我的Quarkus应用程序必须连接到一些HTTPS资源,我必须使用自定义密钥库。
我遵循本指南使用自定义jks配置SSL:https://quarkus.io/guides/http-reference#supporting-使用ssl 的安全连接
因此,我向我的应用程序添加了两个属性,包括密钥库文件系统位置和密码:
quarkus.http.ssl.certificate.key-store-file=/tmp/quarkus/keystore.jks
quarkus.http.ssl.certificate.key-store-password=mypassword
在启动时,我看到这个异常:
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at java.base/sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:439)
at java.base/sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:306)
at java.base/sun.security.validator.Validator.validate(Validator.java:264)
at java.base/sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:313)
at java.base/sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:276)
at java.base/sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:141)
at java.base/sun.security.ssl.CertificateMessage$T12CertificateConsumer.checkServerCerts(CertificateMessage.java:623)
... 32 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at java.base/sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
at java.base/sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
at java.base/java.security.cert.CertPathBuilder.build(CertPathBuilder.java:297)
at java.base/sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:434)
... 38 more
2020-03-20 10:39:04,089 INFO [io.qua.dev] (vert.x-worker-thread-1) Hot replace total time: 0.372s
如果我用ssl调试(./mvnw clean compile quarkus:dev -Djavax.net.debug=all(启动应用程序,我看不到任何关于我的密钥库的信息(只有JDK的证书(:
javax.net.ssl|DEBUG|01|main|2020-03-20 10:38:13.910 CET|TrustStoreManager.java:161|Inaccessible trust store: /Users/myuser/.sdkman/candidates/java/11.0.6.hs-adpt/lib/security/jssecacerts
javax.net.ssl|DEBUG|01|main|2020-03-20 10:38:13.911 CET|TrustStoreManager.java:112|trustStore is: /Users/myuser/.sdkman/candidates/java/11.0.6.hs-adpt/lib/security/cacerts
trustStore type is: pkcs12
trustStore provider is:
the last modified time is: Wed Jan 15 13:06:55 CET 2020
javax.net.ssl|DEBUG|01|main|2020-03-20 10:38:13.911 CET|TrustStoreManager.java:311|Reload the trust store
但是,如果我使用通常的信任库JVM参数启动它,我可以看到它,并且应用程序可以工作:
./mvnw clean compile quarkus:dev -Djavax.net.ssl.trustStore=/Users/myuser/development/keystore.jks -Djavax.net.ssl.trustStorePassword=mypassword -Djavax.net.debug=all
javax.net.ssl|DEBUG|01|main|2020-03-20 10:49:08.812 CET|TrustStoreManager.java:112|trustStore is: /tmp/quarkus/keystore.jks
trustStore type is: pkcs12
trustStore provider is:
the last modified time is: Fri Mar 20 10:07:16 CET 2020
javax.net.ssl|DEBUG|01|main|2020-03-20 10:49:08.812 CET|TrustStoreManager.java:311|Reload the trust store
然而,我希望它能与quarkus.http.ssl.certificate参数一起工作。
这可能是一个bug,还是我遗漏了什么?
如果我正确理解这个问题,您的Quarkus应用程序是一个使用HTTPS连接到某个服务器的客户端。
在这种情况下,您真正需要的是提供证书,该证书用于验证您的应用程序试图连接到的服务器。这就是为什么当您使用javax.net.ssl.*参数提供信任库时,它可以工作。
您在Quarkus文档中提到的指南是关于使用SSL公开服务器的。因此,在这种情况下,您需要提供一个密钥库。我不知道Quarkus本身是否支持使用特定属性提供信任库。但是,根据应用程序连接到HTTPS服务器的方式,您可能会尝试在那里进行配置。