1. Dom
  2. Pytanie i odpowiedź
  3. Budowanie ścieżki PKIX nie powiodło się podczas nawiązywania połączenia SSL

Budowanie ścieżki PKIX nie powiodło się podczas nawiązywania połączenia SSL

2010-02-18 9 views
16

Integruję się z kontem handlowym o nazwie CommWeb i wysyłam post SSL na adres URL (https://migs.mastercard.com.au/vpcdps). Gdy próbuję wysłać wiadomość, pojawia się następujący wyjątek:Budowanie ścieżki PKIX nie powiodło się podczas nawiązywania połączenia SSL

sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

kod (który nie pisałem, a to już istnieje w naszej bazie kodu), który wykonuje post jest:

public static HttpResponse sendHttpPostSSL(String url, Map<String, String> params) throws IOException { 
    PostMethod postMethod = new PostMethod(url); 
    for (Map.Entry<String, String> entry : params.entrySet()) { 
     postMethod.addParameter(entry.getKey(), StringUtils.Nz(entry.getValue())); 
    } 

    HttpClient client = new HttpClient(); 
    int status = client.executeMethod(postMethod); 
    if (status == 200) { 
     StringBuilder resultBuffer = new StringBuilder(); 
     resultBuffer.append(postMethod.getResponseBodyAsString()); 
     return new HttpResponse(resultBuffer.toString(), ""); 
    } else { 
     throw new IOException("Invalid response code: " + status); 
    } 
}

Dokumentacja integracji konta Merchant nie mówi nic o certyfikatach. Zrobili zapewnić pewne przykładowy kod JSP, który wydaje się ślepo akceptować certyfikaty:

<%! // Define Static Constants 
    // *********************** 
public static X509TrustManager s_x509TrustManager = null; 
public static SSLSocketFactory s_sslSocketFactory = null; 

static { 
     s_x509TrustManager = new X509TrustManager() { 
     public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[] {}; } 
     public boolean isClientTrusted(X509Certificate[] chain) { return true; } 
     public boolean isServerTrusted(X509Certificate[] chain) { return true; } 
    }; 

    java.security.Security.addProvider(new com.sun.net.ssl.internal.ssl.Provider()); 
    try { 
     SSLContext context = SSLContext.getInstance("TLS"); 
     context.init(null, new X509TrustManager[] { s_x509TrustManager }, null); 
     s_sslSocketFactory = context.getSocketFactory(); 
    } catch (Exception e) { 
     e.printStackTrace(); 
     throw new RuntimeException(e.getMessage()); 
    } 
} 

... 
... 
      // write output to VPC 
      SSLSocket ssl = (SSLSocket)s_sslSocketFactory.createSocket(s, vpc_Host, vpc_Port, true); 
      ssl.startHandshake(); 
      os = ssl.getOutputStream(); 
      // get response data from VPC 
      is = ssl.getInputStream(); 
... 
... 
%>

Nasz webapp ma kluczy, a ja starałem dodawania certyfikatu (które eksportowany z firefox) za pomocą komendy keytool, ale to nie działa i mam ten sam błąd. Próbowałem rozwiązania w Internecie (importowanie klucza i przy użyciu System.setProperty), ale wydaje się, że to trochę niezgrabne i nie działa (dał mi NoSuchAlgorithmError). Każda pomoc jest doceniana!

Źródło

2010-02-18 Vivin Paliath

+0

http://stackoverflow.com/questions/21076179/pkix-path-building-failed-and-unable-to-find-valid-certification-path-to-requ/36427118#36427118 – MagGGG

Odpowiedz

13

Najwyraźniej certyfikat CA 3 valicert nie znajduje się w domyślnym magazynie zaufanych certyfikatów (prawdopodobnie jest to plik cacerts w katalogu lib/security JRE, ale spójrz na numer JSSE documentation).

Możesz dodać ten certyfikat do pliku cacerts, ale nie polecam tego. Zamiast tego, myślę, że powinieneś utworzyć swój własny plik zaufanych certyfikatów (który może być kopią pliku cacerts) i dodać do tego korzeń valicert. Następnie wskaż ten plik za pomocą właściwości systemowej javax.net.ssl.trustStore.

Źródło

2010-02-19 01:23:17

+0

Spróbuję tego jutro. Na razie udało mi się go uruchomić, tworząc nową fabrykę gniazd, która implementuje 'SecureProtocolSocketFactory' z' commons.httpclient'. Ślepo przyjmuje certyfikat. Jednak chcę to zmienić i sprawić, by działał we właściwy sposób. Dam ci znać, co się stanie. Dzięki! –

+0

Po prostu idę do przodu i przyjmuję twoje rozwiązanie i dodam moje jako komentarz. Udało mi się to rozgryźć dopiero po przejrzeniu dokumentacji, którą mi wskazałeś! –

+0

Greg, czy możesz mi wytłumaczyć "dodaj do tego korzeń walicerty". Co to znaczy i jak należy to zrobić? – Less

7

Myślę, że powinienem zaktualizować tę odpowiedź tym, co faktycznie zrobiłem. Korzystając z dokumentacji dostarczonej przez GregS, stworzyłem menedżera zaufania dla Valicert. W menedżerze zaufania, załadować pliki certyfikatu:

public class ValicertX509TrustManager implements X509TrustManager { 

    X509TrustManager pkixTrustManager; 

