转载

Java 服务请求 https 接口报错 General SSLEngine problem 问题

问题现象

和客户对接时，我们的应用服务请求客户的接口报错

 The connection observed an errorio.netty.handler.codec.DecoderException: javax.net.ssl.SSLHandshakeException: General SSLEngine problem，

但在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

原因分析

根据服务异常信息，可以大略猜到是 SSL 证书的问题。查看客户的证书信息，发现证书机构是 CFCA（中国金融认证中心），并不是常见的 GlobalSign、DigiCert、GeoTrust 等证书机构。

在服务器上使用命令 keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts （默认密码为 changeit ）查看 JDK 的根证书机构库，没有发现 CFCA 这个机构。

因为根证书机构 CFCA 不被信任，我们的 Java 服务就无法判断此 https 站点证书的合法性了，所以就报错了。 在 Windows 10 系统中打开证书管理工具（通过快捷键 Win + R 打开 运行窗口，再输入 certlm.msc 后回车），是可以看到 CFCA 这个机构的根证书的，所以在本地开发环境 Windows 10 系统中直接请求这个 https 接口是正常的。

解决办法

把 CFCA 这个机构的根证书导入 JDK 信任库。 1.导出 CFCA 根证书为 cfca.cer 。

2.导入 CFCA 根证书到 Java 服务所在服务器的 JDK 根证书库。

# cd $JAVA_HOME/jre/lib/security/
# cp cacerts{,.bak}
// 要先上传 cfca.cert 到 ${JAVA_HOME}/jre/lib/security/ 目录
// -import：导入证书或者证书链
// -alias：指定在 cacerts 文件中的证书条目别名
// -keystore：指定 JDK 证书库文件
// -file：指定要导入的证书
// 默认密码为 changeit
# keytool -import -alias cfca -keystore ${JAVA_HOME}/jre/lib/security/cacerts -file ${JAVA_HOME}/jre/lib/security/cfca.cer
Enter keystore password: 
Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN
Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN
Serial number: 184accd6
Valid from: Wed Aug 08 11:07:01 CST 2012 until: Mon Dec 31 11:07:01 CST 2029
Certificate fingerprints:
 MD5: 74:E1:B6:ED:26:7A:7A:44:30:33:94:AB:7B:27:81:30
 SHA1: E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83
 SHA256: 5C:C3:D7:8E:4E:1D:5E:45:54:7A:04:E6:87:3E:64:F9:0C:F9:53:6D:1C:CC:2E:F8:00:F3:55:C4:C5:FD:70:FD
Signature algorithm name: SHA256withRSA
Subject Public Key Algorithm: 4096-bit RSA key
Version: 3

Extensions: 

#1: ObjectId: 2.5.29.35 Criticality=false
AuthorityKeyIdentifier [
KeyIdentifier [
0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(...........
0010: 8C 93 FB 2F .../
]
]

#2: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
 CA:true
 PathLen:2147483647
]

#3: ObjectId: 2.5.29.15 Criticality=true
KeyUsage [
 Key_CertSign
 Crl_Sign
]

#4: ObjectId: 2.5.29.14 Criticality=false
SubjectKeyIdentifier [
KeyIdentifier [
0000: E3 FE 2D FD 28 D0 0B B5 BA B6 A2 C4 BF 06 AA 05 ..-.(...........
0010: 8C 93 FB 2F .../
]
]

Trust this certificate? [no]: yes
Certificate was added to keystore


// 查看导入的证书
# keytool -list -keystore ${JAVA_HOME}/jre/lib/security/cacerts -alias cfca
Enter keystore password: 
cfca, Jan 29, 2021, trustedCertEntry, 
Certificate fingerprint (SHA1): E2:B8:29:4B:55:84:AB:6B:58:C2:90:46:6C:AC:3F:B8:39:8F:84:83

# keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts | grep CFCA
Enter keystore password: changeit
Owner: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN
Issuer: CN=CFCA EV ROOT, O=China Financial Certification Authority, C=CN

3.重启 Java 服务。

正文到此结束