JavaクライアントからAWS無料SSL証明書(ACM)へのハンドシェイクエラー

渡辺です。 GW前ということで小ネタを投下して休暇に入りたいと思います。

JavaでHTTPS(SSL)接続を行う時、オレオレ証明書ではハンドシェイクエラーが発生します。 これは、オレオレ証明書では、 Javaの実行環境が持つキーストアで、証明書が信頼されるものと認識できない からです。 Javaでは信頼出来ない証明書が設定されたサーバへのHTTPSアクセスはできないのです。

ブラウザでオレオレ証明書のサイトにアクセスした時、「このサイトは安全でない可能性があります」といった警告が出ることと同様です。 ブラウザアクセスの場合、警告を無視してアクセスできますが、Javaプログラムでは警告を無視できません。 キーストアに信頼するサーバであると追加 しなければなりません（面倒ですｗ）。

ACMの証明書を利用するサーバでのハンドシェイクエラー

サーバがACMの無料証明書を利用していた時、以下のようにエラーが発生しました。

Caused by: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
	at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
	at sun.security.ssl.SSLSocketImpl.fatal(SSLSocketImpl.java:1937)
	at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:302)
	at sun.security.ssl.Handshaker.fatalSE(Handshaker.java:296)
	at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1478)
	at sun.security.ssl.ClientHandshaker.processMessage(ClientHandshaker.java:212)
	at sun.security.ssl.Handshaker.processLoop(Handshaker.java:979)
	at sun.security.ssl.Handshaker.process_record(Handshaker.java:914)
	at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1050)
	at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1363)
	at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1391)
	at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1375)
	at sun.net.www.protocol.https.HttpsClient.afterConnect(HttpsClient.java:563)
	at sun.net.www.protocol.https.AbstractDelegateHttpsURLConnection.connect(AbstractDelegateHttpsURLConnection.java:185)
	at sun.net.www.protocol.http.HttpURLConnection.getOutputStream0(HttpURLConnection.java:1282)
	at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1257)
	at sun.net.www.protocol.https.HttpsURLConnectionImpl.getOutputStream(HttpsURLConnectionImpl.java:250)
	at com.thetransactioncompany.jsonrpc2.client.JSONRPC2Session.postString(JSONRPC2Session.java:456)
	... 9 more
Caused by: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
	at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:387)
	at sun.security.validator.PKIXValidator.engineValidate(PKIXValidator.java:292)
	at sun.security.validator.Validator.validate(Validator.java:260)
	at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)
	at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)
	at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)
	at sun.security.ssl.ClientHandshaker.serverCertificate(ClientHandshaker.java:1460)
	... 22 more
Caused by: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
	at sun.security.provider.certpath.SunCertPathBuilder.build(SunCertPathBuilder.java:145)
	at sun.security.provider.certpath.SunCertPathBuilder.engineBuild(SunCertPathBuilder.java:131)
	at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:280)
	at sun.security.validator.PKIXValidator.doBuild(PKIXValidator.java:382)
	... 28 more

ACMが信頼されていない証明書、んなバカな？

JDKのバージョンを確認

落ち着いて、Java(SDK)のバージョンを確認しましょう。

$ java -version
java version "1.8.0_45"
Java(TM) SE Runtime Environment (build 1.8.0_45-b14)
Java HotSpot(TM) 64-Bit Server VM (build 25.45-b02, mixed mode)

しばらくアップデートしていなかったようです。 2017/04/26時点での最新版にアップデートを行いパスを通します。

$ java -version
java version "1.8.0_131"
Java(TM) SE Runtime Environment (build 1.8.0_131-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.131-b11, mixed mode)

アップデート後、ハンドシェイクエラーは発生しませんでした。

まとめ

古いJava実行環境を利用している場合、ACMの無料証明書が利用できない ようです。 ACMが最近追加されたサービスであるので当たり前といえば当たり前の話ですね。 同様のエラーが発生している場合は、Javaのバージョンをアップデートしてみましょう。