Https соединение не находит сертификат

@Many · Регистрация: 02.10.2014

Студворк — интернет-сервис помощи студентам

На одном и том же сайте разделы разделы прилинкованы к разным доменным именам.
Разные имена имеют разные сертифиаты. К примеру https://librasimferopol.ru/ и https://librakerch.ru/
По первому адресу https://librasimferopol.ru/ соединение происходит нормально контент возвращаеться, второй адрес возвращает:
javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExceptio n: PKIX path building failed: sun.security.provider.certpath.SunCertPa thBuilderException: unable to find valid certification path to requested target
Как одолеть эту проблему.

Java
1
2
3
4
5
6
7
8
static String USER_AGENT = "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/49.0.2623.112 Safari/537.36";
String url ="https://librakerch.ru/";
//String url ="https://librasimferopol.ru/"; 
URL obj = new URL(url);
HttpsURLConnection con = (HttpsURLConnection) obj.openConnection();
con.setRequestProperty("User-Agent", USER_AGENT);
con.setRequestProperty("Cookie", "full=1");
InputStream cgs = con.getInputStream();

@xoraxax · 16.10.2016, 19:04

возьми сертификат, добавь его в cacerts

@Many · 17.10.2016, 08:57 **[ТС]**

Вроде добавил уже, может как-то не так. Потому что ошибка та же.

Кликните здесь для просмотра всего текста

C:\Program Files\Java\jre1.8.0_65\bin>keytool -keystore ..\lib\security\carcerts
-import -alias librakerch.ru -file C:\libra.cer
Enter keystore password:
keytool error: java.lang.Exception: Certificate not imported, alias <librakerch.
ru> already exists

Добавлено через 48 минут
Фух. Кое как получилось.

Удалил и заново добавил.

@akalji · 14.03.2017, 18:39

xoraxax, подскажите пожалуйста, есть ли возможность без добавления сертификата загрузить? Тот же habrahabr или yandex нормально загружается, а мои сайты с startSSL с ошибкой. Просто требовать у пользователя самостоятельно грузить сертификат - не круто

@Pi Ey · 15.03.2017, 17:29

Наверное баг какой то )000
А почему бы вам просто не сделать так ?

Java
1
2
3
4
5
6
7
8
9
import java.net.*;
 
URLConnection connect = new URL("https://google.com").openConnection();
BufferedReader reader = new BufferedReader( new InputStreamReader( connect.getInputStream() ) );
StringBuffer buffer = new StringBuffer();
String line;
while( ( line = reader.readLine() ) != null ) {
     buffer.append( line );
}

@akalji · 15.03.2017, 18:08

Pi Ey, потому что вылетает исключение javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExceptio n: PKIX path building failed: sun.security.provider.certpath.SunCertPa thBuilderException: unable to find valid certification path to requested target

@xoraxax · 15.03.2017, 21:48

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
public static final String URL = "https://google.com";
 
    public static void main(String... args) throws IOException, NoSuchAlgorithmException {
        try (CloseableHttpClient httpClient = HttpClients.createDefault()) {
            String responseBody = httpClient.execute(new HttpGet(URL), getResponseHandler());
            System.out.println(responseBody);
        }
    }
 
    private static ResponseHandler<String> getResponseHandler() {
        return new ResponseHandler<String>() {
            @Override
            public String handleResponse(final HttpResponse response) throws ClientProtocolException, IOException {
                int status = response.getStatusLine().getStatusCode();
                if (status >= 200 && status < 300) {
                    HttpEntity entity = response.getEntity();
                    return entity != null ? EntityUtils.toString(entity) : null;
                } else {
                    throw new ClientProtocolException("Unexpected response status: " + status);
                }
            }
        };
    }

@akalji · 17.03.2017, 08:58

Вот код фабрики, которая создает Apache HttpClient, который игнорирует валидность сертификата. Подходит как для самоаодписанных сертификатов так и для неизвестных центров сертификации

Java
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
public class trust_all_ssl_httpclient_factory {
    public HttpClient createHttpClient_AcceptsUntrustedCerts() throws KeyStoreException, NoSuchAlgorithmException, KeyManagementException {
        HttpClientBuilder b = HttpClientBuilder.create();
 
        // setup a Trust Strategy that allows all certificates.
        //
        SSLContext sslContext = new SSLContextBuilder().loadTrustMaterial(null, new TrustStrategy() {
            public boolean isTrusted(X509Certificate[] arg0, String arg1) throws CertificateException {
                return true;
            }
        }).build();
        b.setSslcontext( sslContext);
 
        // don't check Hostnames, either.
        //      -- use SSLConnectionSocketFactory.getDefaultHostnameVerifier(), if you don't want to weaken
        HostnameVerifier hostnameVerifier = SSLConnectionSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER;
 
