Kesalahan - parameter trustAnchors harus kosong

Saya mencoba mengonfigurasi email saya di Jenkins / Hudson, dan saya terus-menerus menerima kesalahan:

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be
    non-empty

Saya telah melihat sejumlah besar informasi online tentang kesalahan tersebut, tetapi saya belum dapat pekerjaan apa pun. Saya menggunakan Sun's JDK di Fedora Linux (bukan OpenJDK).

Ini beberapa hal yang sudah saya coba. Saya mencoba mengikuti saran dari posting ini , tetapi menyalin cacerts dari Windows ke kotak Fedora saya hosting Jenkins tidak bekerja. Saya mencoba mengikuti panduan ini karena saya mencoba mengkonfigurasi Gmail sebagai server SMTP saya, tetapi tidak berhasil juga. Saya juga mencoba mengunduh dan memindahkan file-file cacert secara manual dan memindahkannya ke folder Java saya menggunakan variasi perintah pada panduan ini .

Saya terbuka untuk semua saran karena saya saat ini mandek. Saya mendapatkannya dari server Windows Hudson, tetapi saya kesulitan di Linux.

Pesan aneh ini berarti bahwa truststore yang Anda tentukan adalah:

• kosong,
• tidak ditemukan, atau
• tidak dapat dibuka (karena izin akses misalnya).

Lihat juga jawaban @ AdamPlumb di bawah ini .

Untuk men-debug masalah ini (saya menulis tentang ini di sini ) dan memahami apa yang digunakan truststore, Anda dapat menambahkan properti javax.net.debug = semua dan kemudian menyaring log tentang truststore. Anda juga dapat bermain dengan javax.net.ssl.trustStore properti untuk menentukan truststore tertentu. Sebagai contoh :

    java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=/Another/path/to/cacerts -jar test_get_https-0.0.1-SNAPSHOT-jar-with-dependencies.jar https://www.calca.com.py 2>&1| grep -i truststore

Di Ubuntu 18.04 , kesalahan ini memiliki penyebab berbeda (JEP 229, beralih dari jksformat default keystore ke pkcs12format, dan pembuatan file cacerts Debian menggunakan default untuk file baru) dan solusinya :

# Ubuntu 18.04 and various Docker images such as openjdk:9-jdk throw exceptions when
# Java applications use SSL and HTTPS, because Java 9 changed a file format, if you
# create that file from scratch, like Debian / Ubuntu do.
#
# Before applying, run your application with the Java command line parameter
#  java -Djavax.net.ssl.trustStorePassword=changeit ...
# to verify that this workaround is relevant to your particular issue.
#
# The parameter by itself can be used as a workaround, as well.

# 0. First make yourself root with 'sudo bash'.

# 1. Save an empty JKS file with the default 'changeit' password for Java cacerts.
#    Use 'printf' instead of 'echo' for Dockerfile RUN compatibility.
/usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts

# 2. Re-add all the CA certs into the previously empty file.
/var/lib/dpkg/info/ca-certificates-java.postinst configure

Status (2018-08-07) , bug telah diperbaiki di Ubuntu Bionic LTS 18.04.1 dan Ubuntu Cosmic 18.10.

🗹 Ubuntu 1770553: [SRU] backport ca-sertifikat-java dari cosmic (20180413ubuntu1)

🗹 Ubuntu 1769013: Silakan gabungkan ca-sertifikat-java 20180413 (utama) dari Debian tidak stabil (utama)

🗹 Ubuntu 1739631: Instalasi baru dengan JDK 9 tidak dapat menggunakan file keystore cacerts PKCS12 yang dihasilkan

🗹 docker-library 145: Gambar 9-jdk memiliki masalah SSL

🗹 Debian 894979: ca-sertifikat-java: tidak bekerja dengan OpenJDK 9, aplikasi gagal dengan InvalidAlgorithmParameterException: parameter trustAnchors harus non-kosong

🗹 JDK-8044445: JEP 229: Buat Keystores PKCS12 secara Default

🖺 JEP 229: Buat Keystores PKCS12 secara Default

Jika masalah berlanjut setelah penyelesaian ini, Anda mungkin ingin memastikan bahwa Anda benar-benar menjalankan distribusi Java yang baru saja Anda perbaiki.

