Zertifikat als nicht vertrauenswürdig Websphere

Ich habe eine web-Anwendung, die zum Aufruf eines SOAP-Web-service mittels SSL abgesichert .(https://zzzzzzzzzzzz/xxxxx).

Den server senden zwei Zertifikate (Wurzel und Blatt), so dass ich den import der beiden Zertifikat mit der Eigenschaft : com.ibm.websphere.ssl.retrieveLeafCert .

Zum aktivieren der ssl-Validierung für websphere ich nur hinzufügen, dass die Zertifikate In websphere :

SSL certificate and key management -> Schlüssel speichert und Zertifikat -> NodeDefaultTrustStore -> Signer cerificates -> " Retrieve from port :

  • host : hostname
  • port : 443
  • alias : alias

Das problem ist, dass webshphere das Zertifikat nicht an und geben mir einen stacktrace, 

used by: javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking `https://------------------------------` : com.ibm.jsse2.util.j: PKIX path building failed: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl could not build a valid CertPath.; internal cause is: 
    java.security.cert.CertPathValidatorException: T`he certificate issued by CN=-------------------------------------------------------------------- is not trusted`; internal cause is: 
    java.security.cert.CertPathValidatorException: Certificate chaining error
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) ~[na:1.6.0]
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:56) ~[na:1.6.0]
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:39) ~[na:1.6.0]
    at java.lang.reflect.Constructor.newInstance(Constructor.java:527) ~[na:1.6.0]
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.mapException(HTTPConduit.java:1338) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1322) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.AbstractConduit.close(AbstractConduit.java:56) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.HTTPConduit.close(HTTPConduit.java:622) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.interceptor.MessageSenderInterceptor$MessageSenderEndingInterceptor.handleMessage(MessageSenderInterceptor.java:62) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.phase.PhaseInterceptorChain.doIntercept(PhaseInterceptorChain.java:271) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.endpoint.ClientImpl.doInvoke(ClientImpl.java:530) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:463) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:366) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.endpoint.ClientImpl.invoke(ClientImpl.java:319) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.endpoint.ClientImpl.invokeWrapped(ClientImpl.java:354) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.jaxws.DispatchImpl.invoke(DispatchImpl.java:385) ~[cxf-rt-frontend-jaxws-2.7.4.jar:2.7.4]
    ... 100 common frames omitted
`Caused by: javax.net.ssl.SSLHandshakeException`: com.ibm.jsse2.util.j: PKIX path building failed: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl could not build a valid CertPath.; internal cause is: 
    java.security.cert.CertPathValidatorException: `The certificate issued by CN=--------------------------------------------------------- is not trusted`; internal cause is: 
    java.security.cert.CertPathValidatorException: Certificate chaining error
    at com.ibm.jsse2.o.a(o.java:8) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:549) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.kb.a(kb.java:355) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.kb.a(kb.java:130) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.lb.a(lb.java:135) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.lb.a(lb.java:368) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.kb.s(kb.java:442) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.kb.a(kb.java:136) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:495) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.SSLSocketImpl.h(SSLSocketImpl.java:223) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.SSLSocketImpl.a(SSLSocketImpl.java:724) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.SSLSocketImpl.startHandshake(SSLSocketImpl.java:81) ~[na:6.0 build_20130515]
    at com.ibm.net.ssl.www2.protocol.https.c.afterConnect(c.java:8) ~[na:6.0 build_20130515]
    at com.ibm.net.ssl.www2.protocol.https.d.connect(d.java:20) ~[na:6.0 build_20130515]
    at sun.net.www.protocol.http.HttpURLConnection.getOutputStream(HttpURLConnection.java:1043) ~[na:1.6.0]
    at com.ibm.net.ssl.www2.protocol.https.b.getOutputStream(b.java:85) ~[na:6.0 build_20130515]
    at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.setupWrappedStream(URLConnectionHTTPConduit.java:168) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.handleHeadersTrustCaching(HTTPConduit.java:1282) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.onFirstWrite(HTTPConduit.java:1233) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.URLConnectionHTTPConduit$URLConnectionWrappedOutputStream.onFirstWrite(URLConnectionHTTPConduit.java:195) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    at org.apache.cxf.io.AbstractWrappedOutputStream.write(AbstractWrappedOutputStream.java:47) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.io.AbstractThresholdOutputStream.write(AbstractThresholdOutputStream.java:69) ~[cxf-api-2.7.4.jar:2.7.4]
    at org.apache.cxf.transport.http.HTTPConduit$WrappedOutputStream.close(HTTPConduit.java:1295) ~[cxf-rt-transports-http-2.7.4.jar:2.7.4]
    ... 110 common frames omitted
`Caused by: com.ibm.jsse2.util.j: PKIX path building failed:` java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl could not build a valid CertPath.; internal cause is: 
    java.security.cert.CertPathValidatorException: T`he certificate issued by CN=--------------------------------------------  is not trusted`; internal cause is: 
    java.security.cert.CertPathValidatorException: Certificate chaining error
    at com.ibm.jsse2.util.h.b(h.java:39) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.util.h.b(h.java:21) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.util.g.a(g.java:1) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.pc.a(pc.java:36) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.pc.checkServerTrusted(pc.java:19) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.pc.b(pc.java:51) ~[na:6.0 build_20130515]
    at com.ibm.jsse2.lb.a(lb.java:65) ~[na:6.0 build_20130515]
    ... 128 common frames omitted
Caused by: java.security.cert.CertPathBuilderException: PKIXCertPathBuilderImpl could not build a valid CertPath.
    at com.ibm.security.cert.PKIXCertPathBuilderImpl.engineBuild(PKIXCertPathBuilderImpl.java:411) ~[na:na]
    at java.security.cert.CertPathBuilder.build(CertPathBuilder.java:258) ~[na:na]
    at com.ibm.jsse2.util.h.b(h.java:107) ~[na:6.0 build_20130515]
    ... 134 common frames omitted
Caused by: java.security.cert.CertPathValidatorException: The certificate issued by CN=-------------------------------------------------------
    at com.ibm.security.cert.BasicChecker.<init>(BasicChecker.java:111) ~[na:na]
    at com.ibm.security.cert.PKIXCertPathValidatorImpl.engineValidate(PKIXCertPathValidatorImpl.java:178) ~[na:na]
    at com.ibm.security.cert.PKIXCertPathBuilderImpl.myValidator(PKIXCertPathBuilderImpl.java:737) ~[na:na]
    at com.ibm.security.cert.PKIXCertPathBuilderImpl.buildCertPath(PKIXCertPathBuilderImpl.java:649) ~[na:na]
    at com.ibm.security.cert.PKIXCertPathBuilderImpl.buildCertPath(PKIXCertPathBuilderImpl.java:595) ~[na:na]
    at com.ibm.security.cert.PKIXCertPathBuilderImpl.engineBuild(PKIXCertPathBuilderImpl.java:357) ~[na:na]
    ... 136 common frames omitted
Caused by: java.security.cert.CertPathValidatorException: Certificate chaining error
    at com.ibm.security.cert.CertPathUtil.findIssuer(CertPathUtil.java:298) ~[na:na]
    at com.ibm.security.cert.BasicChecker.<init>(BasicChecker.java:108) ~[na:na]
    ... 141 common frames omitted

