오류-trustAnchors 매개 변수가 비어 있지 않아야합니다.

Jenkins / Hudson에서 전자 메일을 구성하려고하는데 계속 오류가 발생합니다.

java.security.InvalidAlgorithmParameterException: the trustAnchors parameter must be
    non-empty

온라인에서 오류에 관한 많은 정보를 보았지만 아무 일도하지 않았습니다. Fedora Linux (OpenJDK 아님)에서 Sun의 JDK를 사용하고 있습니다.

내가 시도한 몇 가지가 있습니다. 이 게시물 의 조언을 따르려고했지만 Windows에서 cacerts를 Jenkins를 호스팅하는 Fedora 상자로 복사하지 못했습니다. Gmail을 SMTP 서버로 구성하려고 할 때이 가이드 를 따르 려고했지만 작동하지 않았습니다. 또한이 cacert 파일을 수동으로 다운로드하여 옮기고이 안내서 의 다양한 명령을 사용하여 Java 폴더로 옮겼습니다 .

나는 지금 당장 붙어있는 제안에 열려 있습니다. Windows Hudson 서버에서 작동하도록했지만 Linux에서 어려움을 겪고 있습니다.

이 기괴한 메시지는 지정한 신뢰 저장소가 다음을 의미합니다.

• 빈,
• 찾을 수 없거나
• 예를 들어 액세스 권한으로 인해 열 수 없습니다.

아래 @AdamPlumb의 답변 도 참조하십시오 .

이 문제를 디버깅하고 ( 여기에 작성했습니다 ) 사용되는 truststore를 이해 하려면 javax.net.debug = all 속성을 추가 한 다음 truststore에 대한 로그를 필터링하면됩니다. javax.net.ssl.trustStore 특성을 사용하여 특정 신뢰 저장소를 지정할 수도 있습니다. 예를 들면 다음과 같습니다.

    java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=/Another/path/to/cacerts -jar test_get_https-0.0.1-SNAPSHOT-jar-with-dependencies.jar https://www.calca.com.py 2>&1| grep -i truststore

에서 우분투 18.04 ,이 오류는 다른 원인이있다 (로부터 JEP 229, 스위치 jks받는 키 스토어의 기본 형식 pkcs12형식, 데비안은 새 파일에 대한 기본 사용하여 파일 생성을 cacerts로) 및 해결 방법 :

# Ubuntu 18.04 and various Docker images such as openjdk:9-jdk throw exceptions when
# Java applications use SSL and HTTPS, because Java 9 changed a file format, if you
# create that file from scratch, like Debian / Ubuntu do.
#
# Before applying, run your application with the Java command line parameter
#  java -Djavax.net.ssl.trustStorePassword=changeit ...
# to verify that this workaround is relevant to your particular issue.
#
# The parameter by itself can be used as a workaround, as well.

# 0. First make yourself root with 'sudo bash'.

# 1. Save an empty JKS file with the default 'changeit' password for Java cacerts.
#    Use 'printf' instead of 'echo' for Dockerfile RUN compatibility.
/usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts

# 2. Re-add all the CA certs into the previously empty file.
/var/lib/dpkg/info/ca-certificates-java.postinst configure

Status (2018-08-07) 버그는 Ubuntu Bionic LTS 18.04.1 및 Ubuntu Cosmic 18.10에서 수정되었습니다.

bun 우분투 1770553 : [SRU] backport ca-certificates-java from cosmic (20180413ubuntu1)

bun 우분투 1769013 : ca-certificates-java 20180413 (main)을 데비안 불안정 (main)에서 병합하십시오.

bun Ubuntu 1739631 : JDK 9로 새로 설치하면 생성 된 PKCS12 cacerts 키 저장소 파일을 사용할 수 없습니다

er docker-library 145 : 9-jdk 이미지에 SSL 문제가 있습니다

bian 데비안 894979 : ca-certificates-java : OpenJDK 9에서 작동하지 않습니다. 응용 프로그램이 InvalidAlgorithmParameterException으로 실패합니다 : trustAnchors 매개 변수는 비어 있지 않아야합니다

🗹 JDK-8044445 : JEP 229 : 기본적으로 PKCS12 키 저장소 작성

🖺 JEP 229 : 기본적으로 PKCS12 키 저장소 작성

이 해결 방법 후에도 문제가 계속되면 방금 수정 한 Java 배포를 실제로 실행 중인지 확인할 수 있습니다.

$ which java
/usr/bin/java

다음을 사용하여 Java 대안을 'auto'로 설정할 수 있습니다.

$ sudo update-java-alternatives -a
update-alternatives: error: no alternatives for mozilla-javaplugin.so

실행중인 Java 버전을 다시 확인할 수 있습니다.

$ java --version
openjdk 10.0.1 2018-04-17
OpenJDK Runtime Environment (build 10.0.1+10-Ubuntu-3ubuntu1)
OpenJDK 64-Bit Server VM (build 10.0.1+10-Ubuntu-3ubuntu1, mixed mode)

대체 해결 방법도 있지만, 그 결과 자체적으로 부작용이있어 향후 추가적인 유지 보수가 필요합니다.

차선책은 행을 추가하는 것입니다

javax.net.ssl.trustStorePassword=changeit

파일에

/etc/java-9-openjdk/management/management.properties
/etc/java-11-openjdk/management/management.properties

존재하는 것

세 번째로 가장 문제가 적은 해결 방법은

keystore.type=pkcs12

에

keystore.type=jks

파일에서

/etc/java-9-openjdk/security/java.security
/etc/java-11-openjdk/security/java.security

둘 중 하나가 존재하는 경우 cacerts파일 을 제거 하고 게시물 맨 위에있는 해결 방법 스크립트의 마지막 행에 설명 된 방식으로 파일을 재생성하십시오.

이것은 우분투에서 나에게 문제가 수정되었습니다.

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

(여기에서 찾을 수 있습니다 : https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1396760 )

ca-certificates-java Oracle JDK / JRE의 종속성이 아니므로 명시 적으로 설치해야합니다.

우분투 18.04에서 근본 원인은 openjdk-11-jdk (기본값)와 그에 따른 다른 패키지 간의 충돌입니다. 이미 데비안에서 수정되었으며 곧 우분투에 포함될 것입니다. 한편 가장 간단한 해결 방법은 Java를 버전 8로 내리는 것 ca-certificates-java입니다. 사용하는 다른 솔루션 은 훨씬 더 복잡합니다.

먼저 충돌하는 패키지를 제거하십시오.

sudo apt-get remove --purge openjdk* java-common default-jdk
sudo apt-get autoremove --purge

다음과 같은 방법으로 모든 관련 패키지를 성공적으로 제거했는지 확인하십시오.

sudo update-alternatives --config java

시스템 에 구성 가능한 Java가 없다는 메시지 가 표시 됩니다. 그렇지 않으면이 해결 방법 이 실패합니다 .

그런 다음 필요한 패키지를 다시 설치하십시오.

sudo apt-get install openjdk-8-jdk

EJP는 기본적으로 질문에 대답했지만 (이 답변에 허용되는 답변이 있음을 알았습니다) 방금이 최첨단 문제를 해결하고 내 솔루션을 불멸화하고 싶었습니다.

이전에 SSL 전용 액세스를 설정 InvalidAlgorithmParameterException한 호스팅 된 Jira 서버 에서 오류가 발생했습니다 . 문제는 PKCS # 12 형식으로 키 저장소를 설정했지만 신뢰 저장소는 JKS 형식이었습니다.

필자의 경우 server.xmlkeystoreType을 PKCS로 지정하기 위해 파일을 편집 했지만 truststoreType을 지정하지 않았으므로 keystoreType이 무엇이든 기본값으로 설정됩니다. JKS가 truststoreType을 명시 적으로 지정하면 나를 위해 해결되었습니다.

OS X에서 OpenJDK 7을 실행할 때 trustAnchors 문제 해결 블로그 게시물 에서이 솔루션을 실행했습니다 .

OS X에서 OpenJDK 7을 실행할 때 trustAnchors 문제 해결. OS X에서 OpenJDK 7을 실행 중이고이 예외를 본 경우 :

Unexpected error: java.security.InvalidAlgorithmParameterException: the trustAnchors
    parameter must be non-empty

간단한 수정이 있습니다. Apple의 JDK 1.6에서 사용하는 것과 동일한 cacerts 파일에 연결하면됩니다.

cd $(/usr/libexec/java_home -v 1.7)/jre/lib/security
ln -fsh /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security/cacerts

설치 한 모든 OpenJDK 버전에 대해이 작업을 수행해야합니다. -v 1.7수정하려는 버전으로 변경 하십시오. /usr/libexec/java_home -V설치 한 모든 JRE 및 JDK를 보려면 실행 하십시오.

아마도 OpenJDK 사람들은 이것을 설치 스크립트에 추가 할 수 있습니다.

에 우분투 12.10 (계량 적 퀘찰) 이상, 인증서가 개최되는 CA-인증서 - 자바 패키지로 제공된다. 사용하면 사용 -Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts중인 JDK에 관계없이 사용됩니다.

OS X v10.9 (Mavericks)로 업그레이드 한 후 JDK 1.7을 사용하여 OS X 에서이 정확한 문제가 발생했습니다 . 나를 위해 고쳐진 해결책은 http://support.apple.com/kb/DL1572 에서 구할 수있는 Apple Java 버전을 간단히 다시 설치하는 것이 었습니다 .

나는 달렸다

sudo update-ca-certificates -f

인증서 파일을 작성하고 다음을 수행하십시오.

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

나는 다시 사업에 돌아갔다. 고마워. 그것은 설치에 포함되지 않은 것이 유감이지만 결국 거기에 도착했습니다.

오류는 시스템이 매개 변수와 함께 제공된 경로에서 신뢰 저장소를 찾을 수 없음을 나타냅니다. javax.net.ssl.trustStore .

Windows에서 cacerts파일을 jre/lib/securityEclipse 설치 디렉토리 ( eclipse.ini파일과 동일한 위치)로 복사 하고 다음 설정을 추가했습니다 eclipse.ini.

-Djavax.net.ssl.trustStore=cacerts
-Djavax.net.ssl.trustStorePassword=changeit
-Djavax.net.ssl.trustStoreType=JKS

cacerts 경로에 문제가 있었으므로 (% java_home % 환경 변수를 덮어 씁니다)이 간단한 솔루션을 사용했습니다.

아이디어는 신뢰 저장소 파일의 올바른 경로를 제공하는 것입니다. 이상적으로는 상대 경로를 사용하는 것입니다. 절대 경로를 사용할 수도 있습니다.

상점 유형이 JKS인지 확인하려면 다음 명령을 실행하십시오.

keytool -list -keystore cacerts

Keystore type: JKS
Keystore provider: SUN

ca-certificates-java 패키지를 제거하고 다시 설치하면 나에게 도움이되었습니다 ( Ubuntu MATE 17.10 (Artful Aardvark)).

sudo dpkg --purge --force-depends ca-certificates-java

sudo apt-get install ca-certificates-java

감사합니다. jdstrand : 버그 983302에 대한 설명 1, Re : ca-certificates-java가 Oneiric Ocelot에 Java cacert를 설치하지 못합니다 .

OS X v10.9 (Mavericks)로 업그레이드 한 후 많은 보안 문제가있었습니다 .

• Amazon AWS의 SSL 문제
• Maven 및 Eclipse로 인증되지 않은 피어
• trustAnchors 매개 변수는 비어 있지 않아야합니다.

