我們有一個在 JDK 1.8 上運行的基于 Apache Tomcat 的 Java Web 應(yīng)用程序，最近不得不加強其與安全相關(guān)的功能以符合某些規(guī)定，因此我們現(xiàn)在使用BouncyCastleFipsProvider作為我們 JVM 的主要安全提供程序，按照建議在 java.security 中進行配置在 BC 文檔中：security.provider.1=org.bouncycastle.jcajce.provider.BouncyCastleFipsProvidersecurity.provider.2=com.sun.net.ssl.internal.ssl.Provider BCFIPSsecurity.provider.3=sun.security.provider.Sun 我現(xiàn)在面臨一個問題，通過 HTTPS 調(diào)用我們的第三方服務(wù)之一，因為它的證書鏈無法驗證。我們得到的例外是：Caused by: sun.security.validator.ValidatorException: End user tried to act as a CA        at sun.security.validator.SimpleValidator.checkBasicConstraints(SimpleValidator.java:320)        at sun.security.validator.SimpleValidator.checkExtensions(SimpleValidator.java:237)        at sun.security.validator.SimpleValidator.engineValidate(SimpleValidator.java:221)        at sun.security.validator.Validator.validate(Validator.java:262)        at sun.security.ssl.X509TrustManagerImpl.validate(X509TrustManagerImpl.java:324)        at sun.security.ssl.X509TrustManagerImpl.checkTrusted(X509TrustManagerImpl.java:229)        at sun.security.ssl.X509TrustManagerImpl.checkServerTrusted(X509TrustManagerImpl.java:124)這個 HTTPS 調(diào)用過去可以正常工作，所以我調(diào)試了 SSL 握手，并注意到在以前的（工作）版本（使用 Sun 的安全提供程序的默認(rèn) JVM 安全設(shè)置）中，驗證是通過另一個類完成的：sun.security.validator。 PKIX 驗證器。在當(dāng)前（不工作）設(shè)置中，SSLContext 由上述列表中的第二個提供者提供，即“Sun JSSE 提供者（FIPS 模式，加密提供者 BCFIPS）”我對 JCE、JSSE、Bouncy Castle 沒有那么深入的經(jīng)驗，所以我想知道是否有人知道這個PKIXValidator 是否可以與 com.sun.net.ssl.internal.ssl.Provider(“BCFIPS”) 一起使用來驗證服務(wù)器證書？如果是這樣，我該如何啟用它？更新： 我們還在我們的 java.security 文件中設(shè)置了以下參數(shù)，我在我們的一個文檔中發(fā)現(xiàn)的原因是：“PKIX 不能用作信任管理器算法?！?我相信這是我應(yīng)該仔細檢查的。ssl.KeyManagerFactory.algorithm=SunX509ssl.TrustManagerFactory.algorithm=SunX509UPDATE2： 我已經(jīng)嘗試將上述算法屬性設(shè)置為 PKIX，并且成功了，現(xiàn)在可以建立 HTTPS 連接。注意：該第三方證書有效，其鏈?zhǔn)転g覽器信任，由知名根CA頒發(fā)。問題是他們在鏈中兩次發(fā)送自己的證書，這使得 SimpleValidator 失敗。額外問題：上面列表中的前兩個提供者有什么區(qū)別？