Проблема с www.google.com SSL-сертификатом в WebSphere 6.1

Я добавляю Google reCaptcha v3 в свое приложение J2EE, которое работает под управлением WebSphere 6.1. (Я знаю, он больше не поддерживается. Обновление программного обеспечения уже запланировано, но не сразу.)

Я выполнил следующие действия, чтобы добавить сертификат www.google.com:443 в NodeDefaultTrustStore WebSphere, и после перезапуска WebSphere сертификат SSL не принимается без проблем. Мой код сервлета, который выполняет логику проверки reCaptcha, работает нормально, и все хорошо.

Однако на следующий день импортированный сертификат больше не принимается. Когда я импортирую его снова, я вижу, что Отпечаток пальца (дайджест SHA) отличается от предыдущего дня. Похоже, Google меняет свой сертификат SSL на ежедневной основе. Это правда? Если да, то как мне обойти эту проблему в WebSphere?

CWPKI0428I: Возможно, подписывающее лицо необходимо добавить в локальное хранилище доверенных сертификатов. Вы можете использовать опцию Извлечь из порта в административной консоли, чтобы получить сертификат и решить проблему. Если вы определили, что запрос является доверенным, выполните следующие действия:

  1. Войдите в административную консоль.

  2. Разверните Безопасность и нажмите SSL сертификат и управление ключами. В разделе "Параметры конфигурации" выберите "Управление конфигурациями безопасности конечных точек".

  3. Выберите соответствующую исходящую конфигурацию, чтобы попасть в (ячейку):ServerNode01Cell:(узел): область управления ServerNode01.

  4. В разделе "Связанные элементы" выберите Хранилища ключей и сертификаты и щелкните Хранилище ключей NodeDefaultTrustStore.

  5. В разделе "Дополнительные свойства" выберите "Сертификаты подписавшего" и "Извлечь из порта".

  6. В поле Хост введите www.google.com в поле имени хоста, введите 443 в поле Порт и www.google.com_cert в поле Псевдоним.

  7. Нажмите Получить информацию о подписавшем.

  8. Убедитесь, что информация о сертификате относится к сертификату, которому вы можете доверять.

  9. Нажмите Применить и Сохранить.

1 ответ

"Получить из порта" добавляет лист сертификата. Чтобы сделать что-то более надежное, доверяйте эмитенту. Текущим эмитентом для является GlobalSign root CA R2, который можно получить по https://pki.goog/ (GS Root R2)

К сожалению, трудно захватить корневой ЦС с помощью таких инструментов, как "извлечение из порта", потому что многие наборы инструментов SSL не отправляют корневой ЦС по проводам во время рукопожатия - потому что клиент уже должен иметь его.

Вот подход для WebSphere Liberty, который может работать для 6.1, я не пробовал.

https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.wlp.doc/ae/twlp_add_trust_cert.html

Используйте метод openssl, но возьмите -second- сертификат в списке (срок действия которого не истекает до 2021 года).

Другие вопросы по тегам