解决 “Error – trustAnchors parameter must be non-empty” 的方法

错误概述

在使用 Java 进行网络连接时，可能会遇到错误信息：“Error – trustAnchors parameter must be non-empty”。此错误通常表示系统无法找到有效的信任锚（trust anchors），即没有合适的证书可用于验证 SSL 连接。这种情况通常出现在 Java 应用程序尝试连接 HTTPS 网站时，但没有找到合适的证书存储（truststore）。

常见原因

导致此错误的原因通常包括以下几种情况：
1. 缺少证书：系统未能找到所需的 SSL 证书文件。
2. 错误的信任密码：信任库的密码未正确设置或者与实际情况不符。
3. 权限问题：应用程序没有权限访问证书存储文件。
4. 证书格式不正确：使用了错误的证书格式（如 JKS 或 PKCS12）。
5. Java 版本问题：Java 9 及更高版本对证书格式有新的要求。

解决方法

方法 1: 设置信任库密码

1. 确保 Java 应用程序的启动命令中包含以下参数：
   bash
java -Djavax.net.ssl.trustStorePassword=changeit ...
2. 这将指定信任库的密码为 changeit，确保您使用的是正确的密码。

方法 2: 创建空的 JKS 文件

1. 切换到 root 用户：
   bash
sudo bash
2. 使用以下命令创建一个空的 JKS 文件，密码为 changeit：
   bash
/usr/bin/printf '\xfe\xed\xfe\xed\x00\x00\x00\x02\x00\x00\x00\x00\xe2\x68\x6e\x45\xfb\x43\xdf\xa4\xd9\x92\xdd\x41\xce\xb6\xb2\x1c\x63\x30\xd7\x92' > /etc/ssl/certs/java/cacerts
3. 重新添加所有 CA 证书：
   bash
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

方法 3: 确保安装 ca-certificates-java

1. 在 Ubuntu 系统上，执行以下命令以确保安装 ca-certificates-java：
   bash
sudo apt install ca-certificates-java
2. 然后再次运行以下命令以配置证书：
   bash
sudo /var/lib/dpkg/info/ca-certificates-java.postinst configure

方法 4: 使用 macOS 密钥链

1. 对于 macOS 用户，可以通过设置以下 JVM 参数来使用系统的密钥链作为信任库：
   bash
-Djavax.net.ssl.trustStoreType=KeychainStore
2. 此外，还可以通过环境变量 JAVA_TOOL_OPTIONS 全局设置该参数：
   bash
export JAVA_TOOL_OPTIONS="-Djavax.net.ssl.trustStoreType=KeychainStore"

方法 5: 指定信任库的路径

1. 如果您的证书存储在特定路径，可以通过以下参数明确指定：
   bash
-Djavax.net.ssl.trustStore=/path/to/your/cacerts
2. 确保您使用的路径是正确的，并且该文件可访问。

方法 6: 解决 Git SSL 问题

1. 如果在使用 Git 时遇到此错误，可以通过以下命令禁用 SSL 验证：
   bash
git config --global http.sslVerify false
2. 这对于临时解决问题有效，但建议在生产环境中避免禁用 SSL 验证。

预防提示

• 定期检查和更新您的 JDK 和相关依赖项，以确保使用最新的安全标准。
• 确保所有的证书和信任库都按照官方推荐的格式进行管理。
• 在生产环境中，避免使用 http.sslVerify false，以保证通信的安全性。

总结

遇到 “Error – trustAnchors parameter must be non-empty” 错误时，首先要检查信任库的配置和权限问题。通过上述方法，您可以有效地解决此错误，确保 Java 应用程序能够正确地进行 SSL 连接。始终保持证书和 JDK 的更新，以防止未来再次出现类似问题。