$ which java
/usr/bin/java

Anda dapat mengatur alternatif Java ke 'otomatis' dengan:

$ sudo update-java-alternatives -a
update-alternatives: error: no alternatives for mozilla-javaplugin.so

Anda dapat memeriksa ulang versi Java yang Anda jalankan:

$ java --version
openjdk 10.0.1 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)
OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)

Ada solusi alternatif juga, tetapi mereka memiliki efek samping sendiri yang akan membutuhkan perawatan tambahan di masa depan, tanpa imbalan apa pun.

Solusi terbaik berikutnya adalah menambahkan baris

javax.net.ssl.trustStorePassword=changeit

ke file

/etc/java-9-openjdk/management/management.properties
/etc/java-11-openjdk/management/management.properties

mana yang ada.

Solusi ketiga yang paling tidak bermasalah adalah mengubah nilai

keystore.type=pkcs12

untuk

keystore.type=jks

dalam file

/etc/java-9-openjdk/security/java.security
/etc/java-11-openjdk/security/java.security

mana saja yang ada, dan kemudian hapus cacertsfile dan buat kembali dengan cara yang dijelaskan pada baris terakhir dari script pemecahan masalah di bagian atas posting.

Ini memperbaiki masalah saya di Ubuntu:

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

(ditemukan di sini: https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1396760 )

ca-certificates-java bukan ketergantungan pada Oracle JDK / JRE jadi ini harus diinstal secara eksplisit.

Pada Ubuntu 18.04 akar penyebabnya adalah konflik antara openjdk-11-jdk (yang merupakan standar) dan paket lain tergantung padanya. Ini sudah diperbaiki di Debian dan akan dimasukkan dalam Ubuntu segera. Sementara itu solusi paling sederhana adalah dengan menurunkan java Anda ke versi 8. Solusi lain menggunakan ca-certificates-javajauh lebih rumit.

Pertama-tama hapus paket yang bertentangan:

sudo apt-get remove --purge openjdk* java-common default-jdk
sudo apt-get autoremove --purge

Periksa apakah Anda berhasil menghapus semua paket terkait dengan:

sudo update-alternatives --config java

Sistem akan meminta Anda tidak ada Java yang tersedia untuk dikonfigurasi , jika tidak solusi ini gagal .

Kemudian instal ulang paket yang diperlukan:

sudo apt-get install openjdk-8-jdk

EJP pada dasarnya menjawab pertanyaan (dan saya menyadari ini memiliki jawaban yang diterima), tetapi saya hanya berurusan dengan gotcha kasus tepi ini dan ingin mengabadikan solusi saya.

Saya memiliki InvalidAlgorithmParameterExceptionkesalahan pada Jira yang di-host server yang sebelumnya saya atur untuk akses khusus-SSL. Masalahnya adalah bahwa saya telah mengatur keystore saya dalam format PKCS # 12, tetapi truststore saya dalam format JKS.

Dalam kasus saya, saya telah mengedit server.xmlfile saya untuk menentukan keystoreType ke PKCS, tapi saya tidak menentukan truststoreType, jadi defaultnya adalah apa pun keystoreType. Menentukan truststoreType secara eksplisit ketika JKS menyelesaikannya untuk saya.

Saya mengalami solusi ini dari posting blog Memperbaiki masalah trustAnchors ketika menjalankan OpenJDK 7 pada OS X :

Memperbaiki masalah trustAnchors saat menjalankan OpenJDK 7 pada OS X. Jika Anda menjalankan OpenJDK 7 pada OS X dan telah melihat pengecualian ini:

Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors
    parameter must be non-empty

Ada perbaikan sederhana. Cukup tautkan dalam file cacerts yang sama dengan yang digunakan JDK 1.6 Apple:

cd $(/usr/libexec/java_home -v 1.7)/jre/lib/security
ln -fsh /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security/cacerts

Anda perlu melakukan ini untuk setiap versi OpenJDK yang telah Anda instal. Ubah saja -v 1.7ke versi yang ingin Anda perbaiki. Jalankan /usr/libexec/java_home -Vuntuk melihat semua JRE dan JDK yang telah Anda instal.

Mungkin orang-orang OpenJDK dapat menambahkan ini ke skrip instalasi mereka.

Di Ubuntu 12.10 (Quantal Quetzal) atau lebih baru, sertifikat disimpan dalam paket ca-sertifikat-java . Menggunakan -Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacertsakan mengambilnya terlepas dari apa JDK yang Anda gunakan.

Saya mengalami masalah ini pada OS X, menggunakan JDK 1.7, setelah memutakhirkan ke OS X v10.9 (Mavericks). Perbaikan yang berhasil bagi saya adalah menginstal ulang versi Apple Java, tersedia di http://support.apple.com/kb/DL1572 .