Den gleichen code ist getestet in meinem lokalen Umwelt mit der einfachen Benutzung von Installcert.java und laufen meine tests mit -Djavax.net.ssl.trustStore=jssecacerts (jssecacerts ist die Datei generiert InstallCert.java).

InformationsquelleAutor Nabil | 2014-01-24
  1. 11

    Danke für die obige Antwort. In der Lage, das Problem zu beheben java.Sicherheit.cert.CertPathValidatorException: Zertifikat chaining Fehler mit der folgenden Konfiguration.

    1. Gefunden, dass die folgenden javax Eigenschaften zurückgegebene Wert null in der WebSphere.
      • javax.net.ssl.trustStore,
      • javax.net.ssl.trustStorePassword
      • javax.net.ssl.trustStoreType

    Für weitere Einzelheiten sehen Sie bitte diesen link,

    java - Pfad zum trustStore - set-Eigenschaft funktioniert nicht?

    1. Konfiguriert die Eigenschaften wie unten in der WebSphere

      Server auswählen > Application-Server > ServerName > Prozess-Definition > Java Virtual Machine > Benutzerdefinierte Eigenschaften - > Neue.

    a) javax.net.ssl.trustStore = jre_install_dir\lib\security\cacerts

    Beispiel: C:\Program Files\WebSphere\AppServer\java\jre\lib\security\cacerts

    b) javax.net.ssl.trustStorePassword = changeit (Standard)

    c) javax.net.ssl.trustStoreType = jks

    Für weitere Einzelheiten sehen Sie bitte diesen link,

    http://publib.boulder.ibm.com/infocenter/tivihelp/v2r1/index.jsp?topic=%2Fcom.ibm.isim.doc_6.0%2Finstalling%2Ftsk%2Ftsk_ic_ins_first_security_truststore.htm

    Nachdem die Konfiguration war in der Lage, um zu sehen, in die Protokolle, die Zertifikate, die Hinzugefügt wird, um den trust store.

    Dank,
    Uday Nilajkar

    • Danke 🙂 das hat mir sehr geholfen 🙂
    • Danke das war mein problem auch. Ich hatte alle Zertifikate im Vertrauen.p12-aber Handschlag war immer noch nicht. Musste diese manuell hinzufügen Eigenschaften.
    InformationsquelleAutor user3458628
  2. 3

    Ich Teste Millionen websphere-Konfiguration .

    Das einzige Verfahren, dass die Arbeit ist die Beschreibung in diesem link :

    http://blog.xebia.com/2012/10/01/mutual-ssl-authentication-using-websphere-application-server-and-cxf/

    Durch die Definition der cxf intercpter : 

    <cxf:bus>
 <cxf:outInterceptors>
   <bean class="---------------------.WebsphereSslOutInterceptor" />
</cxf:outInterceptors>
</cxf:bus>

    Weitere details finden Sie bitte unter :

    https://github.com/vlussenburg/websphere-cxf-extensions#websphere-cxf-extensions

    Vielen Dank für Ihre Hilfe Jungs .

    • erste link ist kaputt 🙁
    InformationsquelleAutor Nabil
  3. 0

    Sollten Sie alle Zertifikats-Kette in Ihrer Konfiguration. In der Regel Zertifikat hat zumindest root-certificate of Authorization Center oder eine Kette ähnlich wie Zertifikate.

    WAR erfordert signiertes Zertifikat standardmäßig.

    • Vielen Dank für Ihre Antwort , Können Sie mehr exaplanation . Wenn ich Installcert in meinem lokalen env der server mir zwei Zertifikat (Wurzel und Blatt) ich Importiere die zwei-Zertifikat in der NodetrustedStore
    • was sind Sie recommanding mich ?
    • die wichtigste Frage ist anders: Ist Ihr vertrauenswürdiges Zertifikat oder selbst unterzeichnete? Da WAR verlangen, nur von vertrauenswürdigen Zertifikaten für die SSL standardmäßig aktiviert.
    • publib.boulder.ibm.com/infocenter/dmndhelp/v6r2mx/...
    • www-01.ibm.com/support/docview.wss?uid=swg21369939
    • Meine Zertifikate vertrauenswürdig sind . Keine Möglichkeit, die ich bereits sehen, dass die beiden urls und diese nicht lösen, mein problem . Ich habe immer die gleiche Ausnahme was auch immer Konfiguration, die ich
    • Haben Sie gesehen, diese Lösung: portal2portal.blogspot.com/2012/12/...
    • Ähnliche Frage: stackoverflow.com/questions/15928829/...
    • Testen werde ich dies morgen wieder zu Euch , Danke für Eure Hilfe

    InformationsquelleAutor Anton Novopashin
  4. 0

    Hier das problem, dass der Pfad des Zertifikats-generator (Ein Teil der Java-Cert Pfad API) nicht bauen kann, die Zertifikat-Kette während des SSL-Handshakes. Während des handshake das SSL-peer host senden Sie Ihr Zertifikat (Identität) an den client, um den client zu Vertrauen, dass bestimmtes Zertifikat eine Kette von Vertrauen muss aufgebaut werden, auf der client-Seite, dass das, was passiert, wenn Sie den Fehler. Das problem hier ist, dass die Kette des Vertrauens kann nicht erstellt werden, da fehlen dir entweder die Unterzeichner-Zertifikat und/oder das root-Zertifikat in Ihrem truststore (trust anchor).

    Beachten Sie, dass die PKIX trustmanager führt einen "Umfang des Vertrauens" Validierung was bedeutet, dass Sie nicht brauchen eine vollständige Zertifikatkette auf der client-Seite zu erfüllen, die Vertrauensstellung mit der SSL-peer, Sie brauchen nur das signer - /intermediate-Zertifikate in Ihrem truststore. In der Tat, wenn Sie sollten das Blatt Zertifikat in der truststore -, sollte das auch machen Dinge, die funktionieren, da die Staaten, die Sie haben ausdrückliche Vertrauen, dass der betreffende Zertifikat und ein Zertifikat-chain-Validierung ist nicht erforderlich.

