如何导入证书（CA证书验证信任关系时系统层）

　　问题现象
　　前些天第三方公司同我们公司开发的业务系统对接，调用我们系统的https接口时出现如下日志提示：javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException:  PKIX path building failed:  sun.security.provider.certpath.SunCertPathBuilderException:  unable to find valid certification path to requested target
　　问题分析
　　几经周折，历经磨难后发现，此类问题一般是证书本身或者jdk版本问题导致的。解决问题的办法也有几种。
　　第一种办法：重新申请更换符合安全规范的证书。（推荐）
　　第二种办法：重写SSLSocketFactory类，信任所有所有证书。public class HttpsClientUtil { 	private static ThreadSafeClientConnManager cm = null; // 多连接的线程安全的管理器 	private static int MAX_TOTAL = 500; // 最大连接数 	private static int defaultMaxConnection = 100; // 默认最大 主机连接数 	public final static int CONNECT_TIMEOUT = 10000; // 连接超时时间 	public final static int SOCKET_TIMEOUT = 90000; // 读取数据超时时间  	static { 		// 设置访问协议 		SchemeRegistry schemeRegistry = new SchemeRegistry(); 		schemeRegistry.register(new Scheme(＂http＂, 80, PlainSocketFactory.getSocketFactory())); 		try { 			schemeRegistry.register(new Scheme(＂https＂, 443, getSSLSocketFactory())); 		} catch (KeyManagementException e1) { 			e1.printStackTrace(); 		} catch (NoSuchAlgorithmException e1) { 			e1.printStackTrace(); 		} 		cm = new ThreadSafeClientConnManager(schemeRegistry); 		try { 			cm.setMaxTotal(MAX_TOTAL); 			// 每条通道的并发连接数设置（连接池） 			cm.setDefaultMaxPerRoute(defaultMaxConnection); 		} catch (NumberFormatException e) { 			e.printStackTrace(); 		} 	}  	public static HttpClient getHttpsClient() { 		HttpParams params = new BasicHttpParams(); 		// HTTP 协议的版本,1.1/1.0/0.9 		params.setParameter(CoreProtocolPNames.PROTOCOL_VERSION, HttpVersion.HTTP_1_1); 		/* 连接超时 */ 		HttpConnectionParams.setConnectionTimeout(params, CONNECT_TIMEOUT); 		/* 请求超时 */ 		HttpConnectionParams.setSoTimeout(params, SOCKET_TIMEOUT);  		return new DefaultHttpClient(cm, params); 	}  	/** 	 * 设置信任所有证书 	 *  	 * @return 	 * @throws KeyManagementException 	 * @throws NoSuchAlgorithmException 	 */ 	private static SSLSocketFactory getSSLSocketFactory() throws KeyManagementException, NoSuchAlgorithmException { 		// SSLContext ctx = SSLContext.getInstance(＂SSL＂); 		SSLContext ctx = SSLContext.getInstance(＂TLS＂); 		X509TrustManager tm = new X509TrustManager() {  			public void checkClientTrusted(X509Certificate[] xcs, String string) throws CertificateException {  			}  			public void checkServerTrusted(X509Certificate[] xcs, String string) throws CertificateException { 			}  			public X509Certificate[] getAcceptedIssuers() { 				return null; 			} 		}; 		ctx.init(null, new TrustManager[] { tm }, null); 		SSLSocketFactory ssf = new SSLSocketFactory(ctx, SSLSocketFactory.ALLOW_ALL_HOSTNAME_VERIFIER);// 信任所有域名主机 		return ssf; 	}  	public static void release() { 		if (cm != null) { 			cm.shutdown(); 		} 	} }
　　第三种办法：把安全证书导入到java中cacerts证书库。
　　废话不多说，直接上干货。第一步是要下载证书
　　建议使用谷歌浏览器，如下图所示，点击＂小锁＂。
　　证书下载
　　在＂证书＂页面，点击＂复制到文件＂按钮，选择https证书存放到的目录位置。
　　复制证书到文件
　　在＂证书导出向导＂页面，选择base64编码。
　　选择编码导入证书
　　切换到jdk jre的/lib/security/下，执行如下命令：keytool -import -alias test -keystore cacerts -file D://test.cer
　　说明：
　　-alias 指定别名
　　-keystore 指定存储文件
　　-file 指定证书文件所在的目录
　　注意：当切换到 cacerts 文件所在的目录时,才可指定 -keystore cacerts，否则应该指定全路径。此时命令行会提示你输入cacerts证书库的密码，敲入changeit即可，这是java中cacerts证书库的默认密码。
　　库密钥口令输入：changeit
　　是否信任：y
　　证书导入成功。 查看证书，密钥默认是changeitkeytool -list -keystore cacerts -alias test更新证书时，要先删除原来的证书，然后导入新的证书keytool -list -keystore cacerts  keytool -delete -alias test -keystore cacerts  keytool -import -alias test -file mytest.cer -keystore cacerts -trustcacerts