Hata - trustAnchors parametresi boş olmamalı

Jenkins / Hudson'daki e-postamı yapılandırmaya çalışıyorum ve sürekli olarak hatayı alıyorum:

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be
    non-empty

Çevrimiçi hatayla ilgili çok fazla bilgi gördüm, ancak işe yaramadım. Sun'ın JDK'sını Fedora Linux'ta kullanıyorum (OpenJDK değil).

İşte denediğim birkaç şey. Bu tavsiye aşağıdaki çalıştı yazı , ancak üzerinde Jenkins iş vermedi barındırma benim Fedora kutusuna Windows'tan cacerts kopyalama. Gmail'i SMTP sunucum olarak yapılandırmaya çalışırken bu kılavuzu izlemeyi denedim , ancak işe yaramadı. Ayrıca bu cacert dosyalarını manuel olarak indirmeye ve taşımayı ve bu kılavuzdaki komutların bir varyasyonunu kullanarak Java klasörüme taşımayı denedim .

Şu anda takıldığım için herhangi bir öneriye açığım. Bir Windows Hudson sunucusundan çalışmaya başladım, ancak Linux'ta mücadele ediyorum.

Bu tuhaf mesaj, belirttiğiniz güvenilir mağazanın:

• boş,
• bulunamadı veya
• açılamadı (örneğin erişim izinleri nedeniyle).

Aşağıdaki @ AdamPlumb'un cevabına da bakınız .

Bu sorunu çözmek (bu konuda yazdığı için buraya ) ile ekleyebilir truststore kullanılıyor anlamak mülkiyet javax.net.debug = Tüm ardından truststore ilgili günlükleri filtre. Belirli bir truststore belirtmek için javax.net.ssl.trustStore özelliği ile de oynayabilirsiniz. Örneğin :

    java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=/Another/path/to/cacerts -jar test_get_https-0.0.1-SNAPSHOT-jar-with-dependencies.jar https://www.calca.com.py 2>&1| grep -i truststore

In Ubuntu 18.04 , bu hata, farklı bir nedeni vardır (den JEP 229, anahtarı jksiçin anahtar deposu varsayılan biçimi pkcs12formatında ve Debian yeni dosyalar için varsayılan kullanarak dosya nesil cacerts) ve geçici çözümü :

# Ubuntu 18.04 and various Docker images such as openjdk:9-jdk throw exceptions when
# Java applications use SSL and HTTPS, because Java 9 changed a file format, if you
# create that file from scratch, like Debian / Ubuntu do.
#
# Before applying, run your application with the Java command line parameter
#  java -Djavax.net.ssl.trustStorePassword=changeit ...
# to verify that this workaround is relevant to your particular issue.
#
# The parameter by itself can be used as a workaround, as well.

# 0. First make yourself root with 'sudo bash'.

# 1. Save an empty JKS file with the default 'changeit' password for Java cacerts.
#    Use 'printf' instead of 'echo' for Dockerfile RUN compatibility.
/usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts

# 2. Re-add all the CA certs into the previously empty file.
/var/lib/dpkg/info/ca-certificates-java.postinst configure

Durum (2018-08-07) , hata Ubuntu Bionic LTS 18.04.1 ve Ubuntu Cosmic 18.10'da düzeltildi.

🗹 Ubuntu 1770553: [SRU] backport ca-sertifikalar-java kozmik (20180413ubuntu1)

🗹 Ubuntu 1769013: Lütfen Debian kararsızından (ana) ca-sertifikalar-java 20180413 (ana) birleştirin

🗹 Ubuntu 1739631: JDK 9 ile yeni yükleme, oluşturulan PKCS12 cacerts anahtar deposu dosyasını kullanamıyor

🗹 docker-library 145: 9-jdk resminde SSL sorunları var

🗹 Debian 894979: ca-certificate-java: OpenJDK 9 ile çalışmaz, uygulamalar InvalidAlgorithmParameterException ile başarısız olur: trustAnchors parametresi boş olmamalıdır

K JDK-8044445: JEP 229: Varsayılan olarak PKCS12 Anahtar Depoları Oluşturma

🖺 JEP 229: Varsayılan olarak PKCS12 Anahtar Depoları Oluşturma

Bu geçici çözümden sonra sorun devam ederse, yeni düzelttiğiniz Java dağıtımını çalıştırdığınızdan emin olmak isteyebilirsiniz.