Saya berlari

sudo update-ca-certificates -f

untuk membuat file sertifikat, dan kemudian:

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

Saya kembali dalam bisnis, terima kasih kawan. Sangat disayangkan itu tidak termasuk dalam instalasi, tapi aku sampai di sana pada akhirnya.

Kesalahan mengatakan bahwa sistem tidak dapat menemukan truststore di jalur yang disediakan dengan parameter javax.net.ssl.trustStore.

Di bawah Windows saya menyalin cacertsfile dari jre/lib/securityke direktori instalasi Eclipse (tempat yang sama dengan eclipse.inifile) dan menambahkan pengaturan berikut di eclipse.ini:

-Djavax.net.ssl.trustStore=cacerts
-Djavax.net.ssl.trustStorePassword=changeit
-Djavax.net.ssl.trustStoreType=JKS

Saya punya beberapa masalah dengan path ke cacerts (variabel% java_home% environment entah bagaimana ditimpa), jadi saya menggunakan solusi sepele ini.

Idenya adalah untuk menyediakan jalur yang valid ke file truststore - idealnya akan menggunakan yang relatif. Anda juga dapat menggunakan jalur absolut.

Untuk memastikan jenis toko adalah JKS, Anda akan menjalankan perintah berikut:

keytool -list -keystore cacerts

Keystore type: JKS
Keystore provider: SUN

Menghapus paket java-sertifikat-java dan menginstalnya lagi bekerja untuk saya ( Ubuntu MATE 17.10 (Artful Aardvark)).

sudo dpkg --purge --force-depends ca-certificates-java

sudo apt-get install ca-certificates-java

Terima kasih, jdstrand: Komentar 1 untuk bug 983302, Re: ca-sertifikat-java gagal menginstal Java cacerts di Oneiric Ocelot .

Saya mengalami banyak masalah keamanan setelah memutakhirkan ke OS X v10.9 (Mavericks):

• Masalah SSL dengan Amazon AWS
• Rekan tidak diautentikasi dengan Maven dan Eclipse
• trustAnchors parameter harus kosong

Saya menerapkan pembaruan Java ini dan memperbaiki semua masalah saya: http://support.apple.com/kb/DL1572?viewlocale=en_US

Saya mengharapkan hal-hal seperti ini, karena saya menggunakan JVM alternatif di Talend Open Studio saya (dukungan saat ini hanya ada sampai JDK 1.7). Saya menggunakan 8 untuk tujuan keamanan ... pokoknya

• Perbarui toko sertifikat Anda:

  sudo update-ca-certificates -f

kemudian

• tambahkan nilai baru dalam parameter inisialisasi Anda

  sudo gedit $(path to your architecture specific ini i.e. TOS_DI...ini)
  
  Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

Bagi saya, entri kedua berhasil. Saya pikir, tergantung pada versi Talend Open Studio / TEnt + JVM, ia memiliki nama parameter yang berbeda, tetapi mencari file keystore yang sama.

Bagi saya itu disebabkan oleh kurangnya sertifikat kepercayaan di truststore.

Untuk menguji, gunakan:

keytool -list -keystore keystore.jks

Ini memberi saya:

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

cert-alias, 31-Jul-2017, PrivateKeyEntry

Meskipun PrivateKeyEntry saya mengandung CA, ia perlu diimpor secara terpisah :

keytool -import -alias root-ca1 -file rootca.crt -keystore keystore.jks

Itu mengimpor sertifikat, dan kemudian menjalankan kembali keytool -list -keystore keystore.jkssekarang memberikan:

Your keystore contains 2 entries

cert-alias, 31-Jul-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1):
<fingerprint>
root-ca1, 04-Aug-2017, trustedCertEntry,
Certificate fingerprint (SHA1):
<fingerprint>

Sekarang ia memilikiCertEntry tepercaya, dan Tomcat akan mulai dengan sukses.

Beberapa rilis OpenJDK vendor menyebabkan ini dengan memiliki cacertsfile kosong didistribusikan dengan biner. Bug dijelaskan di sini: https://github.com/AdoptOpenJDK/openjdk-build/issues/555

Anda dapat menyalin ke adoptOpenJdk8\jre\lib\security\cacertsfile dari instalation lama sepertic:\Program Files\Java\jdk1.8.0_192\jre\lib\security\cacerts .

