这是证书信任链断裂所致,需将目标证书或其ca导入jvm的cacerts(用keytool命令,密码changeit),而非绕过验证;curl能通因信任系统证书,java仅认cacerts。
Java HTTPS请求报 javax.net.ssl.SSLHandshakeException 怎么办
这是证书信任链断裂的典型表现,不是网络不通,也不是服务端挂了,而是JVM默认只信任CA根证书库($JAVA_HOME/jre/lib/security/cacerts)里的证书,你访问的HTTPS服务用的是自签名、内网CA或过期证书,JVM直接拒绝握手。
常见现象包括:PKIX path building failed、unable to find valid certification path to requested target,甚至某些老版本JDK还会附带一句 sun.security.provider.certpath.SunCertPathBuilderException。
- 别急着改代码——先确认是不是真需要信任该证书:开发/测试环境可临时绕过,生产环境必须走正规导入流程
- 绕过验证(如用
TrustManager全放行)等于关掉HTTPS的“锁”,仅限调试,上线前必须删掉 - 真正安全的做法是把对方证书(或其签发CA)导入JVM的
cacerts,而不是改应用代码
如何把证书导入JVM的 cacerts 文件
关键是用 keytool 命令,且必须指定正确的keystore路径和密码(默认密码是 changeit),否则会导到错的地方或失败静默。
操作分三步:
立即学习“Java免费学习笔记(深入)”;
- 从目标HTTPS地址导出证书:用浏览器打开、点击锁图标 → 导出为
PEM或CER格式;或用命令openssl s_client -connect example.com:443 -showcerts /dev/null | openssl x509 -outform PEM > server.crt - 确认当前Java用的是哪个
cacerts:java -XshowSettings:properties -version 2>&1 | grep 'java.home',然后拼出路径,比如/usr/lib/jvm/java-11-openjdk-amd64/lib/security/cacerts - 执行导入:
keytool -importcert -file server.crt -keystore $JAVA_HOME/lib/security/cacerts -alias example-com -storepass changeit;若提示已存在别名,加-noprompt或换别名
Spring Boot项目里配置了 trustStore 还是不生效?
因为JVM启动参数优先级高于代码或配置文件里的设置。Spring Boot的 server.ssl.trust-store 是给内嵌Tomcat做双向SSL用的,不控制HTTP客户端(如 RestTemplate、WebClient)的出站信任行为。
真正影响出站HTTPS请求的是JVM全局信任库,所以:
-
RestTemplate默认走HttpsURLConnection,依赖JVM的cacerts - 若要用自定义truststore,必须显式构造
SSLContext并注入RestTemplate,不能只配application.yml - 用
WebClient时,得通过HttpClient.create().secure(...)设置,且传入的sslContext必须加载了你的truststore - 注意:不同JDK版本对TLS协议支持不同,JDK 8u251+ 默认禁用TLS 1.0/1.1,若服务端只支持旧协议,需额外加启动参数
-Dhttps.protocols=TLSv1.2,TLSv1.1
为什么用 curl 能通,Java死活不行
因为 curl 默认信任系统证书(如Linux的 /etc/ssl/certs/ca-certificates.crt),而Java完全不读这些,只认自己 cacerts 里的内容——这是最常被忽略的差异点。
验证方法很简单:
- 运行
curl --cacert /path/to/server.crt https://example.com,能通说明证书本身没问题 - 再运行
java -Djavax.net.debug=ssl:handshake -cp . TestHttps,看日志里JVM到底在找哪些CA、是否加载了你导入的证书 - 如果日志里出现
found key for : example-com,但还是失败,可能是证书链不全:需把中间CA也一并导入,不能只导叶证书
证书链顺序、格式(PEM vs DER)、别名唯一性、cacerts 文件权限(尤其是容器里运行时被覆盖),任何一个环节卡住都会让信任失效。别假设“导过了就一定行”。
