GoDaddy SSL证书不使用Java

Question

UPDATE 1/26/2015 -- It appears the most recent JRE/JDK for Java 8 (update >= 31) and JRE/JDK for Java 7 now include the Godaddy G2 CA server in the default trust store. If possible, it's urged you upgrade your JRE/JDK to the latest Java 8 update to resolve this issue.

更新2014年11月29日 - 这仍然是一个问题，Godaddy似乎不关心也不会做任何事情。 几个月前，Godaddy安全产品副总裁在这里发布了一篇博客文章，说它正在修复它并提供了一个临时的解决方案，但到目前为止没有任何改变。 值得注意的是，Godaddy的G2 CA服务器已经存在了至少5年，并且在那段时间Godaddy没有采取适当的步骤来解决这个已知问题。 所提供的解决方案就是解决方案，而不是解决方案。 第三方服务的用户无法控制服务器上的证书安装方式。

It seems users should avoid purchasing Godaddy SSL certs until they get serious about being a CA.

如果您愿意致电以下是他们的SSL团队的联系信息：

GoDaddy SSL Team Support Number: 1-480-505-8852 -- Email: ra@godaddy.com

更新2014年9月17日 - 这仍然是一个问题，Godaddy似乎不关心也不会做任何事情。 11月谷歌弃用所有SHA-1证书时，这将成为一个主要问题。 我强烈推荐任何可以联系Godaddy并指出他们的人。

〜

tl;dr; - final update with current solution/workaround at the bottom of this post (it is a GoDaddy problem and there is a workaround until they fix it)

我有一个邮件服务器，我正试图从我的Java应用程序发送邮件。 我可以成功发送端口25所以我知道代码工作和所有，但25不是加密会话。 我需要在端口587上使用TLS，这需要SSL证书。 我在GoDaddy G2 CA签署的服务器上有一个有效的SSL证书，并且已经存在了一段时间（没问题）。

我的问题是，我正在使着名的PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target在尝试连接并在587上发送邮件时， PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target错误消息的PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target 。

根据我对许多SO链接以及普通google-fu的理解，这通常是在Java不信任证书或CA时引起的 - 这对于自签名证书来说是常见的。 我已经使用了几个在线SSL证书检查程序来确保链是有效的等等。所有似乎都是正常的...但java不会自动使用证书。

我知道Sun的某个类文件将在本地密钥库中下载并设置cert，因此java会信任它......但这对于将部署到多个系统的应用程序来说不仅不切实际，而且只是对Godaddy签署的证书愚蠢。

这是怎么回事？ 如何让java在服务器上使用有效的证书而不必让java接受所有的证书？

编辑：我只是看了我的Windows Java控制面板（默认安装的jdk 7），果然，在Signer CA下发布Signer CA ： The Go Daddy Group, Inc. Go Daddy Class 2 Certification Authority列出...所以给出了什么？ 我的证书是Godaddy证书......

UPDATE --

这是从评论中建议的openssl命令看到的证书链：

~]# openssl s_client -connect smtp.somecompany.com:587 -starttls smtp
CONNECTED(00000003)
depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=smtp.somecompany.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
---

我认为对我好看......

UPDATE 2 --

好的，感谢@Bruno我能够确定我的链条搞砸了 - 我重新键入了服务器，现在我的链条显示如下：

 ~]# openssl s_client -connect smtp.somecompany.com:587 -starttls smtp
CONNECTED(00000003)
depth=2 C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", CN = Go Daddy Root Certificate Authority - G2
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/OU=Domain Control Validated/CN=smtp.somecompany.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
---

哪个看起来比以前更好。 - Java仍然会抛出有关证书路径等的相同异常。因此，在Java 7的默认密钥库中，似乎默认情况下不会信任G2证书链。

FINAL UPDATE FOR COMPLETENESS @ 1/14/2014

就像更新一样 - 这确实是一个GoDaddy问题（我有很长时间的支持电子邮件）。 它们有2个CA服务器，一个名为Class 2 CA ，另一个名为G2 CA 他们的Class 2 CA签署所有SHA-1证书，而G2 CA签署所有SHA-2证书。 这就是问题所在 - GoDaddy没有将新的G2 CA服务器添加到默认的java信任库 - 导致默认的Java安装不信任它的权限，因此不信任您的链式证书。 GoDaddy将G2 CA服务器添加到默认信任库之前的解决方法是使用SHA-1重新键入您的证书，以获得由Class 2 CA服务器签名的证书。 在您的证书到期之前（显然），GoDaddy客户可以免费更换密码。

