Java 服务请求 https 接口报错 General SSLEngine problem 问题

AskHarries2024-01-09 10:19

问题现象

和客户对接时,我们的应用服务请求客户的接口报错 The connection observed an errorio.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: General SSLEngine problem,但在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

原因分析

根据服务异常信息,可以大略猜到是 SSL 证书的问题。

查看客户的证书信息,发现证书机构是 CFCA(中国金融认证中心),并不是常见的 GlobalSign、DigiCert、GeoTrust 等证书机构。

在服务器上使用命令 keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts (默认密码为 changeit )查看 JDK 的根证书机构库,没有发现 CFCA 这个机构。

因为根证书机构 CFCA 不被信任,我们的 Java 服务就无法判断此 https 站点证书的合法性了,所以就报错了。

在 Windows 10 系统中打开证书管理工具(通过快捷键 Win + R 打开 运行窗口,再输入 certlm.msc 后回车) ,是可以看到 CFCA 这个机构的根证书的,所以在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

解决办法

把 CFCA 这个机构的根证书导入 JDK 信任库。

  1. 导出 CFCA 根证书为 cfca.cer 。

  1. 导入 CFCA 根证书到 Java 服务所在服务器的 JDK 根证书库。

    cd $JAVA_HOME/jre/lib/security/

    cp cacerts{,.bak}

    // 要先上传 cfca.cert 到 ${JAVA_HOME}/jre/lib/security/ 目录 // -import:导入证书或者证书链 // -alias:指定在 cacerts 文件中的证书条目别名 // -keystore:指定 JDK 证书库文件 // -file:指定要导入的证书 // 默认密码为 changeit

    keytool -import -alias cfca -keystore J A V A H O M E / j r e / l i b / s e c u r i t y / c a c e r t s − f i l e {JAVA_HOME}/jre/lib/security/cacerts -file JAVAHOME/jre/lib/security/cacerts−file{JAVA_HOME}/jre/lib/security/cfca.cer

    Enter keystore password:

    Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Serial number: 184accd6 Valid from: Wed Aug 08 11:07:01 CST 2012 until: Mon Dec 31 11:07:01 CST 2029 Certificate fingerprints: MD5: 74:E1:B6:ED:26:7A:7A:44:30:33:94:AB:7B:27:81:30 SHA1: E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83 SHA256: 5C:C3:D7:8E:4E:1D:5E:45:54:7A:04:E6:87:3E:64:F9:0C:F9:53:6D:1C:CC:2E:F8:00:F3:55:C4:C5:FD:70:FD Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 4096-bit RSA key Version: 3

    Extensions:

    #1: ObjectId: 2.5.29.35 Criticality=false AuthorityKeyIdentifier KeyIdentifier \[ 0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(........... 0010: 8C 93 FB 2F .../ ]

    #2: ObjectId: 2.5.29.19 Criticality=true BasicConstraints: CA:true PathLen:2147483647

    #3: ObjectId: 2.5.29.15 Criticality=true KeyUsage Key_CertSign Crl_Sign

    #4: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier KeyIdentifier \[ 0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(........... 0010: 8C 93 FB 2F .../ ]

    Trust this certificate? no: yes Certificate was added to keystore

    // 查看导入的证书

    keytool -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -alias cfca

    Enter keystore password:

    cfca, Jan 29, 2021, trustedCertEntry, Certificate fingerprint (SHA1): E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83

    keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts | grep CFCA

    Enter keystore password: changeit Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN

  2. 重启 Java 服务。

相关推荐
地铁潜行者23 分钟前
消息堆积后,为什么一扩容消费者,MySQL 先被打崩了?
java·后端
地铁潜行者27 分钟前
订单状态更新成功了,分账消息却没发出去:聊聊本地消息表的一致性坑
java·后端
别叫我老干部33 分钟前
一键给整个库造测试数据:外键、约束一个都不能少
后端·mysql
摇滚侠33 分钟前
SpringMVC 入门到实战 拦截器 78-82
java·后端·spring·maven·intellij-idea
椰椰椰耶35 分钟前
[SpringCloud][13]OpenFeign快速上手
后端·spring·spring cloud
雪宫街道1 小时前
SpringBoot 静态资源映射规则与定制
java·spring boot·后端·spring
西凉的悲伤1 小时前
Spring Boot 与 Maven 依赖管理详解
spring boot·后端·maven·依赖管理
宸津-代码粉碎机1 小时前
Spring AI企业级实战|智能记忆摘要+自动遗忘机制落地,彻底解决上下文爆炸与Token冗余
java·大数据·人工智能·后端·python·spring
南极企鹅1 小时前
springboot项目不退出的原因
java·spring boot·后端
仍然.1 小时前
SpringBoot快速上手
java·spring boot·后端
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解02《置身钉内》原文-可播放阅读03【AI】2026 年具身智能模型和世界模型总结04Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06AI科技热点日报 | 2026年6月1日072026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?08GitHub 镜像站点09AI一周事件 · 2026-06-03 至 2026-06-09102026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf