作者刚开始接触 https相关项目时，其中碰到https的问题，就是起初最让我恶心的 PKIX path building failed异常，刚开始在网上搜，有很多解决方法，就因为方法太多，就越容易迷茫，所以我将碰到此类方法的各项文章以及自己的理解进行汇总，然后总结出来，并给出分析、解决，及检查方式

异常信息参考如下： javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

客户端得到的异常一般是http 401错误

先附上http通信时序说明： 客户端在使用HTTPS方式与Web服务器通信时有以下几个步骤，如图所示。 （1）客户使用https的URL访问Web服务器，要求与Web服务器建立SSL连接。 （2）Web服务器收到客户端请求后，会将网站的证书信息（证书中包含公钥）传送一份给客户端。 （3）客户端的浏览器与Web服务器开始协商SSL连接的安全等级，也就是信息加密的等级。 （4）客户端的浏览器根据双方同意的安全等级，建立会话密钥，然后利用网站的公钥将会话密钥加密，并传送给网站。 （5）Web服务器利用自己的私钥解密出会话密钥。 （6）Web服务器利用会话密钥加密与客户端之间的通信。

启动时添加jvm参数 （有二种方式） -Djavax.net.debug=ssl,handshake (查询JDK默认信任的机构) 举例说明：

-Djavax.net.debug=all （如果想了解ssl握手、证书等过程的详细日志）

以上的每一块日志都有对应的 注释说明，以方便理解

通过oracle的远程安装证书方式 InstallCert.java 我这里在代码中写死了微信的，大家可以改main方法前面几个变量，同时增加了生成出来的证书文件当前目录 源代码见下:

根据运行提示信息，输入1，回车，在当前目录下生成名为： jssecacerts 的证书（日志会输出此证书的路径） 将证书放置到$JAVA_HOME/jre/lib/security目录下

客户端和服务端证书都是自己生成及管理的时候 同时也尝试过场景1的办法，依然还是报PKIX path building failed 相关异常

客户端与服务端证书如何生成就不在这描述了，建立在已经生成好的基础上，列举出检查事项（以下检查可以先备份，然后再以下面的具体项，重新尝试的方式）

服务端jre生成的服务端证书和客户端证书所使用的jre与服务端容器运动行的jre是否一致

域名是否正确 客户端证书是否是服务端jre生成的客户端证书

vipshop_ebs/朱杰 2019-09-29