javax.net.ssl.SSLHandshakeException：セキュアポートに接続中のjava.security.cert.CertificateException

Question

私のサーバーの1つがセキュアポートに接続しようとすると、SSL例外が発生します。私は追加する必要があり、他の設定がある

<keyStore id="defaultKeyStore" location="/root/ssl/bmx-zuu.net.jks" password="passw0rd" /> 

追加したserver.xmlの

-Djavax.net.ssl.trustStore=/home/rpp/TrustStore 
-Djavax.net.ssl.trustStorePassword=passw0rd 
-Djavax.net.ssl.trustStoreType=jks 

：

javax.net.ssl.SSLHandshakeException: java.security.cert.CertificateException: PKIXCertPathBuilderImpl could not build a valid CertPath. java.security.cert.CertificateException: PKIXCertPathBuilderImpl could not build a valid CertPath. PKIXCertPathBuilderImpl could not build a valid CertPath 

私はjvm.optionsでトラストストアを設定していますか？

Answer 1

以下のようにLibertyでSSL設定を定義してみてください。キーストアは上記の定義どおりに定義されていますが、server.xmlにTrustStoreを追加します。 TrustStore.jksには、サーバーとの信頼関係を確立するための署名者証明書があると仮定しています。

<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef=“myTrustStore"/> 
     <<keyStore id="defaultKeyStore" location="/root/ssl/bmx-zuu.net.jks" password="passw0rd" /> 
     <keyStore id=“myTrustStore" location="${server.config.dir}/TrustStore.jks" password="mypassword" type="JKS"/> 

Answer 2

は、出力での

openssl s_client -connect <hostname>:<portnumber> -showcerts 

ルックを使って試してみて、証明書のサブジェクトと発行者が何であるかを判断します。

証明書の発行者がTrustStoreファイルにあることを確認します。

これが中間CAから発行された場合、サーバーはパスのルート（ルートCA未満）まで発行チェーンを提示する必要があります。トラストストアにルートCA証明書が含まれている必要があります。