首先将服务器SSL证书导入Java信任库,具体步骤为:1. 获取目标服务器的PEM格式证书,可通过浏览器导出或使用OpenSSL命令获取;2. 使用keytool工具将证书导入$JAVA_HOME/jre/lib/security/cacerts,默认密码为changeit;3. 通过keytool -list验证证书是否成功导入;4. 可选创建自定义信任库并启动应用时通过-Djavax.net.ssl.trustStore指定路径。确保证书链完整、域名匹配、时间有效,即可实现Java应用与SSL服务的安全连接。
为Java配置SSL证书环境,核心是将证书导入Java的信任库(truststore),确保应用能验证服务器身份并建立安全连接。多数情况下,Java应用通过JSSE(Java Secure Socket Extension)进行SSL/TLS通信,而默认的信任库是$JAVA_HOME/jre/lib/security/cacerts。以下是具体操作步骤。
1. 获取SSL证书
你需要获取目标服务器的公钥证书(通常是PEM格式)。可通过浏览器导出、使用openssl命令获取,或由服务提供方提供。
例如,用OpenSSL获取网站证书:
echo | openssl s_client -connect example.com:443 2>/dev/null | openssl x509 > example.crt
这会将example.com的证书保存为example.crt文件。
立即学习“Java免费学习笔记(深入)”;
2. 将证书导入Java信任库
使用keytool工具(JDK自带)将证书导入cacerts信任库。
命令格式:
keytool -importcert -alias 证书别名 -file 证书文件路径 -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
示例:
keytool -importcert -alias example -file example.crt -keystore /opt/java/jdk/jre/lib/security/cacerts -storepass changeit
注意:默认密码是changeit,建议不要修改,以免影响其他应用。执行后确认是否信任该证书,输入yes即可。
3. 验证证书是否导入成功
查看信任库中是否存在该证书:
keytool -list -alias example -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
若返回证书信息,说明导入成功。
4. 应用使用自定义信任库(可选)
如果不希望修改系统级cacerts,可以创建独立的信任库,并在启动Java应用时指定:
- 复制一份
cacerts作为自定义信任库: - 导入证书到
my-truststore.jks - 启动Java程序时添加JVM参数:
cp $JAVA_HOME/jre/lib/security/cacerts my-truststore.jks
-Djavax.net.ssl.trustStore=/path/to/my-truststore.jks -Djavax.net.ssl.trustStorePassword=changeit
基本上就这些。只要证书正确导入信任库,Java应用在发起HTTPS请求或连接SSL服务时就能正常握手。如果仍报证书错误,检查证书链是否完整、域名是否匹配、时间是否有效。不复杂但容易忽略细节。
