本文将指导你如何通过导入证书到 JDK 和 IntelliJ idea 的 keystore 中,解决 `PKIX path building failed` 错误,从而使程序能够安全地连接到 https 服务。 ### 问题分析 `PKIX path building failed` 错误表明 Java 运行时无法找到信任链来验证服务器的 ssl 证书。这通常发生在以下情况: * 服务器使用了自签名证书或私有 CA 颁发的证书。 * JDK 或 intellij idea 的 keystore 中缺少必要的 CA 证书。 ### 解决方案 解决此问题的关键是将缺失的证书导入到 JDK 和 IntelliJ IDEA 的 keystore 中。以下是详细步骤: **1. 获取服务器证书** 首先,需要从出现问题的服务器上获取证书。可以通过浏览器访问服务器地址,然后导出证书。 * 在浏览器中访问出现问题的 HTTPS 地址(例如:`https://repo.maven.apache.org/maven2/org/slf4j/slf4j-simple/2.0.7/slf4j-simple-2.0.7.pom`)。 * 点击地址栏中的锁形图标,查看连接信息。 * 找到“证书(有效)”或类似的选项,然后进入证书详情。 * 在“详细信息”选项卡中,选择证书链中最顶层的根证书。 * 点击“导出”或类似的按钮,将证书保存为 `.cer` 文件(例如:`repo.maven.apache.org.cer`)。 **2. 导入证书到 JDK keystore** JDK 使用 `cacerts` 文件作为默认的 keystore,其中包含受信任的 CA 证书。需要将服务器证书导入到此文件中。 * 找到 JDK 的安全目录。通常位于 `JAVA_HOME/lib/security`。例如:`/Library/Java/JavaVirtualmachines/jdk-11.0.16.1.jdk/Contents/Home/lib/security`。 * 使用 `keytool` 命令导入证书。打开终端,执行以下命令: “`bash sudo keytool -importcert -alias <alias_name> -file <certificate_file> -keystore <cacerts_file>
* `<alias_name>`:为证书指定一个别名,例如 `maven`。 * `<certificate_file>`:证书文件的路径,例如 `~/Desktop/repo.maven.apache.org.cer`。 * `<cacerts_file>`:`cacerts` 文件的路径,例如 `/Library/Java/JavaVirtualMachines/jdk-11.0.16.1.jdk/Contents/Home/lib/security/cacerts`。 示例: ```bash sudo keytool -importcert -alias maven -file ~/Desktop/repo.maven.apache.org.cer -keystore /Library/Java/JavaVirtualMachines/jdk-11.0.16.1.jdk/Contents/Home/lib/security/cacerts ```
- 当提示输入密码时,输入 changeit (这是 cacerts 文件的默认密码)。如果修改过密码,请输入正确的密码。
- 如果提示是否信任此证书,输入 yes。
3. 导入证书到 intellij idea keystore
IntelliJ IDEA 也有自己的 keystore,用于存储受信任的证书。需要将服务器证书导入到此文件中。
-
找到 IntelliJ IDEA 的安全目录。通常位于 IntelliJ IDEA.app/Contents/jbr/Contents/Home/lib/security。 注意:IntelliJ IDEA.app 需要替换成你实际安装的 IntelliJ IDEA 应用名称。例如:/Applications/IntelliJ IDEA.app/Contents/jbr/Contents/Home/lib/security。 根据你安装的 IntelliJ IDEA 版本,路径可能会有所不同。
-
使用 keytool 命令导入证书,与导入到 JDK keystore 的步骤相同。
sudo keytool -importcert -alias <alias_name> -file <certificate_file> -keystore <cacerts_file>
示例:
sudo keytool -importcert -alias maven -file ~/Desktop/repo.maven.apache.org.cer -keystore /Applications/IntelliJ IDEA.app/Contents/jbr/Contents/Home/lib/security/cacerts
-
同样,当提示输入密码时,输入 changeit (这是 cacerts 文件的默认密码)。
-
如果提示是否信任此证书,输入 yes。
4. 重启 IntelliJ IDEA
完成证书导入后,重启 IntelliJ IDEA 使更改生效。
注意事项
- 确保在执行 keytool 命令时使用管理员权限 (sudo),否则可能无法修改 cacerts 文件。
- 如果 cacerts 文件的默认密码被修改过,请输入正确的密码。
- 如果仍然遇到问题,请检查 IntelliJ IDEA 的 JDK 配置是否正确,确保使用的是已导入证书的 JDK。可以在 “File | Project Structure | SDKs” 中检查和修改 JDK 配置。
- 如果问题仍然存在,尝试清理 IntelliJ IDEA 的缓存(”File | Invalidate Caches / Restart…”)。
总结
通过将服务器证书导入到 JDK 和 IntelliJ IDEA 的 keystore 中,可以解决 PKIX path building failed 错误,使 Java 程序能够安全地连接到 HTTPS 服务。 按照以上步骤操作,可以有效地解决证书信任问题,确保开发环境的稳定性和安全性。
暂无评论内容