이 Java 업데이트를 적용했으며 모든 문제가 해결되었습니다. http://support.apple.com/kb/DL1572?viewlocale=en_US

Talend Open Studio 에서 대체 JVM을 사용한다는 점에서 이와 같은 것을 기대했습니다 (현재 지원은 JDK 1.7까지만 가능합니다). 나는 보안 목적으로 8을 사용합니다 ... 어쨌든

• 인증서 저장소를 업데이트하십시오.

  sudo update-ca-certificates -f

그때

• 초기화 매개 변수에 새 값을 추가하십시오

  sudo gedit $(path to your architecture specific ini i.e. TOS_DI...ini)
  
  Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

나를 위해 두 번째 항목이 효과가있었습니다. Talend Open Studio / TEnt + JVM 버전에 따라 매개 변수 이름이 다르지만 동일한 키 저장소 파일을 찾습니다.

나를 위해 그것은 truststore에 trustedCertEntry가 없기 때문에 발생했습니다.

테스트하려면 다음을 사용하십시오.

keytool -list -keystore keystore.jks

그것은 나에게 준다 :

Keystore type: JKS
Keystore provider: SUN

Your keystore contains 1 entry

cert-alias, 31-Jul-2017, PrivateKeyEntry

내 PrivateKeyEntry에 CA가 포함되어 있지만 별도로 가져와야했습니다 .

keytool -import -alias root-ca1 -file rootca.crt -keystore keystore.jks

인증서를 가져온 다음 다시 실행 keytool -list -keystore keystore.jks하면 다음이 제공됩니다.

Your keystore contains 2 entries

cert-alias, 31-Jul-2017, PrivateKeyEntry,
Certificate fingerprint (SHA1):
<fingerprint>
root-ca1, 04-Aug-2017, trustedCertEntry,
Certificate fingerprint (SHA1):
<fingerprint>

이제 trustedCertEntry가 있으며 Tomcat이 성공적으로 시작됩니다.

일부 OpenJDK 공급 업체 릴리스에서는 빈 cacerts파일을 바이너리와 함께 배포 하여이 문제가 발생했습니다 . 버그는 여기에 설명되어 있습니다 : https://github.com/AdoptOpenJDK/openjdk-build/issues/555

adoptOpenJdk8\jre\lib\security\cacerts와 같은 오래된 설치에서 파일로 복사 할 수 있습니다 c:\Program Files\Java\jdk1.8.0_192\jre\lib\security\cacerts.

AdoptOpenJDK 버기 버전은 https://github.com/AdoptOpenJDK/openjdk8-releases/releases/download/jdk8u172-b11/OpenJDK8_x64_Win_jdk8u172-b11.zip입니다.

JDK9 및 Maven과 함께 Ubuntu 에서이 문제가 발생하면이 JVM 옵션을 추가 할 수 있습니다. 먼저 경로가 있는지 확인하십시오.

-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts

파일이 누락 된 경우 누군가 지적한대로 ca-certificates-java를 설치하십시오.

sudo apt install ca-certificates-java

Linux의 Java 9.0.1에서이 오류 메시지가 표시되었습니다. JDK의 알려진 버그로 인해 cacerts 파일이 .tar.gz 바이너리 패키지 ( http://jdk.java.net/9/ 에서 다운로드 됨)에 비어 있습니다.

"TLS는 기본적으로 OpenJDK 9에서 작동하지 않습니다"라는 JDK 9.0.1 릴리스 노트 의 "알려진 문제"단락을 참조하십시오 .

데비안 / 우분투 (및 아마도 다른 파생물)에서 간단한 해결 방법은 cacerts 파일을 "ca-certificates-java"패키지의 파일로 바꾸는 것입니다.

sudo apt install ca-certificates-java
cp /etc/ssl/certs/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Red Hat Linux / CentOS에서는 "ca-certificates"패키지에서 동일한 작업을 수행 할 수 있습니다.

sudo yum install ca-certificates
cp /etc/pki/java/cacerts /path/to/jdk-9.0.1/lib/security/cacerts

Ubuntu 16.04 LTS (Xenial Xerus)에서 Ubuntu 18.04 LTS (Bionic Beaver)로 업그레이드 한 후 Maven 3 을 사용하려고 할 때이 문제가 발생했습니다 .