    • könnten Sie bitte erläutern, wie kann ich importieren leaf-Zertifikat?
    • Eine Möglichkeit ist, öffnen Sie den Speicherort der peer-host (URL) von einem web-browser und überprüfen Sie die Verbindung und die peer verwendete Zertifikat für die Verbindung und wählen Sie "Datei speichern", um speichern Sie das Zertifikat auf Ihrem lokalen Rechner. Dann können Sie verwenden einige Tools, d.h. javas keytool oder IBMs iKeyMan für den import in Ihren lokalen Schlüsselspeicher.
    InformationsquelleAutor Robert Höglund
  5. 0

    Vielleicht sollten Sie sich die folgenden technote.

    Wenn Sie bei einem bestimmten Fixpack-level Sie können den Wert com.ibm.websphere.ssl.retrieveLeafCert zu wahr und erhalten das Blatt Zertifikat, wenn Abrufen von Port.

    • Ich schon tun , ich füge das root-Zertifikat und das Blatt Zertifikat zu . Das problem untersuche ich den Inhalt des Zertifikats mit IkeyMan und ich fand exactelly den gleichen Inhalt wie mein lokales Zertifikat, das funktioniert, wenn ich versuche, führen mein Ruf in meinem Lokalen Env Outisde websphere
    InformationsquelleAutor trikelef
  6. 0

    Hier sind die Schritte, um ein Zertifikat importieren, um die JVM für eine HTTPS WS-Aufruf:

    A) Erhalten Sie das Zertifikat Importiert werden

    1. Jeder browser zeigt die Zertifikate in unterschiedlicher Weise, aber normalerweise sind Sie ziemlich ähnlich. Auf der browser-URL-bar, es ist in der Regel eine zone, die Sie anklicken können, um anzuzeigen, SSL Zertifikat-Informationen. Zum Beispiel, sehen Sie möglicherweise ein Vorhängeschloss in der status-Leiste, und klicken auf das Vorhängeschloss öffnet sich der Zertifikat-Informationen. Sobald die Zertifikat-Informationen wird geöffnet, klicken Sie auf die "Certification Path" - Informationen. Es ist in der Regel eine Möglichkeit zum export von einzelnen signing-Zertifikate (trusted roots). Exportieren Sie die Zertifizierer in der "Base-64-codiert X. 509 (.CER)" - format. Die exportierte Datei in diesem format wird eine ASCII-text-Datei, "BEGIN CERTIFICATE" und "END CERTIFICATE" - Zeilen am oberen und unteren Rand. Sobald Sie exportiert haben, die Zertifikate, die das Zertifikat des remote-server-SSL-Zertifikat können Sie dann importieren Sie Sie in die JVM.

    B) Importieren Sie das Zertifikat

    1. Starten Sie das Dienstprogramm ikeyman. Das Dienstprogramm (ikeyman.Fledermaus oder ikeyman.sh) ist in der WAS_HOME\bin.
    2. Aus der Schlüssel-Datenbank im Menü Datei, wählen Sie Öffnen.
    3. In der Schlüssel-Datenbank-Typ die Option JKS.
    4. In das Feld Dateiname ein, geben Sie cacerts.
    5. In das Feld für den Speicherort geben Sie WAS_HOME\java\jre\lib\security.
    6. In der Kennwort-Eingabeaufforderung Fenster, geben Sie das Kennwort für den Schlüsselspeicher in Passwort ein und Bestätigen Sie Passwort-Fenster. Das Standardkennwort lautet changeit.
      Klicken Sie auf OK.
    7. Fügen Sie das Zertifikat, das Sie erstellt für den LDAP-server in dieses Zertifikat zu speichern.
    8. Sie im Hauptfenster im Bereich "Key database content wählen Sie" Signer-Zertifikate " aus der Liste.
      Klicken Sie Auf Hinzufügen.
    9. In das Zertifikat Feld Dateiname, durchsuchen, und suchen Sie die server-Zertifikat-Datei, die erstellt wurde für den LDAP-server, die in Binären Der Daten. Stellen Sie sicher, dass das entsprechende Verzeichnis angezeigt wird, in das Feld Ort ein.
      Klicken Sie auf OK.
    10. In der Eingabeaufforderung, geben Sie eine Bezeichnung für das Zertifikat. Zum Beispiel, geben Sie LDAPCA.
      Klicken Sie auf OK.
    InformationsquelleAutor edubriguenti
Schreibe einen Kommentar