Versi buggy AdoptOpenJDK adalah https://github.com/AdoptOpenJDK/openjdk8-releases/releases/download/jdk8u172-b11/OpenJDK8_x64_Win_jdk8u172-b11.zip

Jika Anda mengalami ini di Ubuntu dengan JDK9 dan Maven, Anda dapat menambahkan opsi JVM ini - periksa dulu apakah ada jalur:

-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

Jika file tidak ada, coba instal ca-sertifikat-java seperti yang dicatat orang:

sudo apt install ca-certificates-java

Saya mendapat pesan kesalahan ini pada Java 9.0.1 di Linux. Itu karena bug yang diketahui dari JDK, di mana file cacerts kosong dalam paket biner .tar.gz (diunduh dari http://jdk.java.net/9/ ).

Lihat paragraf "masalah yang diketahui" pada JDK 9.0.1 Catatan Rilis , mengatakan "TLS tidak bekerja secara default pada OpenJDK 9".

Pada Debian / Ubuntu (dan mungkin turunan lainnya), solusi sederhana adalah mengganti file cacerts dengan yang dari paket "ca-Certificate-java":

sudo apt install ca-certificates-java
cp /etc/ssl/certs/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Di Red Hat Linux / CentOS, Anda dapat melakukan hal yang sama dari paket "ca-sertifikat":

sudo yum install ca-certificates
cp /etc/pki/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Saya mengalami masalah ini ketika mencoba menggunakan Maven 3, setelah memutakhirkan dari Ubuntu 16.04 LTS (Xenial Xerus) ke Ubuntu 18.04 LTS (Bionic Beaver).

Memeriksa / usr / lib / jvm / java-8-oracle / jre / lib / keamanan menunjukkan bahwa file cacerts saya adalah tautan simbolis yang menunjuk ke /etc/ssl/certs/java/cacerts .

Saya juga memiliki file yang mencurigakan cacerts.original.

Saya berganti nama cacerts.originalmenjadi cacerts, dan itu memperbaiki masalah.

Saya juga menemukan ini pada OS X setelah memperbarui OS X v10.9 (Mavericks), ketika Java 6 lama digunakan dan mencoba mengakses URL HTTPS. Cara mengatasinya adalah kebalikan dari Peter Kriens; Saya perlu menyalin cacertsdari ruang 1,7 ke lokasi yang terhubung dengan versi 1.6:

(as root)
umask 022
mkdir -p /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
cp $(/usr/libexec/java_home -v 1.7)/jre/lib/security/cacerts \
    /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security

Dalam kasus saya, file JKS yang digunakan dalam aplikasi klien rusak. Saya membuat yang baru dan mengimpor sertifikat SSL server tujuan di dalamnya. Kemudian saya menggunakan file JKS baru dalam aplikasi klien sebagai toko kepercayaan, seperti:

System.setProperty("javax.net.ssl.trustStore",path_to_your_cacerts_file);

Sumber: Java SSL dan keystore sertifikat

Saya menggunakan alat (KeyStore Explorer) untuk membuat JKS baru. Anda dapat mengunduhnya dari tautan ini, KeyStore Explorer .

Anda juga dapat mengalami kesalahan ini setelah memutakhirkan ke Spring Boot 1.4.1 (atau yang lebih baru) karena membawa Tomcat 8.5.5 sebagai bagian dari dependensinya.

Masalahnya adalah karena cara Tomcat berurusan dengan toko kepercayaan. Jika Anda telah menetapkan lokasi trust store Anda sama dengan keystore Anda di konfigurasi Spring Boot, Anda mungkin akan mendapatkan trustAnchors parameter must be non-emptypesan saat memulai aplikasi.

server.ssl.key-store=classpath:server.jks
server.ssl.trust-store=classpath:server.jks

Hapus saja server.ssl.trust-storekonfigurasi kecuali Anda tahu bahwa Anda membutuhkannya, dan lihat tautan di bawah ini.

Masalah-masalah berikut ini mengandung lebih banyak detail tentang masalah:

• Konektor HTTPS Tomcat gagal memulai dengan 1.4.1 # 7069
• SSL-client-auth dengan sertifikat yang ditandatangani sendiri berhenti berfungsi # 7406
• Tingkatkan ke Tomcat 8.5.5 # 6703

Saya mengalami masalah ini dengan SDK Android SDKman. Bagi saya solusi ini berhasil:

1. Pergi ke /usr/lib/jvm/java-8-oracle/jre/lib/security/
2. Ganti cacertdengancacert.original

The cacertberkas adalah satu kecil (22B). Saya telah menginstal oracle-java8-installerdari ppa:webupd8team/java(sesuai dengan manual ini: https://docs.nativescript.org/start/ns-setup-linux ).

