PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException

1、问题描述

在Java中访问不受信任的HTTPS网站时，会提示报错信息：

PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

意识是：

PKIX路径构建失败：sun.security.provider.certpath.SunCertPathBuilderException：无法找到请求目标的有效认证路径。

2、原因分析

这是由于JVM (Java Virtual Machine) 默认信任证书不包含该目标网站的SSL证书，导致无法建立有效的信任链。

JVM自己维护有一个默认的信任证书，是一个没有后缀名的文件，文件名为cacerts，位于java安装路径下，例如：

C:\Program Files\Java\jdk\lib\security\cacerts

当Java访问https的网站时，通常不会出现这一异常，但有的https网站，因为种种原因，存在证书不受信任的问题，使用浏览器 访问会出现如下界面：

Java访问这种网站就会导致报错。

3、解决方案

三种解决方案

1) 信任所有SSL证书
参考：https://developer.aliyun.com/article/812846
这种方案不失为一种解决办法，但除了存在安全问题，还会对代码造成侵入，且在框架项目中不易集成。

2) 将不信任的证书加入到JVM默认信任证书
参考：https://www.cnblogs.com/qixing/p/11883494.html
这种方案避免了代码入侵的问题，但想到要对java自带的默认文件动手动脚，且加入的还是不受信任的证书，多少有些不合适，而且加入后以后可能会忘记复原，或是要备份原始默认文件。

3) 单独为不信任的网站生成证书并在项目中指定
这也是本文使用的方案，避免了上面两个方案的问题。

4、解决步骤
4.1 获取目标网站的SSL证书

保存到 D:\Pictures\gitee.com.crt

4.2 创建一个Java信任库
创建一个Java信任库（Truststore），并将目标网站的SSL证书导入其中。使用java自带的keytool命令行工具来完成此操作。在在工程根目录下执行以下名：

keytool -import -keystore ./jssecacerts -storepass changeit -alias alias_for_certificate -file D:\Pictures\lib\ztflh.com.crt

说明：

keystore保存文件路径：./jssecacerts

信任库密码： changeit

导入的证书路径：D:\Pictures\lib\ztflh.com.crt

4.3 告知JVM使用信任库
在你的Java应用程序中，告知JVM使用你刚刚创建的信任库。使JVM在运行时加载该信任库。
通过设置以下系统属性来实现：

System.setProperty("javax.net.ssl.trustStore", "./jssecacerts"); // 刚才填写的路径
System.setProperty("javax.net.ssl.trustStorePassword", "changeit "); // 刚才填写的密码

再执行java代码就能执行成功。