        // here's the special part:
        //      -- need to create an SSL Socket Factory, to use our weakened "trust strategy";
        //      -- and create a Registry, to register it.
        //
        SSLConnectionSocketFactory sslSocketFactory = new SSLConnectionSocketFactory(sslContext, hostnameVerifier);
        Registry<ConnectionSocketFactory> socketFactoryRegistry = RegistryBuilder.<ConnectionSocketFactory>create()
                .register("http", PlainConnectionSocketFactory.getSocketFactory())
                .register("https", sslSocketFactory)
                .build();
 
        // now, we create connection-manager using our Registry.
        //      -- allows multi-threaded use
        PoolingHttpClientConnectionManager connMgr = new PoolingHttpClientConnectionManager( socketFactoryRegistry);
        b.setConnectionManager( connMgr);
 
        // finally, build the HttpClient;
        //      -- done!
        HttpClient client = b.build();
        return client;
    }
}

@LeX · 19.03.2017, 22:15

akalji, это все возможно связано с тем что starcom не в милости

@akalji · 19.03.2017, 22:53

LeX, именно в этом и дело, хотя на apple и windows phone, а также на сервере с Python такой проблемы нет. Только Java не принимала. Да и FireFox ESR не ругается на сертификат.

@LeX · 19.03.2017, 23:29

akalji, а корневые серты старкома импортировал?

@akalji · 20.03.2017, 00:20

LeX, нет, так как не разобрался, как это делать на Android

@LeX · 20.03.2017, 00:33

akalji, не в курсе как делается на андройде, но обычно корневой серт добавляется в тот же кейстор, что и основной серт (этот кейсотр обычно идет вместе с самим приложением)

Добавлено через 1 минуту
в конце концов можно добавить серт в систему https://www.google.ru/webhp?so... tificate&*

Новые блоги и статьи Все статьи Все блоги /
PhpStorm 2025.3: WSL Terminal всегда стартует в ~ and_y87 14.12.2025 PhpStorm 2025. 3: WSL Terminal всегда стартует в ~ (home), игнорируя директорию проекта Симптом: После обновления до PhpStorm 2025. 3 встроенный терминал WSL открывается в домашней директории. . .	Access VikBal 11.12.2025 Помогите пожалуйста !! Как объединить 2 одинаковые БД Access с разными данными.	Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .
Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .	Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .

@xoraxax 3639 / 2971 / 918 Регистрация: 05.07.2013 Сообщений: 14,220
	16.10.2016, 19:04
	возьми сертификат, добавь его в cacerts 0

@Many 1 / 1 / 0 Регистрация: 02.10.2014 Сообщений: 25
	17.10.2016, 08:57 [ТС]
	Вроде добавил уже, может как-то не так. Потому что ошибка та же. Кликните здесь для просмотра всего текста C:\Program Files\Java\jre1.8.0_65\bin>keytool -keystore ..\lib\security\carcerts -import -alias librakerch.ru -file C:\libra.cer Enter keystore password: keytool error: java.lang.Exception: Certificate not imported, alias <librakerch. ru> already exists Добавлено через 48 минут Фух. Кое как получилось. Удалил и заново добавил. 0

@akalji 3 / 3 / 2 Регистрация: 10.03.2014 Сообщений: 51
	14.03.2017, 18:39
	xoraxax, подскажите пожалуйста, есть ли возможность без добавления сертификата загрузить? Тот же habrahabr или yandex нормально загружается, а мои сайты с startSSL с ошибкой. Просто требовать у пользователя самостоятельно грузить сертификат - не круто 0

@akalji 3 / 3 / 2 Регистрация: 10.03.2014 Сообщений: 51
	15.03.2017, 18:08
	Pi Ey, потому что вылетает исключение javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorExceptio n: PKIX path building failed: sun.security.provider.certpath.SunCertPa thBuilderException: unable to find valid certification path to requested target 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	19.03.2017, 22:15
	akalji, это все возможно связано с тем что starcom не в милости 0

@akalji 3 / 3 / 2 Регистрация: 10.03.2014 Сообщений: 51
	19.03.2017, 22:53
	LeX, именно в этом и дело, хотя на apple и windows phone, а также на сервере с Python такой проблемы нет. Только Java не принимала. Да и FireFox ESR не ругается на сертификат. 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	19.03.2017, 23:29
	akalji, а корневые серты старкома импортировал? 0

@akalji 3 / 3 / 2 Регистрация: 10.03.2014 Сообщений: 51
	20.03.2017, 00:20
	LeX, нет, так как не разобрался, как это делать на Android 0

@LeX 378 / 370 / 114 Регистрация: 30.06.2010 Сообщений: 1,445
	20.03.2017, 00:33
	akalji, не в курсе как делается на андройде, но обычно корневой серт добавляется в тот же кейстор, что и основной серт (этот кейсотр обычно идет вместе с самим приложением) Добавлено через 1 минуту в конце концов можно добавить серт в систему https://www.google.ru/webhp?so... tificate&* 0