我在计算机中配置了CAS以在特定域(例如a.com(上工作,该域工作正常。在那里,我有一对.crt和.key文件以及代码。现在需要更改域,所以我所做的是,相应地更改源代码中的域(例如b.com(,并导入我收到的.crt和.key文件。现在,当我访问 CAS 登录页面时,我可以访问它。但是当我提供登录凭据并单击登录按钮时,它失败并出现以下异常。
sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:141)
sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:126)
java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:382)
sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
sun.security.validator.Validator.validate(Validator.java:260)
sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1496)
sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:216)
sun.security.ssl.Handshaker.processLoop(Handshaker.java:1026)
sun.security.ssl.Handshaker.process_record(Handshaker.java:961)
sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1062)
sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1375)
sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1403)
sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1387)
sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:559)
sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
sun.net.www.protocol.http.HttpURLConnection.getInputStream0(HttpURLConnection.java:1546)
sun.net.www.protocol.http.HttpURLConnection.getInputStream(HttpURLConnection.java:1474)
sun.net.www.protocol.https.HttpsURLConnectionImpl.getInputStream(HttpsURLConnectionImpl.java:254)
org.jasig.cas.client.util.CommonUtils.getResponseFromServer(CommonUtils.java:429)
org.jasig.cas.client.validation.AbstractCasProtocolUrlBasedTicketValidator.retrieveResponseFromServer(AbstractCasProtocolUrlBasedTicketValidator.java:41)
org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:193)
org.springframework.security.cas.authentication.CasAuthenticationProvider.authenticateNow(CasAuthenticationProvider.java:158)
org.springframework.security.cas.authentication.CasAuthenticationProvider.authenticate(CasAuthenticationProvider.java:143)
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:174)
org.springframework.security.cas.web.CasAuthenticationFilter.attemptAuthentication(CasAuthenticationFilter.java:270)
org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.jasig.cas.client.session.SingleSignOutFilter.doFilter(SingleSignOutFilter.java:97)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:121)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:121)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:66)
org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter.doFilterInternal(WebAsyncManagerIntegrationFilter.java:56)
org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:107)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:105)
org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331)
org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:214)
org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:177)
org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:346)
org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:262)
有人可以告诉我这里到底发生了什么吗?我见过很多类似的问题,但似乎没有一个能解决我的情况。
事实证明,我的雄猫配置有问题。即使我已将密钥导入密钥库,tomcat 也无法访问密钥库,从而导致无法读取证书。
似乎这适用于那些下载和提取tomcat发行版的二进制文件而不是使用包管理器(例如apt-get(的人。
目前有两种可能的选择(可能还有更多(。
- 修改 catalina.sh 以添加属性
-Djavax.net.ssl.trustStore以包含所需的信任存储文件。基本上,属性和值附加到上述脚本中的JAVA_OPTS变量。例如JAVA_OPTS="$JAVA_OPTS -Djavax.net.ssl.trustStore=$JAVA_HOME/jre/lib/security/cacerts".然而,这只是一个快速解决方案。我认为这不是一个好的解决方案,因为信任存储是在全球范围内添加的。 - 将密钥库位置添加到配置文件
server.xml连接器属性。示例可在此处找到。
我现在意识到这是一个非常简单的基本问题。但为了支持学习者,我想留下问题和答案。请进一步改进此答案。
来自 CAS 文档:
PKIX 路径构建错误是最常见的 SSL 错误。这里的问题是 CAS 客户端不信任 CAS 服务器提供的证书;大多数情况下,这是因为在 CAS 服务器上使用了自签名证书。要解决此错误,请将 CAS 服务器证书导入到 CAS 客户机的系统信任库中。如果证书是由您自己的 PKI 颁发的,则最好将 PKI 的根证书导入到 CAS 客户机信任库中。
缺省情况下,Java 系统信任库位于 $JAVA_HOME/jre/lib/security/cacerts。要导入的证书必须是 DER 编码的文件。
因此,如果您有密钥库文件,请说store.jks,首先导出服务器的证书:
keytool -exportcert -keystore store.jks -alias server -file server.crt
[请注意,密钥库中的别名可能不同]。接下来,将证书移动到$JAVA_HOME/jre/lib/security/cacerts目录中,并将其导入客户端的信任库(此处,客户端是您的 JVM(:
keytool -import -keystore cacerts -file server.crt -alias server -storepass changeit
[最后一个命令必须以管理员权限调用!
请注意,如果在本地主机上运行此命令,则证书的 CN 必须是"本地主机"。
就是这样,现在启动服务器并享受。