一、故障现象
Jenkins 节点通过 Java Web 方式连接时,报错:
java.io.IOException: Failed to connect to https://xxxx.zte.com.cn/yyyy/tcpSlaveAgentListener/: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed
二、故障定位及解决方案
1. 证书有效性验证失败
原因:Java 客户端无法验证 Jenkins 服务器的 SSL 证书,常见于以下情况:
- 证书已过期。
- 系统时间不正确导致证书有效期校验失败。
- 自签名证书未被信任。
- 证书链不完整(缺少中间证书)。
解决方案:
(1) 检查证书有效期
# 使用 openssl 检查证书有效期
openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn | openssl x509 -noout -dates
- 证书过期:需在服务器端更新证书(如 Let’s Encrypt 证书需续订)。
- 证书未过期:继续排查其他原因。
(2) 检查系统时间
系统时间不正确会导致证书有效期校验失败,需同步客户端和服务器时间。
2. 系统时间同步(重点细化)
(1) 查看当前时间
# 查看系统时间
date# 查看硬件时钟时间(BIOS 时间)
sudo hwclock --show
(2) 手动设置系统时间(临时方案)
仅用于紧急修复,长期建议使用 NTP 服务。
# 设置系统时间为 2024-01-01 12:00:00(示例)
sudo date -s "2024-01-01 12:00:00"# 验证系统时间是否已更新
date
(3) 同步系统时间到硬件时钟
确保重启后时间持久化。
# 将系统时间写入硬件时钟
sudo hwclock --systohc# 验证硬件时钟时间
sudo hwclock --show
(4) 配置 NTP 服务(长期方案)
# Ubuntu/Debian
sudo apt install ntpdate -y
sudo ntpdate pool.ntp.org
sudo systemctl start systemd-timesyncd
sudo systemctl enable systemd-timesyncd# CentOS/RHEL
sudo yum install ntp -y
sudo ntpdate pool.ntp.org
sudo systemctl start chronyd
sudo systemctl enable chronyd
(3) 导入证书到 Java 信任库
适用于自签名证书或内部 CA 签发的证书。
(1) 导出服务器证书
openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn </dev/null | openssl x509 -out jenkins-cert.pem
(2) 查找 Java 信任库路径
# 默认路径(根据实际安装位置调整)
sudo find / -name "cacerts" 2>/dev/null
(3) 导入证书到信任库
# 导入证书(默认密码:changeit)
sudo keytool -import -alias jenkins-cert -keystore /path/to/java/lib/security/cacerts -file jenkins-cert.pem
- 输入
yes确认信任证书。
(4) 重启 Jenkins 节点
# 重启 Jenkins 服务或节点进程
sudo systemctl restart jenkins
(4) 检查证书链完整性
确保服务器配置了完整的证书链(包括中间证书)。
openssl s_client -connect xxxx.zte.com.cn:443 -showcerts
- 证书链缺失:在服务器(如 Nginx/Apache)配置中补充中间证书。
三、验证故障是否解决
- 查看 Jenkins 节点日志:
tail -f /var/log/jenkins/jenkins.log
- 手动触发节点连接:
- 在 Jenkins Web 界面中,进入 节点管理 → 目标节点 → 启动代理。
四、注意事项
- 手动设置时间仅为临时方案,长期需通过 NTP 服务同步时间,避免时间漂移。
- 自签名证书需定期更新,并在 Java 信任库中同步更新。
- 生产环境禁用临时证书验证方案(如跳过 SSL 校验),避免安全风险。
五、总结流程图
1. 证书有效性验证失败├─ 检查证书是否过期 → 是:更新证书 → 结束├─ 检查系统时间 → 不正确:同步时间(手动或 NTP) → 重新验证├─ 导入证书到 Java 信任库 → 重新启动节点 → 验证连接└─ 检查证书链完整性 → 补充中间证书 → 重新验证
通过以上步骤,可系统化定位并解决 Jenkins 节点连接时的 SSL 证书验证失败问题。
P129+P130+P131+P132+P133)
)
![[spring-cloud: 服务发现]-源码解析](http://pic.xiahunao.cn/[spring-cloud: 服务发现]-源码解析)
