Java 服务请求 https 接口报错 General SSLEngine problem 问题

问题现象

和客户对接时,我们的应用服务请求客户的接口报错 The connection observed an errorio.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: General SSLEngine problem,但在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

原因分析

根据服务异常信息,可以大略猜到是 SSL 证书的问题。

查看客户的证书信息,发现证书机构是 CFCA(中国金融认证中心),并不是常见的 GlobalSign、DigiCert、GeoTrust 等证书机构。

在服务器上使用命令 keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts (默认密码为 changeit )查看 JDK 的根证书机构库,没有发现 CFCA 这个机构。

因为根证书机构 CFCA 不被信任,我们的 Java 服务就无法判断此 https 站点证书的合法性了,所以就报错了。

在 Windows 10 系统中打开证书管理工具(通过快捷键 Win + R 打开 运行窗口,再输入 certlm.msc 后回车) ,是可以看到 CFCA 这个机构的根证书的,所以在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

解决办法

把 CFCA 这个机构的根证书导入 JDK 信任库。

  1. 导出 CFCA 根证书为 cfca.cer 。

  1. 导入 CFCA 根证书到 Java 服务所在服务器的 JDK 根证书库。

    cd $JAVA_HOME/jre/lib/security/

    cp cacerts{,.bak}

    // 要先上传 cfca.cert 到 ${JAVA_HOME}/jre/lib/security/ 目录 // -import:导入证书或者证书链 // -alias:指定在 cacerts 文件中的证书条目别名 // -keystore:指定 JDK 证书库文件 // -file:指定要导入的证书 // 默认密码为 changeit

    keytool -import -alias cfca -keystore <math xmlns="http://www.w3.org/1998/Math/MathML"> J A V A H O M E / j r e / l i b / s e c u r i t y / c a c e r t s − f i l e {JAVA_HOME}/jre/lib/security/cacerts -file </math>JAVAHOME/jre/lib/security/cacerts−file{JAVA_HOME}/jre/lib/security/cfca.cer

    Enter keystore password:

    Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Serial number: 184accd6 Valid from: Wed Aug 08 11:07:01 CST 2012 until: Mon Dec 31 11:07:01 CST 2029 Certificate fingerprints: MD5: 74:E1:B6:ED:26:7A:7A:44:30:33:94:AB:7B:27:81:30 SHA1: E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83 SHA256: 5C:C3:D7:8E:4E:1D:5E:45:54:7A:04:E6:87:3E:64:F9:0C:F9:53:6D:1C:CC:2E:F8:00:F3:55:C4:C5:FD:70:FD Signature algorithm name: SHA256withRSA Subject Public Key Algorithm: 4096-bit RSA key Version: 3

    Extensions:

    #1: ObjectId: 2.5.29.35 Criticality=false AuthorityKeyIdentifier [ KeyIdentifier [ 0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(........... 0010: 8C 93 FB 2F .../ ] ]

    #2: ObjectId: 2.5.29.19 Criticality=true BasicConstraints:[ CA:true PathLen:2147483647 ]

    #3: ObjectId: 2.5.29.15 Criticality=true KeyUsage [ Key_CertSign Crl_Sign ]

    #4: ObjectId: 2.5.29.14 Criticality=false SubjectKeyIdentifier [ KeyIdentifier [ 0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(........... 0010: 8C 93 FB 2F .../ ] ]

    Trust this certificate? [no]: yes Certificate was added to keystore

    // 查看导入的证书

    keytool -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -alias cfca

    Enter keystore password:

    cfca, Jan 29, 2021, trustedCertEntry, Certificate fingerprint (SHA1): E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83

    keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts | grep CFCA

    Enter keystore password: changeit Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN

  2. 重启 Java 服务。

相关推荐
小_太_阳5 分钟前
Scala_【2】变量和数据类型
开发语言·后端·scala·intellij-idea
直裾8 分钟前
scala借阅图书保存记录(三)
开发语言·后端·scala
星就前端叭1 小时前
【开源】一款基于Vue3 + WebRTC + Node + SRS + FFmpeg搭建的直播间项目
前端·后端·开源·webrtc
小林coding2 小时前
阿里云 Java 后端一面,什么难度?
java·后端·mysql·spring·阿里云
AI理性派思考者2 小时前
【保姆教程】手把手教你在Linux系统搭建早期alpha项目cysic的验证者&证明者
后端·github·gpu
从善若水2 小时前
【2024】Merry Christmas!一起用Rust绘制一颗圣诞树吧
开发语言·后端·rust
机器之心3 小时前
终于等来能塞进手机的文生图模型!十分之一体量,SnapGen实现百分百的效果
人工智能·后端
机器之心3 小时前
首次!大模型自动搜索人工生命,做出AI科学家的Sakana AI又放大招
人工智能·后端
运维&陈同学3 小时前
【模块一】kubernetes容器编排进阶实战之基于velero及minio实现etcd数据备份与恢复
数据库·后端·云原生·容器·kubernetes·etcd·minio·velero
waterme1onY3 小时前
Spring AOP 中记录日志
java·开发语言·笔记·后端