/ usr / lib / jvm / java-8-oracle / jre / lib / security를 ​​확인하면 내 cacerts 파일이 /etc/ssl/certs/java/cacerts .

또한 의심스러운 이름의 파일이있었습니다 cacerts.original.

로 이름 cacerts.original을 바꾸고 cacerts문제가 해결되었습니다.

이전 Java 6을 사용하고 HTTPS URL에 액세스하려고 시도했을 때 OS X v10.9 (매버릭스)를 업데이트 한 후 OS X에서도이 문제가 발생했습니다. 이 수정은 Peter Kriens의 반대였습니다. cacerts1.7 공간에서 1.6 버전으로 연결된 위치로 를 복사해야했습니다 .

(as root)
umask 022
mkdir -p /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security
cp $(/usr/libexec/java_home -v 1.7)/jre/lib/security/cacerts \
    /System/Library/Java/Support/CoreDeploy.bundle/Contents/Home/lib/security

필자의 경우 클라이언트 응용 프로그램에 사용 된 JKS 파일이 손상되었습니다. 새 인증서를 만들어 대상 서버 SSL 인증서를 가져 왔습니다. 그런 다음 클라이언트 응용 프로그램의 새 JKS 파일을 다음과 같이 신뢰 저장소로 사용했습니다.

System.setProperty("javax.net.ssl.trustStore",path_to_your_cacerts_file);

소스 : Java SSL 및 인증서 키 저장소

(KeyStore Explorer) 도구를 사용하여 새 JKS를 만듭니다. KeyStore Explorer 링크에서 다운로드 할 수 있습니다 .

Spring Boot 1.4.1 이상으로 업그레이드 한 후 Tomcat 8.5.5를 종속성의 일부로 가져 오기 때문에이 오류가 발생할 수도 있습니다 .

문제는 Tomcat이 신뢰 저장소를 처리하는 방식으로 인한 것입니다. Spring Boot 구성에서 신뢰 저장소 위치를 키 저장소와 동일하게 지정한 trustAnchors parameter must be non-empty경우 애플리케이션을 시작할 때 메시지가 표시 될 수 있습니다.

server.ssl.key-store=classpath:server.jks
server.ssl.trust-store=classpath:server.jks

server.ssl.trust-store필요하지 않다면 구성을 제거하면 됩니다.이 경우 아래 링크를 참조하십시오.

다음 문제에는 문제에 대한 자세한 내용이 포함되어 있습니다.

• HTTPS Tomcat 커넥터가 1.4.1 # 7069 로 시작하지 못합니다
• 자체 서명 인증서를 사용한 SSL 클라이언트 인증이 작동을 멈췄습니다. # 7406
• Tomcat 8.5.5 # 6703으로 업그레이드

Android SDK sdkmanager 에서이 문제가 발생했습니다. 나 에게이 솔루션은 효과가 있었다.

1. 이동 /usr/lib/jvm/java-8-oracle/jre/lib/security/
2. 교체 cacert로cacert.original

cacert파일은 작은 하나 (22B)이었다. 내가 설치 한 oracle-java8-installer에서 ppa:webupd8team/java(이 설명서에 따라 https://docs.nativescript.org/start/ns-setup-linux ).

기록을 위해 여기에 대한 답변 중 어느 것도 나를 위해 일 하지 않았습니다 . 내 Gradle 빌드 가이 오류로 신비스럽게 실패하기 시작 하여 특정 POM 파일에 대해 Maven Central 에서 HEAD를 가져올 수 없습니다 .

JAVA_HOME이 javac 문제를 디버깅하기 위해 빌드 한 OpenJDK의 개인 빌드로 설정되었습니다. 시스템에 설치된 JDK로 다시 설정하면 문제가 해결되었습니다.

Red Hat Linux에서 인증서를로 가져 와서이 문제를 해결했습니다 /etc/pki/java/cacerts.

