보안 포트에 연결하는 동안 javax.net.ssl.SSLHandshakeException : java.security.cert.CertificateException이 발생했습니다.

Question

내 서버 중 하나가 보안 포트에 연결하려고 시도 할 때 SSL 예외가 발생합니다. 내가 추가해야 할 다른 설정이 있습니까

<keyStore id="defaultKeyStore" location="/root/ssl/bmx-zuu.net.jks" password="passw0rd" /> 

추가 한 server.xml의

-Djavax.net.ssl.trustStore=/home/rpp/TrustStore 
-Djavax.net.ssl.trustStorePassword=passw0rd 
-Djavax.net.ssl.trustStoreType=jks 

:

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: PKIXCertPathBuilderImpl could not build a valid CertPath. java.security.cert.CertificateException: PKIXCertPathBuilderImpl could not build a valid CertPath. PKIXCertPathBuilderImpl could not build a valid CertPath 

나는 jvm.options의 신뢰 저장소를 설정?

Answer 1

다음과 같이 Liberty에서 SSL 구성을 정의하려고 할 수 있습니다. Keystore는 위에서 정의한대로 정확하게 정의되지만 server.xml에 TrustStore를 추가합니다. TrustStore.jks에는 서버와의 신뢰를 설정하는 서명자 인증서가 있다고 가정합니다.

<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef=“myTrustStore"/> 
     <<keyStore id="defaultKeyStore" location="/root/ssl/bmx-zuu.net.jks" password="passw0rd" /> 
     <keyStore id=“myTrustStore" location="${server.config.dir}/TrustStore.jks" password="mypassword" type="JKS"/> 

Answer 2

한번에 출력에서 ​​

openssl s_client -connect <hostname>:<portnumber> -showcerts 

봐를 사용하고 인증서의 주체와 발행자가 무엇인지를 결정합니다.

인증서 발급자가 TrustStore 파일에 있는지 확인하십시오.

중간 CA에서 발급 한 경우 서버는 발급 체인을 경로의 루트까지 표시해야합니다 (루트 CA는 적음). 트러스트 스토어에는 루트 CA 인증서가 있어야합니다.