当前位置: 首页 > news >正文

Jenkins 节点连接故障定位及解决方案总结 - PKIX path validation failed

news 2025/8/1 0:40:09
一、故障现象

Jenkins 节点通过 Java Web 方式连接时,报错:

java.io.IOException: Failed to connect to https://xxxx.zte.com.cn/yyyy/tcpSlaveAgentListener/: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed
二、故障定位及解决方案
1. 证书有效性验证失败

原因:Java 客户端无法验证 Jenkins 服务器的 SSL 证书,常见于以下情况:

  • 证书已过期。
  • 系统时间不正确导致证书有效期校验失败。
  • 自签名证书未被信任。
  • 证书链不完整(缺少中间证书)。

解决方案

(1) 检查证书有效期
# 使用 openssl 检查证书有效期
openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn | openssl x509 -noout -dates
  • 证书过期:需在服务器端更新证书(如 Let’s Encrypt 证书需续订)。
  • 证书未过期:继续排查其他原因。
(2) 检查系统时间

系统时间不正确会导致证书有效期校验失败,需同步客户端和服务器时间。

2. 系统时间同步(重点细化)
(1) 查看当前时间
# 查看系统时间
date# 查看硬件时钟时间(BIOS 时间)
sudo hwclock --show
(2) 手动设置系统时间(临时方案)

仅用于紧急修复,长期建议使用 NTP 服务

# 设置系统时间为 2024-01-01 12:00:00(示例)
sudo date -s "2024-01-01 12:00:00"# 验证系统时间是否已更新
date
(3) 同步系统时间到硬件时钟

确保重启后时间持久化

# 将系统时间写入硬件时钟
sudo hwclock --systohc# 验证硬件时钟时间
sudo hwclock --show
(4) 配置 NTP 服务(长期方案)
# Ubuntu/Debian
sudo apt install ntpdate -y
sudo ntpdate pool.ntp.org
sudo systemctl start systemd-timesyncd
sudo systemctl enable systemd-timesyncd# CentOS/RHEL
sudo yum install ntp -y
sudo ntpdate pool.ntp.org
sudo systemctl start chronyd
sudo systemctl enable chronyd
(3) 导入证书到 Java 信任库

适用于自签名证书或内部 CA 签发的证书

(1) 导出服务器证书
openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn </dev/null | openssl x509 -out jenkins-cert.pem
(2) 查找 Java 信任库路径
# 默认路径(根据实际安装位置调整)
sudo find / -name "cacerts" 2>/dev/null
(3) 导入证书到信任库
# 导入证书(默认密码:changeit)
sudo keytool -import -alias jenkins-cert -keystore /path/to/java/lib/security/cacerts -file jenkins-cert.pem
  • 输入 yes 确认信任证书。
(4) 重启 Jenkins 节点
# 重启 Jenkins 服务或节点进程
sudo systemctl restart jenkins
(4) 检查证书链完整性

确保服务器配置了完整的证书链(包括中间证书)

openssl s_client -connect xxxx.zte.com.cn:443 -showcerts
  • 证书链缺失:在服务器(如 Nginx/Apache)配置中补充中间证书。
三、验证故障是否解决
  1. 查看 Jenkins 节点日志
tail -f /var/log/jenkins/jenkins.log
  1. 手动触发节点连接
    • 在 Jenkins Web 界面中,进入 节点管理目标节点启动代理
四、注意事项
  1. 手动设置时间仅为临时方案,长期需通过 NTP 服务同步时间,避免时间漂移。
  2. 自签名证书需定期更新,并在 Java 信任库中同步更新。
  3. 生产环境禁用临时证书验证方案(如跳过 SSL 校验),避免安全风险。
五、总结流程图
1. 证书有效性验证失败├─ 检查证书是否过期 → 是:更新证书 → 结束├─ 检查系统时间 → 不正确:同步时间(手动或 NTP) → 重新验证├─ 导入证书到 Java 信任库 → 重新启动节点 → 验证连接└─ 检查证书链完整性 → 补充中间证书 → 重新验证

通过以上步骤,可系统化定位并解决 Jenkins 节点连接时的 SSL 证书验证失败问题。

http://www.lryc.cn/news/603978.html

相关文章:

  • VSCode使用Code Runner运行C/C++输出[Done] exited with code=0 in xxx seconds
  • 第二十五节 MATLAB矩阵的加法和减法、除法(左,右)矩阵
  • Curtain MonGuard 屏幕水印-稳住电子支付企业资料安全线
  • 格雷码的应用场景
  • 【Delphi】快速理解泛型(Generics)
  • 科研小tip3|Windows中的CompressAi下载与使用
  • 【Golang】Go语言指针
  • GO 开发环境安装及配置
  • 【工具】图床完全指南:从选择到搭建的全方位解决方案
  • SBB指令的“生活小剧场“
  • AE、VAE与GAN简明指南:三大生成模型对比
  • 【LoRA微调】采用Lora微调时,假设设置的rank值为8,那么在微调时只会调整秩在8以下的矩阵还是只会调整秩等于8的矩阵
  • PaaS和SaaS的区别
  • JVM知识点(1)
  • 自定义View和动画学习记录 抓娃娃机View
  • 高端医疗超声AFE模拟前端应用
  • 网络安全运维面试准备
  • 背包进一步(多重背包、混合背包)
  • jvm冷门知识十讲
  • Arduino声控RGB矩阵音乐节奏灯DIY全攻略
  • Nuxt3 全栈作品【通用信息管理系统】菜单管理
  • 比肩 7B 表现!Ovis-U1-3B 集多模态理解、图像生成与编辑于一体
  • 《嵌入式C语言笔记(十五):字符串操作与多维指针深度解析》
  • Go进阶:流程控制(if/for/switch)与数组切片
  • ORACLE的用户维护与权限操作
  • 火山方舟使用豆包基模 —— 基础流程
  • 什么是ios企业签名?
  • ROUGE-WE:词向量化革新的文本生成评估框架
  • H.264视频的RTP有效载荷格式(翻译自:RFC6184 第5节 RTP有效载荷格式)
  • 自然语言处理NLP(3)