Answer 1

UPDATE 1/26/2015 -- It appears the most recent JRE/JDK for Java 8 (update >= 31) and JRE/JDK for Java 7 now include the Godaddy G2 CA server in the default trust store. If possible, it's urged you upgrade your JRE/JDK to the latest Java 8 update to resolve this issue.

更新2014年11月29日 - 这仍然是一个问题，Godaddy似乎不关心也不会做任何事情。 几个月前，Godaddy安全产品副总裁发表了一篇博客文章[here][1] ，说明了解决问题的方法并提供了临时解决方案，但至今没有任何改变。 值得注意的是，Godaddy的G2 CA服务器已经存在了至少5年，并且在那段时间Godaddy没有采取适当的步骤来解决这个已知问题。 所提供的解决方案就是解决方案，而不是解决方案。 第三方服务的用户无法控制服务器上的证书安装方式。

It seems users should avoid purchasing Godaddy SSL certs until they get serious about being a CA.

如果您愿意致电以下是他们的SSL团队的联系信息：

GoDaddy SSL Team Support Number: 1-480-505-8852 -- Email: ra@godaddy.com

更新2014年9月17日 - 这仍然是一个问题，Godaddy似乎不关心也不会做任何事情。 11月谷歌弃用所有SHA-1证书时，这将成为一个主要问题。 我强烈推荐任何可以联系Godaddy并指出他们的人。

~~~~

我最初的帖子/问题是关于为什么我的连锁店不起作用。 很明显我的设置很糟糕（很快就通过@Bruno和其他人的一些建议来修复 - 谢谢）。 然而，当我纠正的链仍然无法使用Java时，很明显潜伏着一个更大的问题。 花了一段时间，但问题实际上是GoDaddy。

这实际上确实是一个GoDaddy问题（我有很长时间的支持电子邮件）。

它们有2个CA服务器，一个名为Class 2 CA ，另一个名为G2 CA 他们的Class 2 CA签署所有SHA-1证书，而G2 CA签署所有SHA-2证书。

这就是问题所在 - GoDaddy尚未将其较新的G2 CA服务器添加到默认的Java truststore/keystore - 导致默认Java安装不信任它的权限，因此不信任您的链式证书。

GoDaddy将G2 CA服务器添加到默认信任库/密钥库之前的解决方法是使用SHA-1重新键入您的证书，以获得由Class 2 CA服务器签名的证书。 在您的证书到期之前（显然），GoDaddy客户可以免费更换密码。

获得由Class 2 CA服务器签署的SHA-1证书后，您的信任链应按预期工作，并且不需要自定义信任库/密钥库导入和/或设置。

为了让它正常工作，我必须使用“弱”证书，这并不让我感到高兴，到目前为止与GoDaddy通过电子邮件支持进行的讨论表明他们目前没有将G2 CA服务器添加到默认信任库的计划/密钥库。 我想直到他们确实添加它，如果您打算使用Java，请确保获得SHA-1 Class 2 CA服务器签名证书。

Answer 2

Fixer先生和Wayne Thayer先生的答案被低估了，但他们实际上是在倡导正确的解决方案。 事实上，Wayne Thayer领导GoDaddy的SSL业务，所以他可能知道。 您应该在证书链中安装“GoDaddy G1到G2 Cross”证书以及中间证书。

降级为SHA1并不是一个理想的选择，因为它已被弃用，并将在未来引起更多工作。 幸运的是，GoDaddy提供了一个解决此问题的交叉证书。 他们发布了Wayne重复的说明，并将其隐藏在这里的评论中 。

我亲自使用SHA2证书测试了这个解决方案，它运行良好。 与重新键入和降级到SHA1相比，这是一个非常优秀的解决方案。 当需要SHA2时，无论如何都不能使用此选项，并且可能仍然存在没有新证书的Java工具链。

根据GoDaddy的支持，截至2014年7月，最新版本的Java 8中包含正确的根证书，2014年9月，GoDaddy的Wayne Thayer 也表示该证书“计划在未来几个月内添加到Java中” ”。 我已经检查了从这里下载的 Java 8 for Mac OS中的cacerts文件，它确实包含SHA2根证书。

所以不是你的链看起来像这样：

• 去爸爸根证书颁发机构 - G2：（SHA-2） - 哈希47 BE AB C9 22 EA E8 0E 78 78 34 62 A7 9F 45 C2 54 FD E6 8B。 这是内置于某些系统（例如Chrome）的根证书。 SnakeDoc声称“它不是内置于Java，Windows CE，Microsoft Exchange和更多平台”。
