KeyCloak 错误 SunCertPathBuilderException: 无法找到所请求目标的有效认证路径。

我们都面临着需要再次解决配置问题的困境。每次我都觉得配置都在改变。以下是一些我想分享的经验。

默认情况下，keycloak无法使用ldaps，必须将证书颁发机构公钥添加到信任存储库中。

1. 要获取公钥，请在Windows AD服务器的cmd shell中运行以下命令（不要使用powershell）：https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/export-root-certification-authority-certificate certutil -ca.cert ca_name.cer
2. 现在你有了DER格式的base64文本文件中的CA公钥，你需要将其加载到keycloak服务器上的keystore文件中，但它在哪里？过去使用默认位置，然后根据您的安装类型standalone.xml、standalone-ha.xml或domain.xml检查配置文件...这是一个文件，告诉你在配置文件中查找的地方：https://www.keycloak.org/docs/latest/server_admin/ 搜索“truststore”
3. 现在，你能够找到安装类型的配置文件中已存在的keystore的位置，或者在你的配置文件中添加位置，并使用keytool实用程序将证书安装到你的truststore中，使用命令：keytool -import -file ca_name.cer -keystore path_to_keystore.jks

这在过去对我完美地起作用了，尽管我还没有将部分添加到我的配置文件中，但我还没有成功，我认为这可能是因为keycloak现在正在使用一个名为https-keystore.jks的不同jks文件，该文件在配置文件中指定。我能看到这个文件，但没有密码来查看是否在那里添加证书可以让事情正常工作。

如果我弄清楚了，我会尝试记得更新此帖子。无论如何，我正在努力切换到kubernetes风格的安装方式，该方式有一种技术可以使其正确地运行一次...但是，它并没有。我目前正在使用最新的docker镜像，但它也像其他东西一样坏了。

希望这个配置成为keycloak的一部分，而不是留给用户自己解决的问题，因为我相信这往往会推开潜在的Windows AD用户。祝大家好运。