详细报错信息

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: 
PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: 
unable to find valid certification path to requested target

原因

关于qyapi.weixin.qq.com等域名更新HTTPS证书的紧急通知
2025/04/24
发布
各位企业微信的开发者：
大家好，qyapi.weixin.qq.com以及openhw.work.weixin.qq.com目前使用的https证书将在2025年5月17日过期，企业微信团队近期在灰度更换新证书，新证书由DigiCert Global Root G2 根 CA 颁发。灰度过程中发现部分开发者在应用程序中通过硬编码方式指定了特定的根证书，但指定的根证书过旧未兼容DigiCert Global Root G2 根，从而导致证书校验不通过，ssl握手失败。
请各位开发者尽快检查：
如果有程序内置根证书的，请在2025年4月29日前完成兼容G2根证书，否则可能影响正常服务。
如果程序没有内置根证书，但操作系统太旧（比如xp/win7系统）不支持G2根证书的，请升级操作系统。

解决方案一

现有JDK升级证书

1 下载证书

DigiCertGlobalRootG2.crt.pem文件的下载地址：

2 导入证书

1） 进入本地jre文件夹，找到lib文件夹下的security文件

2） 在窗口地址栏中，输出cmd，进入命令行模式

3）输入keytool -importcert -alias DigiCertGlobalRootG2With2024 -file "D:/DigiCertGlobalRootG2.crt.pem" -keystore "C:\Program Files\Java\jre1.8.0_77\lib\security\cacerts" -storepass changeit
4） 其中，%JAVA_HOME%是环境变量里面配置的，D:/DigiCertGlobalRootG2.crt.pem，是刚才下载文件的地址,C:\Program Files\Java\jre1.8.0_77\lib\security\cacerts是jre的证书的地址
5） 在是否信任该证书位置，输入yes，然后回车。
6） 输入keytool -list -v -keystore cacerts > mycacerts.txt
7） 密钥库口令：changeit
8） 点击回车，在当前文件目录内，找到mycacerts.txt文件
9） 打开文件，查找digicertglobalrootg2关键字
10） 如果找到了，就说明添加上了，如果没找到，重启java应用，或者重启tomcat再试试。

3 重启java程序验证

解决方案二

升级jdk到1.8的最后一个免费版本，202。
JDK 8 最后一个免费版本 下载

新的JDK中，自带了DigiCert Global Root G2证书