• Go Daddy安全认证机构 - G2：（SHA-2） - 哈希27 AC 93 69 FA F2 52 07 BB 26 27 CE FA CC BE 4E F9 C3 19 B8
• 您的SHA2证书

它应该如下所示：

• Go Daddy Class 2证书颁发机构：（SHA-1） - 哈希27 96 BA E6 3F 18 01 E2 77 26 1B A0 D7 77 70 02 8F 20 EE E4。 这是大多数系统中内置的旧根证书，包括java。
• 去爸爸根证书颁发机构 - G2：（SHA-2） - 哈希34 0B 28 80 F4 46 FC C0 4E 59 ED 33 F5 2B 3D 08 D6 24 29 64.这就是所谓的“GoDaddy G1到G2交叉证书” 。
• Go Daddy安全认证机构 - G2：（SHA-2） - 哈希27 AC 93 69 FA F2 52 07 BB 26 27 CE FA CC BE 4E F9 C3 19 B8
• 你的SHA-2证书

另请参阅 - 我的博客文章通过解决方法总结了这个问题。

Answer 3

要使用SHA2使用Godaddy证书在Java中工作，您需要使用链中的交叉证书将G2（SHA2）根链接到G1（SHA1）根，直到Java决定更新其存储库。 可以在此处下载交叉证书包：

https://certs.godaddy.com/anonymous/repository.pki

GoDaddy证书包 - G2与Cross到G1，包括Root

[gd_bundle-g2-g1.crt][1] 

Answer 4

Fixer先生是对的。 在证书包文件中安装“GoDaddy G1到G2 Cross”证书以及中间证书。 这允许任何识别SHA-1根（包括Java）的客户端信任GoDaddy SHA-2证书。 您可以从https://certs.godaddy.com/repository获取此文件安装完成后，Java将构建一个证书链，从证书到“GoDaddy安全服务器证书（中级证书）”到“GoDaddy G1到G2”交叉证书“到GoDaddy SHA-1根目录。 您还可以在我们的存储库中找到包含交叉证书的捆绑文件。 关于此选项的最后一点注意事项：未检查根证书上的签名，因此即使您依赖SHA-1根，这也与完整的SHA-2证书链一样安全。

Answer 5

以下注释和openssl s_client -connect the.server.name:587 -starttls smtp的输出openssl s_client -connect the.server.name:587 -starttls smtp 。

在证书链中，证书n应由列表中的证书n + 1颁发：证书的颁发者（i）应该是证书n + 1的主题。

 0 s:/OU=Domain Control Validated/CN=smtp.somecompany.com
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
 1 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 2 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2
 3 s:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./OU=http://certs.godaddy.com/repository//CN=Go Daddy Secure Certificate Authority - G2
   i:/C=US/ST=Arizona/L=Scottsdale/O=GoDaddy.com, Inc./CN=Go Daddy Root Certificate Authority - G2

这里，证书0由证书1（罚款）颁发，证书1由证书2（罚款）颁发，证书2是自签名的（也是罚款，这是根CA）。

但是，证书2不是由证书3颁发的。证书3是错放的（可能与证书1相同）。 这可能会导致问题，因为这会使链无效。

您至少应该从配置中删除证书3。 此外，您还可以删除证书2，因为没有必要使用根CA（无论如何都由客户端来了解它）。

Answer 6

如果你将de GoDady G2包导入java密钥库解决了这个问题：

export JAVA_HOME=/usr/lib/jvm/java-8-oracle/
wget https://certs.godaddy.com/repository/gd_bundle-g2.crt
$JAVA_HOME/bin/keytool -import -alias root -file ./gd_bundle-g2.crt -storepass changeit -trustcacerts -keystore $JAVA_HOME/jre/lib/security/cacerts

Answer 7

