在搭建CAS与客户端测试时发现以下错误：

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

据说是要在tomcat的JRE导入证书。

对于要导入哪个证书，我还没搞明白。一开始我把tomcat server.xml中使用的jks证书导入，说不是.x509证书。我是在沃通上签发的免费SSL证书，里边有N个多个。

后来，我打开浏览器，把浏览器的SSL证书导出。

此时会发现导入的是crt后缀的证书，把这个证书导入到jre中，这个问题就解决了。不过其中的关系还是有点模糊。

./keytool -import -v -trustcacerts -alias cas -file ../xxx.crt -storepass changeit -keystore ../jre/lib/security/cacerts

红色部分是jre中默认密码，不是证书的密码。

=====转摘一段=====

在项目开发中,有时会遇到与SSL安全证书导入打交道的，如何把证书导入java中的cacerts证书库呢？ 其实很简单，方法如下：

每一步：进入某个https://www.xxx.com开头的网站,把要导入的证书下载过来， 　　　　在该网页上右键 >> 属性 >> 点击"证书" >> 　　　　再点击上面的"详细信息"切换栏 >> 　　　　再点击右下角那个"复制到文件"的按钮 　　　　就会弹出一个证书导出的向导对话框，按提示一步一步完成就行了。 　　　　例如：保存为abc.cer,放在C盘下 第二步：如何把上面那步的(abc.cer)这个证书导入java中的cacerts证书库里? 　　　　方法如下 　　　　假设你的jdk安装在C:\jdk1.5这个目录， 　　　　开始 >> 运行 >> 输入cmd 进入dos命令行 >> 　　　　再用cd进入到C:\jdk1.5\jre\lib\security这个目录下 　　　　敲入如下命令回车执行 　　　　keytool -import -alias cacerts -keystore cacerts -file d:\software\AKAZAM-Mail.cer -trustcacerts 　　　　此时命令行会提示你输入cacerts证书库的密码， 　　　　你敲入changeit就行了，这是java中cacerts证书库的默认密码， 　　　　你自已也可以修改的。 　　　　ok,大功告成！  

              以后更新时，先删除原来的证书，然后导入新的证书

              keytool -list -keystore cacerts               keytool -delete -alias akazam_email -keystore cacerts               keytool -import -alias akazam_email -file akazam_email.cer -keystore cacerts -trustcacerts