你已经完成了证书导入JVM密钥库的基础操作，但还是遇到了SSL信任失败的问题，我来帮你一步步排查和解决：

1. 确认Tomcat是否真的在使用你导入证书的JVM密钥库 #

很多时候容易忽略这个关键点：Tomcat可能用的不是你导入证书的那个JRE，或者配置了自定义信任库。

• 先检查Tomcat启动脚本（catalina.sh/catalina.bat）里的JAVA_HOME环境变量，确认指向的是你导入证书的JRE路径；
• 如果不确定，直接给Tomcat指定信任库参数，在启动脚本里添加：

  # Linux/macOS
  CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.ssl.trustStore=/path/to/your/cacerts -Djavax.net.ssl.trustStorePassword=changeit"
  
  # Windows
  set CATALINA_OPTS=%CATALINA_OPTS% -Djavax.net.ssl.trustStore=C:\path\to\your\cacerts -Djavax.net.ssl.trustStorePassword=changeit
  

• 启动Tomcat后，你可以通过进程查看工具（比如Linux的ps aux | grep tomcat）确认这些参数是否生效。

2. 验证证书导入的完整性和正确性 #

证书导入过程中很容易出现只导入服务器证书、没导入完整链，或者别名冲突的问题：

• 先查看密钥库里的证书列表，确认CAS相关证书存在：

  keytool -list -v -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
  

  搜索你的CAS证书别名（比如cas-server），看是否存在且状态正常；
• 如果是自签名证书，重新导入的正确步骤：
  1. 先导出CAS服务器的证书：

     openssl s_client -connect localhost:8090 < /dev/null | sed -ne '/-BEGIN CERTIFICATE-/,/-END CERTIFICATE-/p' > cas.crt
     

  2. 导入到JVM信任库：

     keytool -importcert -file cas.crt -alias cas-server -keystore $JAVA_HOME/jre/lib/security/cacerts -storepass changeit
     

     注意导入时要输入yes确认信任该证书；
• 如果是CA签发的证书，要确保导入了根CA证书和所有中间CA证书，否则证书链不完整会导致验证失败。

3. 检查CAS服务器的SSL配置 #

有时候问题出在CAS服务器端，比如它的证书链不完整：

• 用浏览器访问CAS的HTTPS地址（https://localhost:8090/cas-server-webapp-4.0.0），点击地址栏的锁图标查看证书详情，确认证书链是完整的（从服务器证书到根CA都存在）；
• 如果浏览器也提示证书不安全，那需要先修复CAS服务器的SSL配置，确保它能返回完整的证书链。

4. 启用SSL调试日志定位具体问题 #

如果上面的步骤都没解决，就开启详细的SSL调试日志，看看握手过程中到底哪里出了问题：

• 在Tomcat启动参数里添加：

  CATALINA_OPTS="$CATALINA_OPTS -Djavax.net.debug=ssl:handshake:verbose"
  

• 重启Tomcat后，查看日志文件，你会看到SSL握手的每一步细节，比如哪个证书不被信任、缺少哪个证书链环节，根据日志就能精准定位问题。

内容的提问来源于stack exchange，提问作者InfZero