内容简介:本篇涉及到PKIX path building failed的原因和解决办法(包括暂时解决和长效解决的方法),也包括HTTP和HTTPS的区别。通俗的讲,PKIX path building failed 出现的原因是因为自己的Java环境没有相关网站的证书而导致的。PKIX的全称为Public-Key Infrastructure (X.509),通过wiki百科我们可以知道X.509是一种证书的标准,这种标准用在很多网络协议,比如TLS/SSL。而TLS/SSL是HTTPS协议的标准(HTTPS比HTT
从头解决PKIX path building failed的问题
本篇涉及到PKIX path building failed的原因和解决办法(包括暂时解决和长效解决的方法),也包括HTTP和HTTPS的区别。
PKIX path building failed 通俗讲解。
通俗的讲,PKIX path building failed 出现的原因是因为自己的 Java 环境没有相关网站的证书而导致的。
PKIX path building failed 具体内容。
PKIX的全称为Public-Key Infrastructure (X.509),通过wiki百科我们可以知道X.509是一种证书的标准,这种标准用在很多网络协议,比如TLS/SSL。而TLS/SSL是HTTPS协议的标准(HTTPS比HTTP多的部分就在于TLS/SSL),所以本文章我们掌握TLS/SSL的知识。
TLS/SSL协议详解
接下是TLS和SSL的的关系以及其详解
TLS和SSL的关系
- SSL 又称Secure Sockets Layers,而TLS又称Transport Layer Security。
- TLS位于传输层上,而SSL位于传输层和应用层之间。
- SSL 总共有3版 分别是 1995年的SSL v1.0, 1995年的SSL v2.0, 1996年的SSL v3.0。
- TLS 目前有四版分别是 1999年的TLS v1.0, 2006年的TLS v1.1, 2008年的TLS v1.2, 2018年的TLS v1.3。
-
SSL 是 TLS 的前身,并且目前已经不推荐使用, TLS v1.0 修正了SSL v3.0中的安全缺陷,但是由于TLS v1.0是可以降级到SSL v3.0所以依旧存在不安全的情况(当你访问使用较低版本的TLS协议或者任意版本的SSL协议时,你的浏览器会提示你,这个时候如果想规避风险,建议就不要继续了。)
TSL 握手机制。
- TSL handshake
- Client 发送 clientHello 到Sever,内容包括
- 支持的TSL最高版本号
- cipher suite(一堆支持的加密算法)
- 客户端随机数
- Server 返回ServerHello 到Client,内容包括
- Server决定的TSL版本号
- 服务器随机数
- 选择的cipher suite
- Server发送他的certificate message(这里包含了server的public-key)到Client,这里使用证书可以保证public-key是正确的,因为certificate受到可信部门认证。
- Server发送ServerHelloDone信息到Client,告诉Client他的handshake已结束
- Client 发送ClientKeyExchange message 到 Server。包含:
-
PremasterSecret(这个里面包含的是sharekey,用server的public加密)。
除此之外,Client使用服务端随机数,客户端随机数,PremasterSecret形成share key
-
- Server使用自己的private key 解密 ClientKeyExchange message,并使用服务端随机数,客户端随机数,PremasterSecret形成share key。
- client 发送ChangeCipherSpec到Server,目的是告诉Server可以开始使用以上协商的share key了。包含
- Finished massage:这个是之前握手信息的hash或者MAC(message authentication code (MAC) algorithm)算法的值
-
Server 收到ChangeCipherSpec,后计算自己本地的内容,检查收到的hash/mac是否和自己的一致,不一致,这次握手将失败,一致发送ChangeCipherSpec到client,目的是告诉Client开始使用协商的share key。
cipher suite 详解
cipher suite 是为了保证连接过程的安全性,其中包括很4种算法原语的组合。客户端和服务器handshake时,由服务器确定使用的算法,之后由服务器和客户端一起使用这样的算法。
- 四种算法原语(对于一个cipher suite,只能有一个Kx,一个Au一个Enc,一个MAC,但是这些算法可以选择不同的)
- Key Exchange(Kx),常见DH 和 ECDH,(类似TLS握手机制)
- Authentication (Au),常见DSA/RSA/ECDSA(证书,比如server发送回来的public key 就是放在sever的证书里的,client可以检查这个证书是否有效)
- Encryption(Enc),主要AES(加密算法,和密码学有关,我们此处不谈)
- Message Authentication Code(MAC),常见SHA1、SAH256、SHA384(对于message,对整体求hash/md等作为单独的tag,即作为客户端检查message完整性和未被篡改的凭证)
解决办法1(不建议)
之前说过HTTPS的网站才有TLS/SSL而PKIX在TLS/SSL中使用,所以我们可以利用这种方法,把所有想要访问的网站的 https://····
换为 http://····
。
解决方法2(程序内部自动过滤ssl,推荐)
然而有的时候,比如小程序去获取user的openid和session-key时,需要访问https://api.weixin.qq.com/sns/jscode2session,此时因为微信官方的api限制了必须使用https,所以去掉s则会报错。此时我们采用在本地网络连接时忽略SSL。
我认为,在开发软件时,很多主机如果没有ssl认证,执行需要的网络连接就会失败,所以需要过滤ssl。
可以使用如下的 工具 类
如需复制代码请转到 httpclient 实现https请求
解决办法3(解决maven等出现pkix的问题)
如图位置加入 -Dmaven.wagon.http.ssl.insecure=true -Dmaven.wagon.http.ssl.allowall=true
解决方法4 (导入证书)
之前很多博主使用的都不是最新的语法,建议在导入时使用keytool -help看一下最新的导入语法。
cmd在管理员模式进入java jdk 下的jre\lib\security目录。
我的是C:\Program Files\Java\jdk1.8.0_221\jre\lib\security
获取证书的方法可以参考其他博主,比较简单。
使用如下语言导入证书
keytool -importcert -noprompt -trustcacerts -alias xxx(你想要导入的别名) -file "C:\Program Files\Java\jdk1.8.0_221\jre\lib\security\xxx.cer(你的文件的地址)" -keystore "C:\Program Files\Java\jdk1.8.0_221\jre\lib\security\cacerts" -storepass changeit
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Building Web Reputation Systems
Randy Farmer、Bryce Glass / Yahoo Press / 2010 / GBP 31.99
What do Amazon's product reviews, eBay's feedback score system, Slashdot's Karma System, and Xbox Live's Achievements have in common? They're all examples of successful reputation systems that enable ......一起来看看 《Building Web Reputation Systems》 这本书的介绍吧!