將證書添加到Java信任庫和Sslhandshake

Question

我使用Java程序（使用HttpUrlConnection）向網站發送了http請求，並從那裏下載文件。

該網站是「https」並使用證書。

當我嘗試運行我的代碼，它很不以爲然：

cause javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 

我試圖去這個網站和我的瀏覽器（Mozilla的）。而當我檢查證書，有三個certificates.The網站包含這些證書。

DigiCert高保障EV根CA

-DigiCert高可信CA-3

-thecompanycert

而且我檢查我的密鑰工具trustsroe（由DigiCert高可信CA-3日）。信任庫只有根CA. 足夠了還是需要導入其他2個證書？或者只有 - thecompanycert？

將中間證書添加到java truststore的風險是什麼？ 我必須這樣做嗎？

任何人都可以幫忙嗎？

Answer 1

如果服務器配置正確，它應發送站點證書以及構建信任鏈所需的任何/所有中間證書。看起來你連接的網站沒有發送中間證書。

如果您是網站管理員，則可以更正此問題，而且您不必亂用Java客戶端信任庫。

如果您是最終用戶，則可以將中間證書添加到Java信任庫。您不需要添加站點證書。但是，請聯繫網站所有者並要求他們更正此問題。

幾天前我發佈了similar answer。

Answer 2

鑑於CA和中間CA已經存在於最近Java版本的默認信任庫中，除非您使用的是較舊的Java版本，否則不需要導入它們。無論如何，這取決於你對CA的信任程度，但Java和大多數瀏覽器已經信任它。