听起来您的邮件服务器未经Go Daddy Class 2 Certification Authority签名，但实际上是由其中一个证书颁发机构签署的。 您需要自己验证这一点。 假设是这种情况......

理论上，您的软件应该可以工作 - 因为中间证书由第2类权限签名，并且您在默认JDK证书存储中具有第2类权限。 但是，除非您还将中间证书添加到证书库，否则我发现它不起作用。 以下是描述类似体验的博客文章的链接：

http://drcs.ca/blog/adding-godaddy-intermediate-certificates-to-java-jdk/

以下是更多GoDaddy中间证书的直接链接： https ： //certs.godaddy.com/anonymous/repository.pki

我无法确切地告知您必须添加哪个证书 - 这取决于您的邮件服务器中使用的CA.

[更新]

is there a way to do this programmically?

也许。 取决于你想做什么。 我使用java.security.KeyStore类直接从Java代码自动更新私钥库，而不使用keytool 。 它在概念上很简单 - 从文件加载密钥库，读取新证书，将其添加到密钥库，然后将密钥库写出到新文件。 然而，需要一段时间才能获得正确的细节，导入单个证书可能不值得。

尽管如此，尝试还是很有趣。 Checkout KeyStore JavaDoc并读取load ， store和setCertificateEntry方法。

Answer 8

在“Java控制面板”中，我刚刚将GD根证书添加到“安全站点CA”，并且在使用Java时我不再出现证书错误。 我添加的证书是： Go Daddy Class 2 Certification Authority Root Certificate - G2

Answer 9

Update - this "solution" is no longer valid (see my above accepted answer) - keeping this answer because it did help alleviate the problem so long as the side-effects are tolerable.

好吧，我可能已经为我的案子找到了解决办法。

props.put("mail.smtp.ssl.trust", "smtp.somecompany.com");

我将此添加到我的Session构造中，现在它可以工作了。 这是一个解决方法，而不是修复imho，因为我仍然不知道为什么我的Godaddy SSL证书不是默认值得信任的......它不是自签名证书。

任何人都可以随意加入，因为我真的很想了解这个问题。

Answer 10

这是你可以尝试的。 在运行时将GoDaddy根和中间证书添加到信任管理器。 即启动应用程序。

静态最后弦乐GD_CERT1 = // “----- BEGIN CERTIFICATE -----” “MIIE0DCCA7igAwIBAgIBBzANBgkqhkiG9w0BAQsFADCBgzELMAkGA1UEBhMCVVMx” + “EDAOBgNVBAgTB0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoT” + “EUdvRGFkZHkuY29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRp” + “ZmljYXRlIEF1dGhvcml0eSAtIEcyMB4XDTExMDUwMzA3MDAwMFoXDTMxMDUwMzA3” + “MDAwMFowgbQxCzAJBgNVBAYTAlVTMRAwDgYDVQQIEwdBcml6b25hMRMwEQYDVQQH” + “EwpTY290dHNkYWxlMRowGAYDVQQKExFHb0RhZGR5LmNvbSwgSW5jLjEtMCsGA1UE” + “CxMkaHR0cDovL2NlcnRzLmdvZGFkZHkuY29tL3JlcG9zaXRvcnkvMTMwMQYDVQQD” +” EypHbyBEYWRkeSBTZWN1cmUgQ2VydGlmaWNhdGUgQXV0aG9yaXR5IC0gRzIwggEi “+ ”MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQC54MsQ1K92vdSTYuswZLiBCGzD“ + ”BNliF44v / z5lz4 / OYuY8UhzaFkVLVat4a2ODYpDOD2lsmcgaFItMzEUz6ojcnqOv“ + ”K / 6AYZ15V8TPLvQ / MDxdR / yaFrzDN5ZBUY4RS1T4KL7QjL7wMDge87Am + GZHY23e“ + ”cSZHjzhHU9FGHbTj3ADqRay9vHHZqm8A29vNMDp5T19MR / gd71vCxJ1gO7GyQ5HY“ + ”pDNO6rPWJ0 + tJYqlxvTV0KaudAVkV4i1RFXULSo6Pvi4vekyCgKUZMQWOlDxSq7n“ +” eTOvDCAHf + jfBDnCaQJsY1L6d8EbyHSHyLmTGFBUNUtpTrw700ku H9zB0lL7AgMB “+ ”AAGjggEaMIIBFjAPBgNVHRMBAf8EBTADAQH / MA4GA1UdDwEB / wQEAwIBBjAdBgNV“ + ”HQ4EFgQUQMK9J47MNIMwojPX + 2yz8LQsgM4wHwYDVR0jBBgwFoAUOpqFBxBnKLbv“ + ”9r0FQW4gwZTaD94wNAYIKwYBBQUHAQEEKDAmMCQGCCsGAQUFBzABhhhodHRwOi8v“ + ”b2NzcC5nb2RhZGR5LmNvbS8wNQYDVR0fBC4wLDAqoCigJoYkaHR0cDovL2NybC5n“ + ”b2RhZGR5LmNvbS9nZHJvb3QtZzIuY3JsMEYGA1UdIAQ / MD0wOwYEVR0gADAzMDEG“ + ”CCsGAQUFBwIBFiVodHRwczovL2NlcnRzLmdvZGFkZHkuY29tL3JlcG9zaXRvcnkv“ + ”MA0GCSqGSIb3DQEBCwUAA4IBAQAIfmyTEMg4uJapkEv / oV9PBO9sPpyIBslQj6Zz“ +” 91cxG7685C / B + LrTW + C05 + Z5Yg4MotdqY3MxtfWoSKQ7CC2iXZDXtHwlTxFWMMS2" + “RJ17LJ3lXubvDGGqv + QqG + 6EnriDfcFDzkSnE3ANkR / 0yBOtg2DZ2HKocyQetawi” + “DsoXiWJYRBuriSUBAA / NxBti21G00w9RKpv0vHP8ds42pM3Z2Czqrpv1KrKQ0U11” + “GIO / ikGQI31bS / 6kA1ibRrLDYGCD + H1QQc7CoZDDu + 8CL9IVVO5EFdkKrqeKM + 2X” + “LXY2JtwE65 / 3YR8V3Idv7kaWKK2hJn0KCacuBKONvPi8BDAB”; // +“----- END CERTIFICATE -----”;

static final String GD_CERT2 =
//"-----BEGIN CERTIFICATE-----"
"MIIEfTCCA2WgAwIBAgIDG+cVMA0GCSqGSIb3DQEBCwUAMGMxCzAJBgNVBAYTAlVT"
+"MSEwHwYDVQQKExhUaGUgR28gRGFkZHkgR3JvdXAsIEluYy4xMTAvBgNVBAsTKEdv"
+"IERhZGR5IENsYXNzIDIgQ2VydGlmaWNhdGlvbiBBdXRob3JpdHkwHhcNMTQwMTAx"
+"MDcwMDAwWhcNMzEwNTMwMDcwMDAwWjCBgzELMAkGA1UEBhMCVVMxEDAOBgNVBAgT"
+"B0FyaXpvbmExEzARBgNVBAcTClNjb3R0c2RhbGUxGjAYBgNVBAoTEUdvRGFkZHku"
+"Y29tLCBJbmMuMTEwLwYDVQQDEyhHbyBEYWRkeSBSb290IENlcnRpZmljYXRlIEF1"
+"dGhvcml0eSAtIEcyMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAv3Fi"
+"CPH6WTT3G8kYo/eASVjpIoMTpsUgQwE7hPHmhUmfJ+r2hBtOoLTbcJjHMgGxBT4H"
+"Tu70+k8vWTAi56sZVmvigAf88xZ1gDlRe+X5NbZ0TqmNghPktj+pA4P6or6KFWp/"
+"3gvDthkUBcrqw6gElDtGfDIN8wBmIsiNaW02jBEYt9OyHGC0OPoCjM7T3UYH3go+"
+"6118yHz7sCtTpJJiaVElBWEaRIGMLKlDliPfrDqBmg4pxRyp6V0etp6eMAo5zvGI"
+"gPtLXcwy7IViQyU0AlYnAZG0O3AqP26x6JyIAX2f1PnbU21gnb8s51iruF9G/M7E"
+"GwM8CetJMVxpRrPgRwIDAQABo4IBFzCCARMwDwYDVR0TAQH/BAUwAwEB/zAOBgNV"
+"HQ8BAf8EBAMCAQYwHQYDVR0OBBYEFDqahQcQZyi27/a9BUFuIMGU2g/eMB8GA1Ud"
+"IwQYMBaAFNLEsNKR1EwRcbNhyz2h/t2oatTjMDQGCCsGAQUFBwEBBCgwJjAkBggr"
+"BgEFBQcwAYYYaHR0cDovL29jc3AuZ29kYWRkeS5jb20vMDIGA1UdHwQrMCkwJ6Al"
