新建证书- PKIX路径构建失败

Question

我刚刚为我们的域名购买了一个新的通配符ssl证书，因为我们的旧证书即将到期。我已经在我们的cas服务器和应用服务器上安装了它，但是我在应用服务器上得到了以下堆栈跟踪：

Message: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 
Cause: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

Trace:
org.jasig.cas.client.validation.Saml11TicketValidator.retrieveResponseFromServer(Saml11TicketValidator.java:231)
org.jasig.cas.client.validation.AbstractUrlBasedTicketValidator.validate(AbstractUrlBasedTicketValidator.java:207)

两台服务器上的证书是相同的。

Answer 1

我认为JVM中的GoDaddy证书已经过期，不再受信任，或者到新证书的路径不同。

因此，我必须将最新的证书包从GoDaddy导入到我的jetty服务器上的JVM中。

keytool -import -noprompt -trustcacerts -alias godaddy -file /tmp/gd_bundle-g2-g1.crt -keystore /usr/lib/jvm/oracle-jdk1.7/jre/lib/security/cacerts