我正在尝试在Jenkins / Hudson上配置我的电子邮件,并且不断收到错误消息:
java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be
non-empty我已经在网上看到了大量有关该错误的信息,但是我没有得到任何帮助。我在Fedora Linux(不是OpenJDK)上使用Sun的JDK。
这是我尝试过的几件事。我试着从以下这个建议后,但复制从Windows的cacerts到托管詹金斯没有工作,我的Fedora箱。在尝试将Gmail配置为SMTP服务器时,我尝试按照本指南进行操作,但是该方法也不起作用。我还尝试手动下载并移动这些cacert文件,并使用本指南中的各种命令将其移动到我的Java文件夹中。
我愿意接受任何建议,因为我目前仍处于停滞状态。我已经从Windows Hudson服务器上运行了它,但是我在Linux上苦苦挣扎。
Answers:
此奇怪消息表示您指定的信任库为:
要调试此问题(在此处已写过)并了解正在使用的信任库,可以添加属性 javax.net.debug = all,然后过滤有关信任库的日志。您还可以使用属性javax.net.ssl.trustStore来指定特定的信任库。例如 :
java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=/Another/path/to/cacerts -jar test_get_https-0.0.1-SNAPSHOT-jar-with-dependencies.jar https://www.calca.com.py 2>&1| grep -i truststore
${CATALINA_HOME}\conf但是CATALINA_HOME没有设置,因此Tomcat正在寻找\conf该信任库。
在Ubuntu 18.04中,此错误有不同的原因(JEP 229,从jks密钥库默认格式切换为该pkcs12格式,以及使用新文件的默认Debian cacerts文件生成)和解决方法:
# Ubuntu 18.04 and various Docker images such as openjdk:9-jdk throw exceptions when
# Java applications use SSL and HTTPS, because Java 9 changed a file format, if you
# create that file from scratch, like Debian / Ubuntu do.
#
# Before applying, run your application with the Java command line parameter
# java -Djavax.net.ssl.trustStorePassword=changeit ...
# to verify that this workaround is relevant to your particular issue.
#
# The parameter by itself can be used as a workaround, as well.
# 0. First make yourself root with 'sudo bash'.
# 1. Save an empty JKS file with the default 'changeit' password for Java cacerts.
# Use 'printf' instead of 'echo' for Dockerfile RUN compatibility.
/usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
# 2. Re-add all the CA certs into the previously empty file.
/var/lib/dpkg/info/ca-certificates-java.postinst configure状态(2018-08-07),该错误已在Ubuntu Bionic LTS 18.04.1和Ubuntu Cosmic 18.10中修复。
🗹Ubuntu 1770553:[SRU]从cosmic向后移植ca-certificates-java(20180413ubuntu1)
🗹Ubuntu 1769013:请合并来自Debian不稳定(主要)的ca-certificates-java 20180413(主要)
🗹Ubuntu 1739631:使用JDK 9进行的全新安装无法使用生成的PKCS12 cacerts密钥库文件
🗹docker -library 145:9-jdk映像具有SSL问题
🗹JDK -8044445:JEP 229:默认情况下创建PKCS12密钥库
如果在解决方法之后问题仍然存在,则可能需要确保您实际上正在运行刚刚修复的Java发行版。
$ which java
/usr/bin/java您可以使用以下方法将Java替代设置为“自动”:
$ sudo update-java-alternatives -a
update-alternatives: error: no alternatives for mozilla-javaplugin.so您可以再次检查正在执行的Java版本:
$ java --version
openjdk 10.0.1 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)
OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)也有其他解决方法,但是这些解决方法都有其自己的副作用,这些副作用需要将来进行额外的维护,而无任何回报。
下一个最佳解决方法是添加行
javax.net.ssl.trustStorePassword=changeit到文件
/etc/java-9-openjdk/management/management.properties
/etc/java-11-openjdk/management/management.properties以任何一个存在。
问题最少的第三种解决方法是更改
keystore.type=pkcs12至
keystore.type=jks在文件中
/etc/java-9-openjdk/security/java.security
/etc/java-11-openjdk/security/java.security删除存在的cacerts文件,然后删除该文件,并按照帖子顶部变通方法脚本最后一行中所述的方式重新生成该文件。
这为我在Ubuntu上解决了问题:
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure(在这里找到:https : //bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1396760)