+"oCOGIWh0dHA6Ly9jcmwuZ29kYWRkeS5jb20vZ2Ryb290LmNybDBGBgNVHSAEPzA9"
+"MDsGBFUdIAAwMzAxBggrBgEFBQcCARYlaHR0cHM6Ly9jZXJ0cy5nb2RhZGR5LmNv"
+"bS9yZXBvc2l0b3J5LzANBgkqhkiG9w0BAQsFAAOCAQEAWQtTvZKGEacke+1bMc8d"
+"H2xwxbhuvk679r6XUOEwf7ooXGKUwuN+M/f7QnaF25UcjCJYdQkMiGVnOQoWCcWg"
+"OJekxSOTP7QYpgEGRJHjp2kntFolfzq3Ms3dhP8qOCkzpN1nsoX+oYggHFCJyNwq"
+"9kIDN0zmiN/VryTyscPfzLXs4Jlet0lUIDyUGAzHHFIYSaRt4bNYC8nY7NmuHDKO"
+"KHAN4v6mF56ED71XcLNa6R+ghlO773z/aQvgSMO3kwvIClTErF0UZzdsyqUvMQg3"
+"qm5vjLyb4lddJIGvl5echK1srDdMZvNhkREg5L4wn3qkKQmw4TRfZHcYQFHfjDCm"
+"rw==";
//+"-----END CERTIFICATE-----";

static final String GD_CERT3 =
//"-----BEGIN CERTIFICATE-----"
"MIIEADCCAuigAwIBAgIBADANBgkqhkiG9w0BAQUFADBjMQswCQYDVQQGEwJVUzEh"
+"MB8GA1UEChMYVGhlIEdvIERhZGR5IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBE"
+"YWRkeSBDbGFzcyAyIENlcnRpZmljYXRpb24gQXV0aG9yaXR5MB4XDTA0MDYyOTE3"
+"MDYyMFoXDTM0MDYyOTE3MDYyMFowYzELMAkGA1UEBhMCVVMxITAfBgNVBAoTGFRo"
+"ZSBHbyBEYWRkeSBHcm91cCwgSW5jLjExMC8GA1UECxMoR28gRGFkZHkgQ2xhc3Mg"
+"MiBDZXJ0aWZpY2F0aW9uIEF1dGhvcml0eTCCASAwDQYJKoZIhvcNAQEBBQADggEN"
+"ADCCAQgCggEBAN6d1+pXGEmhW+vXX0iG6r7d/+TvZxz0ZWizV3GgXne77ZtJ6XCA"
+"PVYYYwhv2vLM0D9/AlQiVBDYsoHUwHU9S3/Hd8M+eKsaA7Ugay9qK7HFiH7Eux6w"
+"wdhFJ2+qN1j3hybX2C32qRe3H3I2TqYXP2WYktsqbl2i/ojgC95/5Y0V4evLOtXi"
+"EqITLdiOr18SPaAIBQi2XKVlOARFmR6jYGB0xUGlcmIbYsUfb18aQr4CUWWoriMY"
+"avx4A6lNf4DD+qta/KFApMoZFv6yyO9ecw3ud72a9nmYvLEHZ6IVDd2gWMZEewo+"
+"YihfukEHU1jPEX44dMX4/7VpkI+EdOqXG68CAQOjgcAwgb0wHQYDVR0OBBYEFNLE"
+"sNKR1EwRcbNhyz2h/t2oatTjMIGNBgNVHSMEgYUwgYKAFNLEsNKR1EwRcbNhyz2h"
+"/t2oatTjoWekZTBjMQswCQYDVQQGEwJVUzEhMB8GA1UEChMYVGhlIEdvIERhZGR5"
+"IEdyb3VwLCBJbmMuMTEwLwYDVQQLEyhHbyBEYWRkeSBDbGFzcyAyIENlcnRpZmlj"
+"YXRpb24gQXV0aG9yaXR5ggEAMAwGA1UdEwQFMAMBAf8wDQYJKoZIhvcNAQEFBQAD"
+"ggEBADJL87LKPpH8EsahB4yOd6AzBhRckB4Y9wimPQoZ+YeAEW5p5JYXMP80kWNy"
+"OO7MHAGjHZQopDH2esRU1/blMVgDoszOYtuURXO1v0XJJLXVggKtI3lpjbi2Tc7P"
+"TMozI+gciKqdi0FuFskg5YmezTvacPd+mSYgFFQlq25zheabIZ0KbIIOqPjCDPoQ"
+"HmyW74cNxA9hi63ugyuV+I6ShHI56yDqg+2DzZduCLzrTia2cyvk0/ZM/iZx4mER"
+"dEr/VxqHD3VILs9RaRegAhJhldXRQLIQTO7ErBBDpqWeCtWVYpoNz4iCxTIM5Cuf"
+"ReYNnyicsbkqWletNw+vHX/bvZ8=";
//+"-----END CERTIFICATE-----";

