起因

上周在生产环境部署时，把安全证书加到k8s-ingress中时发现报该错误

解决

• 找网上解决方案，因为这种问题相对比较少见，也没百度，直接谷歌，找到解决方案如下：https://stackoverflow.com/questions/9619030/resolving-javax-net-ssl-sslhandshakeexception-sun-security-validator-validatore
  • 查看：%JAVA_HOME%\lib\security\cacerts
  • 查看证书相关列表：keytool -list -keystore “%JAVA_HOME%/jre/lib/security/cacerts”
  • 如果没有证书，将证书导入环境中：keytool -import -noprompt -trustcacerts -alias -file -keystore -storepass

windows环境，本机测试是可行的，但搬到开发环境，开启测试时也没报错，再将应用容器化时，如法炮制，发现并不能正常运行，通样会报PKIX path building failed的错误。

检查各项配置，与宿主机系统，本机windows环境一致，但依旧未能跑通。

后来求助上级，唯一不同点是将域名的映射加入到hosts文件中，才发现在本机和开发环境都提前配置好了hosts，所以没发现这个错误，并且java所报的异常跟刚开始未加入java ca授信列表时所报的异常一样，所以一度怀疑是jre问题（虽然基本不可能）。

结果

将ca证书文件依次加入容器，加入java授信列表，重新生成镜像，最后在docker容器内运行正常没报错。但还有一点，docker的hosts文件时run之后才动态生成，不能提前预设（内部包括容器名称地址映射，集群dns映射等），但考虑到生产环境部署在k8s，k8s能动态注入hosts，调整dns策略等，所以dns问题解决相对轻松。

参考

很全的一篇讲解关于https与java中调用原理与实现的文章：http://www.aneasystone.com/archives/2016/04/java-and-https.html