    ValicertX509TrustManager() throws Exception { 

     String valicertFile = "/certificates/ValicertRSAPublicRootCAv1.cer"; 
     String commwebDRFile = "/certificates/DR_10570.migs.mastercard.com.au.crt"; 
     String commwebPRODFile = "/certificates/PROD_10549.migs.mastercard.com.au.new.crt"; 

     Certificate valicert = CertificateFactory.getInstance("X509").generateCertificate(this.getClass().getResourceAsStream(valicertFile)); 
     Certificate commwebDR = CertificateFactory.getInstance("X509").generateCertificate(this.getClass().getResourceAsStream(commwebDRFile)); 
     Certificate commwebPROD = CertificateFactory.getInstance("X509").generateCertificate(this.getClass().getResourceAsStream(commwebPRODFile)); 

     KeyStore keyStore = KeyStore.getInstance("JKS"); 
     keyStore.load(null, "".toCharArray()); 
     keyStore.setCertificateEntry("valicert", valicert); 
     keyStore.setCertificateEntry("commwebDR", commwebDR); 
     keyStore.setCertificateEntry("commwebPROD", commwebPROD); 

     TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance("PKIX"); 
     trustManagerFactory.init(keyStore); 

     TrustManager trustManagers[] = trustManagerFactory.getTrustManagers(); 

     for(TrustManager trustManager : trustManagers) { 
      if(trustManager instanceof X509TrustManager) { 
       pkixTrustManager = (X509TrustManager) trustManager; 
       return; 
      } 
     } 

     throw new Exception("Couldn't initialize"); 
    } 

    public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { 
     pkixTrustManager.checkServerTrusted(chain, authType); 
    } 

    public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { 
     pkixTrustManager.checkServerTrusted(chain, authType); 
    } 

    public X509Certificate[] getAcceptedIssuers() { 
     return pkixTrustManager.getAcceptedIssuers(); 
    } 
}

Teraz, za pomocą tego menedżera zaufania, musiałem stworzyć fabrykę Gniazdo:

public class ValicertSSLProtocolSocketFactory implements ProtocolSocketFactory { 

    private SSLContext sslContext = null; 

    public ValicertSSLProtocolSocketFactory() { 
     super(); 
    } 

    private static SSLContext createValicertSSLContext() { 
     try { 
      ValicertX509TrustManager valicertX509TrustManager = new ValicertX509TrustManager(); 
      SSLContext context = SSLContext.getInstance("TLS"); 
      context.init(null, new ValicertX509TrustManager[] { valicertX509TrustManager}, null); 
      return context; 
     } 

     catch(Exception e) { 
      Log.error(Log.Context.Net, e); 
      return null; 
     } 
    } 

    private SSLContext getSSLContext() { 
     if(this.sslContext == null) { 
      this.sslContext = createValicertSSLContext(); 
     } 

     return this.sslContext; 
    } 

    public Socket createSocket(String host, int port, InetAddress clientHost, int clientPort) throws IOException { 
     return getSSLContext().getSocketFactory().createSocket(host, port, clientHost, clientPort); 
    } 

    public Socket createSocket(final String host, final int port, final InetAddress localAddress, final int localPort, final HttpConnectionParams params) throws IOException { 
     if(params == null) { 
      throw new IllegalArgumentException("Parameters may not be null"); 
     } 

     int timeout = params.getConnectionTimeout(); 
     SocketFactory socketFactory = getSSLContext().getSocketFactory(); 

     if(timeout == 0) { 
      return socketFactory.createSocket(host, port, localAddress, localPort); 
     } 

     else { 
      Socket socket = socketFactory.createSocket(); 
      SocketAddress localAddr = new InetSocketAddress(localAddress, localPort); 
      SocketAddress remoteAddr = new InetSocketAddress(host, port); 
      socket.bind(localAddr); 
      socket.connect(remoteAddr, timeout); 
      return socket; 
     } 
    } 

    public Socket createSocket(String host, int port) throws IOException { 
     return getSSLContext().getSocketFactory().createSocket(host, port); 
    } 

    public Socket createSocket(Socket socket, String host, int port, boolean autoClose) throws IOException { 
     return getSSLContext().getSocketFactory().createSocket(socket, host, port, autoClose); 
    } 

    public boolean equals(Object obj) { 
     return ((obj != null) && obj.getClass().equals(ValicertSSLProtocolSocketFactory.class)); 
    } 

    public int hashCode() { 
     return ValicertSSLProtocolSocketFactory.class.hashCode(); 
    } 
}

Teraz wystarczy zarejestrować nowy protokół:

Protocol.registerProtocol("vhttps", new Protocol("vhttps", new ValicertSSLProtocolSocketFactory(), 443)); 
PostMethod postMethod = new PostMethod(url); 
for (Map.Entry<String, String> entry : params.entrySet()) { 
    postMethod.addParameter(entry.getKey(), StringUtils.Nz(entry.getValue())); 
} 

HttpClient client = new HttpClient(); 
int status = client.executeMethod(postMethod); 
if (status == 200) { 
    StringBuilder resultBuffer = new StringBuilder(); 
    resultBuffer.append(postMethod.getResponseBodyAsString()); 
    return new HttpResponse(resultBuffer.toString(), ""); 
} else { 
    throw new IOException("Invalid response code: " + status); 
}

Jedyną wadą jest to, że musiałem utworzyć określony protokół (vhttps) dla tego konkretnego certyfikatu.

Źródło

2011-01-17 18:08:14

 Powiązane problemy

  • Brak powiązanych problemów^_^