System.setProperty("javax.net.ssl.trustStore", "C:\\Users\\user-id\\Desktop\\tomcat\\cacerts");
System.setProperty("javax.net.ssl.trustStorePassword", "passwd");

위의 두 줄을 코드에 추가해야합니다. 신뢰 저장소를 찾을 수 없습니다.

우분투 14.04 (Trusty Tahr) 에서 테스트하기 위해 특정 Android 제품군을 실행하는 동안이 문제에 직면했습니다 . Shaheen이 제안한대로 두 가지가 나를 위해 일했습니다.

sudo update-ca-certificates -f

sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

인터넷에서 찾은 솔루션은 효과가 없었지만 Peter Kriens의 답변 은 수정 된 버전 으로 작동합니다.

먼저을 실행하여 Java 폴더를 찾으십시오 /usr/libexec/java_home. 나를 위해 그것은 1.6.0.jdk버전이었다. 그런 다음 lib/security하위 폴더 로 이동하십시오 (나를 위해 /Library/Java/JavaVirtualMachines/1.6.0.jdk/Contents/Home/lib/security).

그런 다음 cacerts파일이 이미 있으면 삭제하고 시스템에서 파일을 검색하십시오 sudo find / -name "cacerts". Xcode 또는 내가 설치했지만 다른 응용 프로그램 버전에서 여러 항목을 찾았습니다 /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts.

해당 파일을 사용하여 이전의 Java 폴더 내부에있는 파일에 심볼릭 링크를 넣으면 sudo ln -fsh "/Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/cacerts"작동합니다.

Apple의 2017-001 다운로드 ( https://support.apple.com/kb/dl1572- 올바른 인증서가있는 것으로 가정) 의 Java 와 Mac OS X v10.12 에 설치된 Oracle의 Java (Sierra) .

ppa : openjdk-r / ppa의 openjdk 11이있는 우분투 14.04에서 이것은 나를 위해 일했습니다.

java.security에서 키 저장소 유형을

keystore.type=jks

그때:

sudo dpkg --purge --force-depends ca-certificates-java
sudo apt-get install ca-certificates-java

작동하는지 확인하면 오래된 java가 여전히 실행중인 데몬을 사용하지 않아야합니다 (예 : --no-daemongradle 옵션)

이 버그는 모든 것을 잘 설명하고 https://bugs.launchpad.net/ubuntu/+source/ca-certificates-java/+bug/1739631 의 상황을 이해하는 데 도움이됩니다.

우분투 18.04에서 오래된 프로젝트의 유지 관리를 위해 OpenJDK 1.7을 사용해야했습니다. 이진 패키지를 다운로드했습니다. 그러나 스크립트를 실행할 때 동일한 오류가 발생했습니다.

해결 방법은 cacerts다운로드 한 JDK 파일을 jre/lib/security폴더에서 제거한 다음 다음 위치의 시스템 cacerts파일에 대한 심볼릭 링크로 만드는 것 입니다 /etc/ssl/certs/java/.

sudo ln -s /etc/ssl/certs/java/cacerts /path/to/downloaded/java/jre/lib/security/cacerts

슬림 기회는 누구에게나 도움이 될 것입니다 ... 라즈베리 파이의 Docker Image에서 Java 8을 실행하는 모든 사람 (AMD CPU 사용) 다음 Dockerfile을 가져 와서 성공적으로 실행했습니다.

FROM hypriot/rpi-java
USER root

WORKDIR /usr/build/

RUN /usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
RUN update-ca-certificates -f
RUN /var/lib/dpkg/info/ca-certificates-java.postinst configure

EXPOSE 8080

ARG JAR_FILE=target/app-0.0.1-SNAPSHOT.jar

ADD ${JAR_FILE} app.jar

ENTRYPOINT ["java", "-Djavax.net.ssl.trustStorePassword=changeit", "-Djavax.net.ssl.trustStore=/etc/ssl/certs/java/cacerts", "-jar", "app.jar"]