ca-certificates-java 在Oracle JDK / JRE中不是依赖项,因此必须明确安装。
在Ubuntu 18.04上,根本原因是openjdk-11-jdk(默认)与其他依赖于它的软件包之间的冲突。它已在Debian中修复,不久将包含在Ubuntu中。同时,最简单的解决方法是将Java降级到版本8。ca-certificates-java情况要复杂得多。
首先删除有冲突的软件包:
sudo apt-get remove --purge openjdk* java-common default-jdk
sudo apt-get autoremove --purge通过以下方法检查是否已成功删除所有相关软件包:
sudo update-alternatives --config java系统将提示您没有可用于配置的Java,否则此解决方法将失败。
然后重新安装所需的软件包:
sudo apt-get install openjdk-8-jdkopenjdk-8-jdk软件包,删除/etc/ssl/certs/java/cacerts文件并运行sudo update-ca-certificates -f,这是从pkcs12格式化的cacerts文件切换到格式化的文件的一种round回方式jks,如本线程中其他地方所述。
EJP基本上回答了这个问题(并且我意识到这是一个可以接受的答案),但是我只是处理了这种极端情况而已,并希望将我的解决方案永生化。
我InvalidAlgorithmParameterException在托管的Jira上出错先前设置为仅SSL访问服务器。问题是我已经以PKCS#12格式设置了密钥库,但是我的信任库却是JKS格式。
就我而言,我已经编辑了server.xml文件以将keystoreType指定为PKCS,但是没有指定truststoreType,因此它默认为任何keystoreType。以JKS显式指定truststoreType为我解决了它。
我在博客文章《解决在OS X上运行OpenJDK 7时的trustAnchors问题》中遇到了这个解决方案:
在OS X上运行OpenJDK 7时,解决了trustAnchors问题。如果在OS X上运行OpenJDK 7,并已看到此异常:
Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors
parameter must be non-empty有一个简单的解决方法。只需链接到Apple JDK 1.6使用的cacerts文件中即可:
cd $(/usr/libexec/java_home -v 1.7)/jre/lib/security
ln -fsh /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security/cacerts您需要为已安装的每个OpenJDK版本执行此操作。只需更改-v 1.7为要修复的版本即可。运行/usr/libexec/java_home -V以查看所有已安装的JRE和JDK。
也许OpenJDK家伙可以将其添加到他们的安装脚本中。
security的文件夹(blacklisted.certs,local_policy.jar,和US_export_policy.jar对Java)快乐。
cacerts下jre?
在Ubuntu 12.10(Quantal Quetzal)或更高版本中,证书保存在ca-certificates-java软件包中。-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts无论您使用的是哪种JDK,使用都会拾取它们。
update-ca-certificates -f手动运行才能填充cacerts文件
在升级到OS X v10.9(Mavericks)之后,我在使用JDK 1.7的OS X上遇到了这个确切的问题。对我有用的修补程序是简单地重新安装Apple版本的Java,可从http://support.apple.com/kb/DL1572获得。
我跑了
sudo update-ca-certificates -f创建一个证书文件,然后:
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure谢谢大家,我重新营业了。遗憾的是它没有包含在安装程序中,但最终还是到了。
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure**我会得到sudo: /var/lib/dpkg/info/ca-certificates-java.postinst: command not found
sudo update-ca-certificates -f安装了Debian jessie上openjdk-8-jre-headless的jessie-backports,足够ca-certificates-java了。我认为安装顺序很重要(之后的JRE ca-certificates-java可能会导致这种情况,因为后者没有向后移植Java 8的任何触发器)。
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure 没有星星**
update-ca-certificates -f是固定它的东西。我不需要第二条命令
该错误表明系统无法在参数提供的路径中找到信任库 javax.net.ssl.trustStore。
在Windows下,我将cacerts文件从复制jre/lib/security到Eclipse安装目录(与eclipse.ini文件相同的位置),并在中添加以下设置eclipse.ini:
-Djavax.net.ssl.trustStore=cacerts
-Djavax.net.ssl.trustStorePassword=changeit
-Djavax.net.ssl.trustStoreType=JKS我在使用cacerts的路径时遇到了一些麻烦(%java_home%环境变量被覆盖),因此我使用了这种简单的解决方案。
这个想法是提供一个到信任库文件的有效路径-理想情况下,它将使用相对路径。您也可以使用绝对路径。
要确保商店类型为JKS,您将运行以下命令:
keytool -list -keystore cacerts
Keystore type: JKS
Keystore provider: SUN删除ca-certificates-java软件包并再次安装对我来说很有效(Ubuntu MATE 17.10(Artful Aardvark))。
sudo dpkg --purge --force-depends ca-certificates-java