$ which java
/usr/bin/java

Java alternatiflerini aşağıdakilerle 'otomatik' olarak ayarlayabilirsiniz:

$ sudo update-java-alternatives -a
update-alternatives: error: no alternatives for mozilla-javaplugin.so

Yürüttüğünüz Java sürümünü iki kez kontrol edebilirsiniz:

$ java --version
openjdk 10.0.1 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)
OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)

Alternatif çözümler de vardır, ancak bunların herhangi bir geri ödeme yapılmaksızın gelecekteki ekstra bakım gerektiren kendi yan etkileri vardır.

Sonraki en iyi geçici çözüm satırı eklemektir

javax.net.ssl.trustStorePassword=changeit

dosyalara

/etc/java-9-openjdk/management/management.properties
/etc/java-11-openjdk/management/management.properties

hangisi varsa.

Üçüncü en az problemli çözüm,

keystore.type=pkcs12

için

keystore.type=jks

dosyalarda

/etc/java-9-openjdk/security/java.security
/etc/java-11-openjdk/security/java.security

hangisi varsa seçin ve ardından cacertsdosyayı kaldırın ve yayının en üstündeki geçici çözüm komut dosyasının son satırında açıklanan şekilde yeniden oluşturun.

Bu Ubuntu benim için sorunu düzeltti:

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

(burada bulunur: https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1396760 )

ca-certificates-java Oracle JDK / JRE içinde bir bağımlılık değildir, bu yüzden bu açıkça yüklenmelidir.

Ubuntu 18.04'te temel neden, openjdk-11-jdk (varsayılan) ve buna bağlı olarak diğer paketler arasında bir çakışmadır. Debian'da zaten düzeltildi ve kısa süre içinde Ubuntu'ya dahil edilecek. Bu arada en basit çözüm, java'nızı sürüm 8'e indirmektir. Diğer çözümlerin ca-certificates-javakullanımı çok daha karmaşıktır.

Önce çakışan paketleri kaldırın:

sudo apt-get remove --purge openjdk* java-common default-jdk
sudo apt-get autoremove --purge

İlgili tüm paketleri başarıyla sildiğinizden emin olun:

sudo update-alternatives --config java

Sistem sizden yapılandırılacak hiçbir Java olmadığını bildirecektir , aksi halde bu geçici çözüm başarısız olur .

Ardından gerekli paketleri yeniden yükleyin:

sudo apt-get install openjdk-8-jdk

EJP temel olarak soruyu yanıtladı (ve bunun kabul edilmiş bir cevabı olduğunu anlıyorum), ama sadece bu uç dava ile uğraştım ve çözümümü ölümsüzleştirmek istedim.

InvalidAlgorithmParameterExceptionBarındırılan bir Jira hatası aldım önce yalnızca SSL erişimi için ayarladığım sunucusunda . Sorun, anahtar depomu PKCS # 12 biçiminde ayarlamış olmamdı, ancak güven mağazam JKS biçimindeydi.

Benim durumumda, server.xmlPKCS'ye keystoreType belirtmek için dosyamı düzenledim , ancak truststoreType belirtmedim, bu yüzden keystoreType ne olursa olsun varsayılan. TruststoreType'ı açıkça JKS olarak belirtmek benim için çözdü.

Ben blog yayınında bu çözümün koştu OS X üzerinde OpenJDK 7 çalıştıran trustAnchors sorununu gidermek, :

OS X'te OpenJDK 7 çalıştırırken trustAnchors sorununu giderme. OS X'de OpenJDK 7 çalıştırıyorsanız ve bu istisnayı gördüyseniz:

Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors
    parameter must be non-empty

Basit bir düzeltme var. Apple'ın JDK 1.6'nın kullandığı aynı cacerts dosyasına bağlanmanız yeterlidir:

cd $(/usr/libexec/java_home -v 1.7)/jre/lib/security
ln -fsh /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security/cacerts

Bunu, yüklediğiniz her OpenJDK sürümü için yapmanız gerekir. Sadece değiştirmek -v 1.7düzeltmek istediğiniz sürüme. /usr/libexec/java_home -VYüklediğiniz tüm JRE'leri ve JDK'ları görmek için çalıştırın .

Belki de OpenJDK adamları bunu kurulum komut dosyalarına ekleyebilir.

In Ubuntu 12.10 (Quantal Quetzal) veya daha sonra sertifika düzenlenmektedir ca-sertifikalar-java paketinin. Kullandığınız -Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacertsJDK'ya bakılmaksızın kullanmak onları alır.

OS X v10.9'a (Mavericks) yükselttikten sonra JDK 1.7 kullanarak OS X'te tam olarak bu sorunla karşılaştım . Benim için çalışan düzeltme, Java'nın http://support.apple.com/kb/DL1572 adresindeki Apple sürümünü yeniden yüklemekti .