public static void main（String [] args）throws Exception {

    TrustManagerFactory dtmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    dtmf.init((KeyStore) null); // gets you the default trust manager


    X509TrustManager defaultTm = null;
    for (TrustManager tm : dtmf.getTrustManagers()) 
    {
        if (tm instanceof X509TrustManager) 
        {
            defaultTm = (X509TrustManager) tm;
            break;
        }
    }


    CertificateFactory cf = CertificateFactory.getInstance("X.509");
    byte [] decoded = Base64.getDecoder().decode(GD_CERT1);
    ByteArrayInputStream in = new ByteArrayInputStream(decoded);
    Certificate ca1 = cf.generateCertificate(in);
    in.close();

    decoded = Base64.getDecoder().decode(GD_CERT2);
    in = new ByteArrayInputStream(decoded);
    Certificate ca2 = cf.generateCertificate(in);
    in.close();

    decoded = Base64.getDecoder().decode(GD_CERT3);
    in = new ByteArrayInputStream(decoded);
    Certificate ca3 = cf.generateCertificate(in);
    in.close();

    String keyStoreType = KeyStore.getDefaultType();
    KeyStore ks = KeyStore.getInstance(keyStoreType);
    ks.load(null, null);
    ks.setCertificateEntry("cert1", ca1);
    ks.setCertificateEntry("cert2", ca2);
    ks.setCertificateEntry("cert3", ca3);


    TrustManagerFactory gdtmf = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    gdtmf.init(ks);

    X509TrustManager gdTm = null;
    for (TrustManager tm : gdtmf.getTrustManagers()) 
    {
        if (tm instanceof X509TrustManager) 
        {
            gdTm = (X509TrustManager) tm;
            break;
        }
    }

    TrustManager tms[] = new TrustManager[2];
    tms[0] = gdTm;
    tms[1] = defaultTm;


    try 
    {
         SSLContext sslCtx = SSLContext.getInstance("TLS");
        sslCtx.init(null, tms, new SecureRandom());
    } 
    catch (java.security.GeneralSecurityException e) 
    {
        e.printStackTrace();
        throw e;
    }

     HttpsURLConnection.setDefaultSSLSocketFactory(sslCtx.getSocketFactory());
}

我从我的工作版本复制了编码。 所以可能会出现并发症错误。 你只需要解决这些问题。

Answer 11

如果您在发送邮件时使用以下属性，请对其进行评论。 这适合我。 但这可能会导致安全问题。

props.put("mail.smtp.starttls.enable","true");