CAS SunCertPathBuilderException:无法找到请求目标的有效认证路径

Question

CAS SunCertPathBuilderException:无法找到请求目标的有效认证路径

4

我在计算机上配置了CAS以便在特定域名（例如a.com）上使用，这很正常。我有一对.crt和.key文件以及代码。现在需要更改域名，所以我按照源代码更改了域名（例如b.com），并导入了我收到的.crt和.key文件。现在，当我访问CAS登录页面时，可以访问该页面。但是，当我提供登录凭据并单击登录按钮时，它会失败，并出现以下异常。

sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
    sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
    sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
    java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
    sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:382)
    sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
    sun.security.validator.Validator.validate(Validator.java:260)
    sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
    sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
    sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
    sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)
    sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:216)
    sun.security.ssl.Handshaker.processLoop(Handshaker.java:1026)
    sun.security.ssl.Handshaker.process_record(Handshaker.java:961)
    sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1062)
    sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375)
    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403)
    sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387)
    sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
    sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
    sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1546)
    sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1474)
    sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)
    org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:429)
    org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:41)
    org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:193)
    org.springframework.security.cas.authentication.CasAuthenticationProvider.authenticateNow(CasAuthenticationProvider.java:158)
    org.springframework.security.cas.authentication.CasAuthenticationProvider.authenticate(CasAuthenticationProvider.java:143)
    org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:174)
    org.springframework.security.cas.web.CasAuthenticationFilter.attemptAuthentication(CasAuthenticationFilter.java:270)
    org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:97)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:121)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:121)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:66)
    org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter.doFilterInternal(WebAsyncManagerIntegrationFilter.java:56)
    org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:105)
    org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
    org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:214)
    org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:177)
    org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:346)
    org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:262)

请问有人能告诉我这里到底发生了什么？我看到了很多类似的问题，但没有一个能解决我的情况。

- Romeo Sierra

2个回答

2

从CAS文档中得知：

PKIX路径构建错误是最常见的SSL错误。问题在于CAS客户端不信任CAS服务器提供的证书；这往往是因为在CAS服务器上使用了自签名证书。要解决此错误，请将CAS服务器证书导入CAS客户端的系统信任存储区。如果证书由您自己的PKI颁发，则最好将您的PKI根证书导入CAS客户端信任存储区。

默认情况下，Java系统信任存储区位于$JAVA_HOME/jre/lib/security/cacerts。要导入的证书必须是DER编码文件。

因此，如果您有密钥库文件，比如store.jks，首先要导出服务器的证书：

keytool -exportcert -keystore store.jks -alias server -file server.crt

[请注意别名在您的密钥库中可能不同]。接下来，将证书移动到$JAVA_HOME/jre/lib/security/cacerts目录，并将其导入客户端的信任存储区（这里客户端是您的JVM）：

keytool -import -keystore cacerts -file server.crt -alias server -storepass changeit

[最后一个命令必须以管理员权限运行！]

请注意，如果您在本地主机上运行此命令，则证书的CN必须为“localhost”。

就这样，现在启动服务器并享受吧。

- akelec

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Romeo Sierra · Accepted Answer

原来是我的Tomcat配置出了问题。尽管我已经将密钥导入到密钥库中，但是Tomcat没有访问密钥库，导致无法读取证书。

看起来这适用于那些下载和提取Tomcat发行版二进制文件而不是使用诸如“apt-get”之类的包管理器的人。

目前有两个可能的选项（可能还有更多）：

1. 修改catalina.sh以添加属性-Djavax.net.ssl.trustStore，以包括所需的信任存储文件。基本上，该属性和值被附加到上述脚本中的JAVA_OPTS变量中。例如：JAVA_OPTS="$JAVA_OPTS -Djavax.net.ssl.trustStore=$JAVA_HOME/jre/lib/security/cacerts"。但是这只是一个快速修复。我认为这不是一个好的解决方案，因为信任存储是全局添加的。

2. 在server.xml配置文件的连接器属性中添加密钥库位置。示例可以在这里找到。

我现在意识到这是一个非常简单的基本问题。但为了支持学习者，我考虑留下这个问题和答案。请进一步改进这个答案。