Koştum

sudo update-ca-certificates -f

bir sertifika dosyası oluşturmak için:

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

İşe geri döndüm, teşekkürler çocuklar. Tesisatta bulunmaması üzücü, ama sonunda oraya vardım.

Hata, sistemin güven deposunu parametre ile sağlanan yolda bulamadığını söyler javax.net.ssl.trustStore .

Windows altında cacertsdosyayı jre/lib/securityEclipse kurulum dizinine kopyaladım ( dosya ile aynı yer eclipse.ini) ve aşağıdaki ayarları ekledim eclipse.ini:

-Djavax.net.ssl.trustStore=cacerts
-Djavax.net.ssl.trustStorePassword=changeit
-Djavax.net.ssl.trustStoreType=JKS

Cacerts yolu ile bazı sorunlar vardı (% java_home% ortam değişkeni üzerine yazılır), bu yüzden bu önemsiz çözümü kullandım.

Fikir, truststore dosyasına geçerli bir yol sağlamaktır - ideal olarak, göreli bir dosya kullanmak olacaktır. Ayrıca mutlak bir yol da kullanabilirsiniz.

Mağaza türünün JKS olduğundan emin olmak için aşağıdaki komutu çalıştırırsınız:

keytool -list -keystore cacerts

Keystore type: JKS
Keystore provider: SUN

Ca-certificate-java paketinin kaldırılması ve yeniden kurulması benim için çalıştı ( Ubuntu MATE 17.10 (Artful Aardvark)).

sudo dpkg --purge --force-depends ca-certificates-java

sudo apt-get install ca-certificates-java

Teşekkürler, jdstrand: Hata 983302 için yorum 1, Re: ca-sertifikalar-java Oneiric Ocelot Java cacerts yüklemek için başarısız .

OS X v10.9'a (Mavericks) yükselttikten sonra çok fazla güvenlik sorunu yaşadım :

• Amazon AWS ile SSL sorunu
• Eşin Maven ve Eclipse ile kimliği doğrulanmadı
• trustAnchors parametre boş olmamalı

Bu Java güncellemesini uyguladım ve tüm sorunlarımı düzeltti: http://support.apple.com/kb/DL1572?viewlocale=tr

Talend Open Studio'mda alternatif bir JVM kullandığım gibi böyle şeyler bekledim (şu anda destek sadece JDK 1.7'ye kadar var). Güvenlik amacıyla 8 kullanıyorum ... neyse

• Sertifika deponuzu güncelleyin:

  sudo update-ca-certificates -f

sonra

• başlatma parametrelerinize yeni bir değer ekleyin

  sudo gedit $(path to your architecture specific ini i.e. TOS_DI...ini)
  
  Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

Benim için ikinci giriş işe yaradı. Bence, Talend Open Studio / TEnt + JVM sürümüne bağlı olarak, farklı bir parametre adı var, ancak aynı anahtar deposu dosyasını arıyor.

Benim için truststore'da güvenilen birCertEntry eksikliğinden kaynaklanıyordu.

Test etmek için şunu kullanın:

keytool -list -keystore keystore.jks

Bana verir:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

cert-alias, 31-Jul-2017, PrivateKeyEntry

PrivateKeyEntry bir CA içeriyor olsa da, ayrı olarak içe aktarılması gerekiyor :

keytool -import -alias root-ca1 -file rootca.crt -keystore keystore.jks

Sertifikayı içe aktarır ve keytool -list -keystore keystore.jksşimdi yeniden çalıştırılması şunları sağlar:

Your keystore contains 2 entries

cert-alias, 31-Jul-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1):
<fingerprint>
root-ca1, 04-Aug-2017, trustedCertEntry,
Certificate fingerprint (SHA1):
<fingerprint>

Şimdi bir güvenilenCertEntry var ve Tomcat başarıyla başlayacak.

Bazı OpenJDK satıcıları cacerts, bunun ikili dosya ile dağıtılmış boş bir dosyaya sahip olması nedeniyle ortaya çıkar . Hata burada açıklanmaktadır: https://github.com/AdoptOpenJDK/openjdk-build/issues/555

Gibi adoptOpenJdk8\jre\lib\security\cacertseski bir kurulumdan dosyaya kopyalayabilirsiniz c:\Program Files\Java\jdk1.8.0_192\jre\lib\security\cacerts.

AdoptOpenJDK buggy sürümü https://github.com/AdoptOpenJDK/openjdk8-releases/releases/download/jdk8u172-b11/OpenJDK8_x64_Win_jdk8u172-b11.zip

Bunu JDK9 ve Maven ile Ubuntu'da yaşıyorsanız, bu JVM seçeneğini ekleyebilirsiniz - önce yolun mevcut olup olmadığını kontrol edin:

-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

Dosya eksikse, ca-certificate-java'yı birisinin belirttiği gibi yüklemeyi deneyin:

sudo apt install ca-certificates-java

Linux'ta Java 9.0.1'de bu hata mesajını aldım. Cacerts dosyasının .tar.gz ikili paketinde ( http://jdk.java.net/9/ adresinden indirildiği) JDK'nın bilinen bir hatasından kaynaklanıyordu. ) .

JDK 9.0.1 Sürüm Notları'nın "bilinen sorunlar" paragrafına bakın "TLS, OpenJDK 9'da varsayılan olarak çalışmaz" diyerek .

Debian / Ubuntu'da (ve muhtemelen diğer türevlerde), basit bir çözüm, cacerts dosyasını "ca-certificate-java" paketinden biriyle değiştirmektir:

sudo apt install ca-certificates-java
cp /etc/ssl/certs/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Red Hat Linux / CentOS'ta, aynısını "ca-certificate" paketinden yapabilirsiniz:

sudo yum install ca-certificates
cp /etc/pki/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Ubuntu 16.04 LTS'den (Xenial Xerus) Ubuntu 18.04 LTS'ye (Biyonik Kunduz) yükselttikten sonra Maven 3'ü kullanmaya çalışırken bu sorunu yaşadım .

/ Usr / lib / jvm / java-8-oracle / jre / lib / security denetlenmesi, cacerts dosyamın işaret eden sembolik bir bağlantı olduğunu gösterdi /etc/ssl/certs/java/cacerts .

Ayrıca şüpheli bir şekilde adlandırılmış bir dosyam vardı cacerts.original.

Ben değiştirildi cacerts.originaletmek cacertsve bu sorunu düzeltildi.

Ayrıca, eski Java 6 kullanıldığında ve bir HTTPS URL'sine erişmeye çalışıldığında OS X v10.9'u (Mavericks) güncelledikten sonra OS X'te de karşılaştım. Düzeltme Peter Kriens'in tersiydi; cacerts1.7 alanından 1.6 sürümü ile bağlantılı konuma kopyalamak gerekiyordu :

(as root)
umask 022
mkdir -p /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
cp $(/usr/libexec/java_home -v 1.7)/jre/lib/security/cacerts \
    /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security

Benim durumumda, istemci uygulamasında kullanılan JKS dosyası bozuk. Yeni bir tane oluşturdum ve hedef sunucu SSL sertifikalarını içeri aktardım. Sonra istemci uygulamasında yeni JKS dosyasını bir güven deposu olarak kullandım, örneğin:

System.setProperty("javax.net.ssl.trustStore",path_to_your_cacerts_file);

Kaynak: Java SSL ve sertifika anahtar deposu

Yeni JKS oluşturmak için (KeyStore Explorer) aracını kullanıyorum. Bu bağlantıdan, KeyStore Explorer'dan indirebilirsiniz .

Tomcat'i beraberinde getirdiğinden Spring Boot 1.4.1'e (veya daha yenisine) yükselttikten sonra da bu hatayla karşılaşabilirsiniz. 8.5.5'i bağımlılıklarının bir parçası olarak yenisine .

Sorun Tomcat'in güven deposuyla ilgilenme biçiminden kaynaklanıyor. Spring Store yapılandırmasında anahtar deponuzla aynı anahtar deposu konumunuzu belirttiyseniz, büyük olasılıkla trustAnchors parameter must be non-emptyuygulamayı başlatırken iletiyi alırsınız.

server.ssl.key-store=classpath:server.jks
server.ssl.trust-store=classpath:server.jks

Sadece server.ssl.trust-storeİhtiyacınız olduğunu bilmediğiniz sürece yapılandırmayı bu durumda aşağıdaki bağlantılara bakın.

Aşağıdaki sorunlar sorunla ilgili daha fazla ayrıntı içerir:

• HTTPS Tomcat bağlayıcı 1.4.1 # 7069 ile başlayamıyor
• SSL-istemci-auth ile kendinden imzalı sertifika çalışma durdu # 7406
• Tomcat 8.5.5 # 6703 sürümüne geçin

Android SDK sdkmanager ile bu sorunla karşılaştım. Benim için bu çözüm işe yaradı:

1. Adresine git /usr/lib/jvm/java-8-oracle/jre/lib/security/
2. Değiştir cacertilecacert.original

cacertDosya küçücük bir (22B) idi. Ben yüklemiş oracle-java8-installerdan ppa:webupd8team/java(: bu kılavuza uygun https://docs.nativescript.org/start/ns-setup-linux ).

Kayıt için, buradaki cevapların hiçbiri benim için işe yaramadı. Gradle derlemim bu hatayla gizemli bir şekilde başarısız olmaya başladı, belirli bir POM için Maven merkezinden HEAD getirilemedi dosyası .

JAVA_HOME'un bir javac sorununu hata ayıklamak için oluşturduğum kendi kişisel OpenJDK yapım olarak ayarladığım ortaya çıktı. Sistemimde yüklü olan JDK'ya geri ayarlamak sorunu çözdü.

Red Hat Linux'ta sertifikaları içe aktararak bu sorunu çözdüm /etc/pki/java/cacerts.

System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\user-id\\Desktop\\tomcat\\cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "passwd");

Yukarıdaki iki satırı kodunuza eklemelisiniz. Güven deposunu bulamıyor.

Ubuntu 14.04 (Trusty Tahr) üzerinde test için belirli bir Android paketini çalıştırırken bu sorunla karşılaştım . Shaheen'in önerdiği gibi iki şey benim için çalıştı:

sudo update-ca-certificates -f

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

İnternette bulduğum çözümlerin hiçbiri işe yaramadı, ancak Peter Kriens'in cevabının değiştirilmiş bir versiyonu işi yapıyor gibi görünüyor.

Önce Java klasörünüzü çalıştırarak bulun /usr/libexec/java_home. Benim için 1.6.0.jdkversiyon buydu. Sonra onun lib/securityalt klasörüne gidin (benim için /Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security).

Daha sonra cacertsdosyayı varsa silin ve sistemde bir dosyayı arayın sudo find / -name "cacerts". Xcode veya yüklediğim diğer uygulamaların sürümlerinde benim için birden fazla öğe buldu, aynı zamanda /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacertsseçtiğim.

Bu dosyayı kullanın ve dosyaya sembolik bir bağlantı yapın (daha önce Java klasörü içindeyken) sudo ln -fsh "/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts"ve çalışması gerekir.

Her ikisine de sahibim - Apple'ın 2017-001 sürümünden Java indir ( https://support.apple.com/kb/dl1572 - Sanırım doğru sertifikaların bulunduğu yer) ve Oracle'ın Mac OS X v10.12'de (Sierra) yüklü .

ubuntu 14.04'te ppa'dan openjdk 11 ile: openjdk-r / ppa bu benim için çalıştı:

java.security içinde anahtar deposu türünü

keystore.type=jks

sonra:

sudo dpkg --purge --force-depends ca-certificates-java
sudo apt-get install ca-certificates-java

çalışıp çalışmadığını kontrol ettiğinizde, eski java ile çalışan herhangi bir arka plan programı kullanmadığınızdan emin olun (örneğin --no-daemon, sınıflandırma seçeneği)

bu hata her şeyi güzelce açıklar ve neler olduğunu anlamanıza yardımcı olur https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1739631

Ubuntu 18.04'te eski bir projenin bakımı için OpenJDK 1.7 kullanmam gerekiyordu. İkili paketi indirdim. Ama senaryomu çalıştırdığımda aynı hatayı aldım.

Çözüm, cacertsindirilen JDK dosyasını jre/lib/securityklasörde kaldırmak ve daha sonra içindeki sistem cacertsdosyasına sembolik bağlantı olarak oluşturmaktı /etc/ssl/certs/java/:

sudo ln -s /etc/ssl/certs/java/cacerts /path/to/downloaded/java/jre/lib/security/cacerts

İnce şans bu herkese yardımcı olacaktır ama .... Raspberry Pi üzerinde bir Docker Image Java 8 çalışan herkes için (AMD CPU kullanarak) benim için başarıyla inşa ve çalıştırmak için aşağıdaki Dockerfile var

FROM hypriot/rpi-java
USER root

WORKDIR /usr/build/

RUN /usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
RUN update-ca-certificates -f
RUN /var/lib/dpkg/info/ca-certificates-java.postinst configure

EXPOSE 8080

ARG JAR_FILE=target/app-0.0.1-SNAPSHOT.jar

ADD ${JAR_FILE} app.jar

ENTRYPOINT ["java", "-Djavax.net.ssl.trustStorePassword=changeit", "-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts", "-jar", "app.jar"]