Sebagai catatan, tidak ada jawaban di sini yang bekerja untuk saya. Bangunan Gradle saya mulai gagal secara misterius dengan kesalahan ini, tidak dapat mengambil HEAD dari pusat Maven untuk file POM tertentu .

Ternyata saya telah mengatur JAVA_HOME untuk build OpenJDK pribadi saya, yang telah saya buat untuk debugging masalah javac. Pengaturan kembali ke JDK yang diinstal pada sistem saya memperbaikinya.

Di Red Hat Linux, saya mengatasi masalah ini dengan mengimpor sertifikat /etc/pki/java/cacerts.

System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\user-id\\Desktop\\tomcat\\cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "passwd");

Anda harus menambahkan dua baris di atas ke kode Anda. Ia tidak dapat menemukan truststore.

Saya menghadapi masalah ini saat menjalankan perangkat Android untuk pengujian pada Ubuntu 14.04 (Trusty Tahr). Dua hal bekerja untuk saya seperti yang disarankan oleh shaheen:

sudo update-ca-certificates -f

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

Tidak ada solusi yang saya temukan di Internet yang berfungsi, tetapi versi modifikasi dari jawaban Peter Kriens tampaknya berhasil.

Pertama temukan folder Java Anda dengan menjalankan /usr/libexec/java_home. Bagi saya itu 1.6.0.jdkversinya. Lalu pergi ke lib/securitysubfoldernya (untuk saya /Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security).

Kemudian hapus cacertsfile tersebut jika sudah ada dan cari satu di sistem dengan sudo find / -name "cacerts". Ia menemukan banyak item untuk saya, dalam versi Xcode atau aplikasi lain yang telah saya instal, tetapi juga di /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacertsmana saya memilih.

Gunakan file itu dan buat tautan simbolik ke sana (saat berada di dalam folder Java dari sebelumnya) sudo ln -fsh "/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts",, dan itu akan berfungsi.

Saya memiliki keduanya - Java dari unduhan Apple 2017-001 ( https://support.apple.com/kb/dl1572 - Saya berasumsi dari situlah sertifikat yang benar berasal) dan yang Oracle terinstal di Mac OS X v10.12 (Sierra) .

pada ubuntu 14.04 dengan openjdk 11 dari ppa: openjdk-r / ppa ini berfungsi untuk saya:

di java.security ubah jenis keystore menjadi

keystore.type=jks

kemudian:

sudo dpkg --purge --force-depends ca-certificates-java
sudo apt-get install ca-certificates-java

ketika Anda memeriksa apakah itu berhasil, pastikan Anda tidak menggunakan daemon apa pun dengan java lama masih berjalan (mis. --no-daemonopsi untuk gradle)

bug ini menjelaskan semuanya dengan baik dan akan membantu Anda memahami apa yang terjadi di https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1739631

Di Ubuntu 18.04 saya perlu menggunakan OpenJDK 1.7 untuk pemeliharaan proyek lama. Saya mengunduh paket biner. Tetapi ketika saya menjalankan skrip saya di atasnya saya mendapat kesalahan yang sama.

Solusinya adalah menghapus cacertsfile JDK yang diunduh di jre/lib/securityfolder dan kemudian membuatnya sebagai symlink ke cacertsfile sistem di /etc/ssl/certs/java/:

sudo ln -s /etc/ssl/certs/java/cacerts /path/to/downloaded/java/jre/lib/security/cacerts

Peluang kecil ini akan membantu siapa pun kecuali .... untuk siapa saja yang menjalankan Java 8 dari Docker Image pada Raspberry Pi (menggunakan AMD CPU) Saya mendapatkan Dockerfile berikut untuk membangun dan menjalankan dengan sukses untuk saya

FROM hypriot/rpi-java
USER root

WORKDIR /usr/build/

RUN /usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
RUN update-ca-certificates -f
RUN /var/lib/dpkg/info/ca-certificates-java.postinst configure

EXPOSE 8080

ARG JAR_FILE=target/app-0.0.1-SNAPSHOT.jar

ADD ${JAR_FILE} app.jar

ENTRYPOINT ["java", "-Djavax.net.ssl.trustStorePassword=changeit", "-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts", "-jar", "app.jar"]