts -connect your.host.name:443
确保以正确的顺序发送链:首先是服务器证书,然后是中间证书(如果需要)。
Certificate chain
0 s:/.../CN=your.host.name
i:/.../CN=VeriSign Class 3 Secure Server CA - G3
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
1 s:/.../CN=VeriSign Class 3 Secure Server CA - G3
i:/.../CN=Verisign root
-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
(以防万一,请检查您是否获得了正确的证书,以防万一您使用的是 SNI,但使用的是不支持它的 Java 或 OpenSSL 版本。)
Qualys SSL labs test 是一个很好的检查工具。
此外,根据 wget 或 openssl 的安装方式,它们通常没有受信任锚点的默认列表,因此您必须明确地为它们提供指向一组 CA 证书的路径。
【讨论】:
cacerts 具有根CA,但没有 是中间CA。我的 Windows 映像具有中间证书,因此浏览器很满意。
似乎G3 不被Java 和openssl 视为信任
【讨论】:
这可能是因为根证书必须驻留在本地(在客户端上)才能被信任。如果有问题的威瑞信根证书在本地不受信任,那么它是否包含在服务器发送的链中并不重要 - 它不受客户端信任。
【讨论】: