调用 WebService 并有 SSL/证书问题

首先，我对 Java 中设置密钥库等知识了解不多

我正在尝试调用 SOAP Web 服务，我获取了 wsdl，生成了代码等。在我部署它并尝试触发 WS 调用之前，一切看起来都很好。

这是我的设置：

• 雄猫7.0.35
• Java、jdk 1.6.0_39
• pfx 文件和密码
• 项目作为标准 Web 应用程序（war）部署到 tomcat

当我运行代码时，出现以下异常：

Caused by: javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking https://tallyservices-qa.olson.com/tallyDemo2WebServices/tallyDemo2/sms: Received fatal alert: certificate_unknown
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:39)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:27)
    at java.lang.reflect.Constructor.newInstance(Constructor.java:513)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.mapException(HTTPConduit.java:1336)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1320)
    at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56)
    at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:622)
    at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:62)
    ... 27 more
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: certificate_unknown
    at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)
    at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:136)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1837)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1019)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1203)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1230)
    at com.sun.net.ssl.internal.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1214)
    at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:434)
    at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:166)
    at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1031)
    at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:230)
    at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.setupWrappedStream(URLConnectionHTTPConduit.java:170)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleHeadersTrustCaching(HTTPConduit.java:1280)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.onFirstWrite(HTTPConduit.java:1231)
    at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.onFirstWrite(URLConnectionHTTPConduit.java:183)
    at org.apache.cxf.io.AbstractWrappedOutputStream.write(AbstractWrappedOutputStream.java:47)
    at org.apache.cxf.io.AbstractThresholdOutputStream.write(AbstractThresholdOutputStream.java:69)
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1293)
    ... 30 more

我遵循了这里的建议：如何使用私钥将 .pfx 文件转换为密钥库？ https://stackoverflow.com/questions/4217107/how-to-convert-pfx-file-to-keystore-with-private-key将证书安装到我的密钥库：

keytool -importkeystore -srckeystore C:\somefolder\mypfxfile.pxf -srcstoretype pkcs12 
-destkeystore C:\somefolder\clientcert.jks -deststoretype JKS

我得到了：

Enter destination keystore password: <mypassword>
Re-enter new password: <mypassword>
Enter source keystore password: <pxf_password>
Entry for alias 67eb31f6 successfully imported.
Import command completed:  1 entries successfully imported, 0 entries failed or
cancelled

到目前为止，一切看起来都很好，我弹起我的 tomcat 并再次点击 Servlet，但仍然遇到相同的错误。

我在这里还缺少什么？我需要告诉tomcat有关证书之类的信息吗？

预先感谢您对我在密钥库和证书领域的新手的帮助和歉意。

EDIT:所以我从 Carlo Pellegrini 的帮助中想到，我需要将密钥库添加到 tomcat： 所以现在，我的 tomcat 使用附加的 JAVA_OPTS 参数启动：

"-Djavax.net.ssl.trustStore=C:\somefolder\clientcert.jks -Djavax.net.ssl.trustStorePassword=somepassword"

现在我得到了：

Caused by: javax.net.ssl.SSLException: java.lang.RuntimeException: Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be non-empty

从这里：错误 - trustAnchors 参数必须非空 https://stackoverflow.com/questions/6784463/error-trustanchors-parameter-must-be-non-empty and 出现 java.security.InvalidAlgorithmParameterException：使用 cas 时 trustAnchors 参数必须为非空 https://stackoverflow.com/questions/6633164/got-java-security-invalidalgorithmparameterexception-the-trustanchors-parameter- 好像找不到我的信任库？

我想我之前的命令是：

keytool -importkeystore -srckeystore C:\somefolder\mypfxfile.pxf -srcstoretype pkcs12 -destkeystore C:\somefolder\clientcert.jks -deststoretype JKS

实际上将 pxf 放入keystore，不是信任库？

当我检查密钥库列表时：

C:\somefolder>keytool -list -keystore "C:\somefolder\clientcert.jks"
Enter keystore password:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

67eb31f6, 13-Feb-2013, PrivateKeyEntry,
Certificate fingerprint (MD5): ... some fingerprint ...

所以我不确定我在这里错过了什么

您需要信任服务器证书。操作方法如下：

使用 Chrome（其他浏览器的说明可能有所不同）：

• 浏览服务站点。 （例子。https://localhost/myService)
• 如果浏览器不信任它，请单击Proceed anyway，单击地址栏中的挂锁图标，没有弹出窗口，选择Connection选项卡和Certificate Information link.
• 这应该打开证书查看器窗口，在其中选择Details，您应该查看Export ...按钮。选择 Base 64 编码的单一证书并将其另存为mysite.cer file.

这样就获取了证书，现在您需要将其导入信任库中。

现在将证书导入密钥库：

keytool -import -file mysite.cer -keystore mykeystore

这将创建一个新的文件密钥库文件mykeystore在当前目录中。

最后使用 JVM 参数启动 Web 服务客户端应用程序javax.net.ssl.trustStore as in:

java -Djavax.net.ssl.trustStore=mykeystore ... MyClientClass

或者，如果您在 Windows 中使用 Tomcat：

set JAVA_OPTS=-Djavax.net.ssl.trustStore=mykeystore
startup.bat

或者，如果您在 Unix 中使用 Tomcat：

export JAVA_OPTS="-Djavax.net.ssl.trustStore=mykeystore"
startup.sh