问题描述:

苍穹跟第3方系统的https地址集成时，常遇到以下SSL证书相关报错信息。

问题原因：

以上报错的原因是java客户端应用程序不能认证/识别服务器端提供的SSL证书/https证书，需要把https证书的签发机构即CA证书导入到客户端java的证书库中。

解决方法：

步骤：

1、获取https服务器端签发https证书的CA证书，一般客户运维负责提供生产环境的证书信息。

2、登录一台部署了jdk的linux服务器，把CA证书导入到linux本地的java的证书库。

查看java证书库位置

使用keytool命令将CA证书导入证书库。

keytool -importcert -trustcacerts  -file /path/to/CAroot.pem -alias CAROOT -keystore ./cacerts

其中

-file:指定要导入的证书位置

-alias:给导入的证书起一个别名，建议根据具体环境使用有意义的证书别名。

最后要求输入证书库密码，通用密码：changeit

3、验证CA证书已经被导入证书库

keytool -list -keystore cacerts -storepass changeit |grep CAROOT

4、删除导入的证书(可选操作)

keytool -delete -alias GDYJCAROOT -keystore cacerts -storepass changeit

5、查看证书内容（可选操作）

keytool -printcert -file /path/to/zhengshu.cert

6、把证书库挂载到容器里

当java客户端是容器里的应用时，需要把上面步骤中的java证书库文件copy到nfs共享存储或者k8s集群所有主机上，然后通过gpaas挂载给容器里的java程序。

一般根据java客户端代码位置决定需要挂载证书的容器节点，例如,访问https的java客户端部署在mservice容器，那么只需要把java证书库挂载到mservice容器节点就可以了。

如下，通过gpaas页面可以完成挂载：

主机路径：k8s主机上java证书库的位置，即步骤2中导入的证书库。

容器内挂载路径：标准容器的java证书库位置，不变。 

7、验证苍穹可以正常访问第3方系统的https地址。

适用版本

任何版本

注意事项

在k8s高可用模式下建议把证书放到nfs存储上，在gpaas上通过nfs存储挂载证书库cacerts。否则需要把cacerts文件copy到所有k8s主机的相同目录下。 

容器内的挂载路径，标准都是截图里的位置， 可以通过gpaas连接到容器里验证。

参考资料

无