sudo apt-get install ca-certificates-java谢谢jdstrand:错误983302的注释1,回复:ca-certificates-java无法在Oneiric Ocelot上安装Java cacerts。
升级到OS X v10.9(Mavericks)后,我遇到了很多安全问题:
trustAnchors 参数必须为非空我应用了此Java更新,并修复了所有问题:http : //support.apple.com/kb/DL1572?viewlocale=zh_CN
我期望这样的事情,因为我在Talend Open Studio中使用了备用JVM (目前仅在JDK 1.7之前才存在支持)。我出于安全目的使用8 ...无论如何
更新您的证书存储:
sudo update-ca-certificates -f然后
在初始化参数中添加一个新值
sudo gedit $(path to your architecture specific ini i.e. TOS_DI...ini)
Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts对我来说,第二个条目有效。我认为,根据Talend Open Studio / TEnt + JVM的版本,它具有不同的参数名称,但它查找相同的密钥库文件。
javax.net.ssl.trustAnchors从哪里获得财产?JSSE文档中未提及它。
对我而言,这是由信任库中缺少trustCertEntry引起的。
要测试,请使用:
keytool -list -keystore keystore.jks它给了我:
Keystore type: JKS
Keystore provider: SUN
Your keystore contains 1 entry
cert-alias, 31-Jul-2017, PrivateKeyEntry即使我的PrivateKeyEntry包含一个CA,它也需要单独导入:
keytool -import -alias root-ca1 -file rootca.crt -keystore keystore.jks它将导入证书,然后重新运行,keytool -list -keystore keystore.jks将得到:
Your keystore contains 2 entries
cert-alias, 31-Jul-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1):
<fingerprint>
root-ca1, 04-Aug-2017, trustedCertEntry,
Certificate fingerprint (SHA1):
<fingerprint>现在,它具有TrustedCertEntry,Tomcat将成功启动。
一些OpenJDK供应商发行版通过cacerts与二进制文件一起分发空文件而导致此问题。该错误的解释如下:https : //github.com/AdoptOpenJDK/openjdk-build/issues/555
您可以adoptOpenJdk8\jre\lib\security\cacerts从旧版本复制到文件,例如c:\Program Files\Java\jdk1.8.0_192\jre\lib\security\cacerts。
AdoptOpenJDK错误版本为https://github.com/AdoptOpenJDK/openjdk8-releases/releases/download/jdk8u172-b11/OpenJDK8_x64_Win_jdk8u172-b11.zip
如果您在使用JDK9和Maven的Ubuntu上遇到这种情况,则可以添加此JVM选项-首先检查路径是否存在:
-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts如果该文件丢失,请尝试按照以下提示安装ca-certificates-java:
sudo apt install ca-certificates-java我在Linux上的Java 9.0.1上收到此错误消息。这是由于JDK的一个已知错误所致,其中..tar.gz二进制软件包(从http://jdk.java.net/9/下载)中的cacerts文件为空。
请参阅JDK 9.0.1发行说明的“已知问题”段落,说“ TLS在OpenJDK 9上默认不起作用”。
在Debian / Ubuntu(以及其他衍生产品)上,一种简单的解决方法是将cacerts文件替换为“ ca-certificates-java”软件包中的文件:
sudo apt install ca-certificates-java
cp /etc/ssl/certs/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts在Red Hat Linux / CentOS上,您可以从“ ca-certificates”软件包中执行相同的操作:
sudo yum install ca-certificates
cp /etc/pki/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts从Ubuntu 16.04 LTS(Xenial Xerus)升级到Ubuntu 18.04 LTS(Bionic Beaver)后,尝试使用Maven 3 时遇到了这个问题。
检查/ usr / lib / jvm / java-8-oracle / jre / lib / security时,我的cacerts文件是指向以下文件的符号链接: /etc/ssl/certs/java/cacerts。
我还有一个可疑文件cacerts.original。
我将其重命名cacerts.original为cacerts,从而解决了该问题。
cacerts.original文件jks采用该格式,并由Ubuntu 16.04的Java 8生成,该Java 8使用该格式作为默认格式。该cacerts文件pkcs12采用由Ubuntu 18.04的Java 10生成的格式,该格式使用该格式作为默认格式。如本线程其他地方所述,新格式要求您将密码传递给可执行文件。但是,只要您生成一个新的空jks cacerts文件或复制一个旧的空文件,下一个cacerts生成过程就会清空现有文件,并用文件系统中的CA证书重新填充它。
当使用旧的Java 6并尝试访问HTTPS URL时,在更新OS X v10.9(Mavericks)之后,我也在OS X上遇到了此问题。解决的方法是彼得·克林斯(Peter Kriens)的反面。我需要cacerts将1.7空间复制到1.6版本链接的位置:
(as root)
umask 022
mkdir -p /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
