Jenkins 节点连接故障定位及解决方案总结 - PKIX path validation failed

一、故障现象

Jenkins 节点通过 Java Web 方式连接时，报错：

java.io.IOException: Failed to connect to https://xxxx.zte.com.cn/yyyy/tcpSlaveAgentListener/: PKIX path validation failed: java.security.cert.CertPathValidatorException: validity check failed

二、故障定位及解决方案

1. 证书有效性验证失败

原因：Java 客户端无法验证 Jenkins 服务器的 SSL 证书，常见于以下情况：

• 证书已过期。
• 系统时间不正确导致证书有效期校验失败。
• 自签名证书未被信任。
• 证书链不完整（缺少中间证书）。

解决方案：

(1) 检查证书有效期

# 使用 openssl 检查证书有效期
openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn | openssl x509 -noout -dates

• 证书过期：需在服务器端更新证书（如 Let’s Encrypt 证书需续订）。
• 证书未过期：继续排查其他原因。

(2) 检查系统时间

系统时间不正确会导致证书有效期校验失败，需同步客户端和服务器时间。

2. 系统时间同步（重点细化）

(1) 查看当前时间

# 查看系统时间
date

# 查看硬件时钟时间（BIOS 时间）
sudo hwclock --show

(2) 手动设置系统时间（临时方案）

仅用于紧急修复，长期建议使用 NTP 服务。

# 设置系统时间为 2024-01-01 12:00:00（示例）
sudo date -s "2024-01-01 12:00:00"

# 验证系统时间是否已更新
date

(3) 同步系统时间到硬件时钟

确保重启后时间持久化。

# 将系统时间写入硬件时钟
sudo hwclock --systohc

# 验证硬件时钟时间
sudo hwclock --show

(4) 配置 NTP 服务（长期方案）

# Ubuntu/Debian
sudo apt install ntpdate -y
sudo ntpdate pool.ntp.org
sudo systemctl start systemd-timesyncd
sudo systemctl enable systemd-timesyncd

# CentOS/RHEL
sudo yum install ntp -y
sudo ntpdate pool.ntp.org
sudo systemctl start chronyd
sudo systemctl enable chronyd

(3) 导入证书到 Java 信任库

适用于自签名证书或内部 CA 签发的证书。

(1) 导出服务器证书

openssl s_client -connect xxxx.zte.com.cn:443 -servername xxxx.zte.com.cn </dev/null | openssl x509 -out jenkins-cert.pem

(2) 查找 Java 信任库路径

# 默认路径（根据实际安装位置调整）
sudo find / -name "cacerts" 2>/dev/null

(3) 导入证书到信任库

# 导入证书（默认密码：changeit）
sudo keytool -import -alias jenkins-cert -keystore /path/to/java/lib/security/cacerts -file jenkins-cert.pem

• 输入 yes 确认信任证书。

(4) 重启 Jenkins 节点

# 重启 Jenkins 服务或节点进程
sudo systemctl restart jenkins

(4) 检查证书链完整性

确保服务器配置了完整的证书链（包括中间证书）。

openssl s_client -connect xxxx.zte.com.cn:443 -showcerts

• 证书链缺失：在服务器（如 Nginx/Apache）配置中补充中间证书。

三、验证故障是否解决

1. 查看 Jenkins 节点日志：

tail -f /var/log/jenkins/jenkins.log

2. 手动触发节点连接：
   • 在 Jenkins Web 界面中，进入 节点管理 → 目标节点 → 启动代理。

四、注意事项

1. 手动设置时间仅为临时方案，长期需通过 NTP 服务同步时间，避免时间漂移。
2. 自签名证书需定期更新，并在 Java 信任库中同步更新。
3. 生产环境禁用临时证书验证方案（如跳过 SSL 校验），避免安全风险。

五、总结流程图

1. 证书有效性验证失败
   ├─ 检查证书是否过期 → 是：更新证书 → 结束
   ├─ 检查系统时间 → 不正确：同步时间（手动或 NTP） → 重新验证
   ├─ 导入证书到 Java 信任库 → 重新启动节点 → 验证连接
   └─ 检查证书链完整性 → 补充中间证书 → 重新验证

通过以上步骤，可系统化定位并解决 Jenkins 节点连接时的 SSL 证书验证失败问题。