cp $(/usr/libexec/java_home -v 1.7)/jre/lib/security/cacerts \
/System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security在我的情况下,客户端应用程序中使用的JKS文件已损坏。我创建了一个新证书,并在其中导入了目标服务器SSL证书。然后,我将客户端应用程序中的新JKS文件用作信任存储,例如:
System.setProperty("javax.net.ssl.trustStore",path_to_your_cacerts_file);我使用(KeyStore Explorer)工具创建新的JKS。您可以从此链接KeyStore Explorer下载。
升级到Spring Boot 1.4.1(或更高版本)后,您可能还会遇到此错误,因为它将Tomcat 8.5.5引入了它的依赖关系中。
问题是由于Tomcat处理信任库的方式所致。如果您恰好在Spring Boot配置中将信任库位置指定为与密钥库相同,则trustAnchors parameter must be non-empty在启动应用程序时可能会收到消息。
server.ssl.key-store=classpath:server.jks
server.ssl.trust-store=classpath:server.jks只需删除server.ssl.trust-store配置,除非您知道自己需要它,在这种情况下,请查阅下面的链接。
以下问题包含有关该问题的更多详细信息:
我在Android SDK sdkmanager中遇到了此问题。对我而言,此解决方案有效:
/usr/lib/jvm/java-8-oracle/jre/lib/security/cacert为cacert.original该cacert文件很小(22B)。我已经安装oracle-java8-installer了ppa:webupd8team/java(根据本手册:https : //docs.nativescript.org/start/ns-setup-linux)。
根据记录,这里没有答案对我有用。我的摇篮构建开始这个错误神秘失败,无法从获取HEAD 的Maven 中央特定POM文件。
事实证明,我已将JAVA_HOME设置为自己的OpenJDK构建,该构建是为调试javac问题而构建的。将其设置回安装在我的系统上的JDK可以修复它。
System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\user-id\\Desktop\\tomcat\\cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "passwd");您必须在代码中添加以上两行。无法找到信任库。
java -Djavax.net.ssl.trustStore=/tmp/cacerts ...或者,如果要为使用JDK运行的所有程序全局设置它们,请将行添加到JDK的management.properties文件中。
我在运行特定的Android套件以在Ubuntu 14.04(Trusty Tahr)上进行测试时遇到了这个问题。shaheen提出的两点对我有用:
sudo update-ca-certificates -f
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure我在Internet上找不到的解决方案都行不通,但是彼得·克林斯(Peter Kriens)的答案的修改版本似乎可以解决问题。
首先通过运行查找Java文件夹/usr/libexec/java_home。对我来说是1.6.0.jdk版本。然后转到其lib/security子文件夹(对我来说/Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security)。
然后删除该cacerts文件(如果已经存在),然后使用进行搜索sudo find / -name "cacerts"。它在我安装的Xcode版本或其他应用程序中找到了适合我的多个项目,也是/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts我选择的项目。
使用该文件并对其进行符号链接(位于Java文件夹之前)中,sudo ln -fsh "/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts"它应该可以工作。
我同时拥有-从Apple的2017-001下载中获得的Java(https://support.apple.com/kb/dl1572-我认为这是正确证书的来源)和在Mac OS X v10.12(Sierra)上安装的Oracle证书。
在ubuntu 14.04上使用来自ppa:openjdk-r / ppa的openjdk 11,这对我有用:
在java.security中,将密钥库类型更改为
keystore.type=jks然后:
sudo dpkg --purge --force-depends ca-certificates-java
sudo apt-get install ca-certificates-java当您检查它是否有效时,请确保您没有使用任何仍在运行旧Java的守护程序(例如--no-daemongradle选项)
此错误很好地描述了所有内容,将帮助您了解https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1739631的情况
极有可能这将帮助任何人,但是....对于在Raspberry Pi上通过Docker映像运行Java 8(使用AMD CPU)的任何人,我都会获得以下Dockerfile来为我成功构建和运行
FROM hypriot/rpi-java
USER root
WORKDIR /usr/build/
RUN /usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
RUN update-ca-certificates -f
RUN /var/lib/dpkg/info/ca-certificates-java.postinst configure
EXPOSE 8080
ARG JAR_FILE=target/app-0.0.1-SNAPSHOT.jar
ADD ${JAR_FILE} app.jar
ENTRYPOINT ["java", "-Djavax.net.ssl.trustStorePassword=changeit", "-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts", "-jar", "app.jar"]