Проблема с www.google.com SSL-сертификатом в WebSphere 6.1
Я добавляю Google reCaptcha v3 в свое приложение J2EE, которое работает под управлением WebSphere 6.1. (Я знаю, он больше не поддерживается. Обновление программного обеспечения уже запланировано, но не сразу.)
Я выполнил следующие действия, чтобы добавить сертификат www.google.com:443 в NodeDefaultTrustStore WebSphere, и после перезапуска WebSphere сертификат SSL не принимается без проблем. Мой код сервлета, который выполняет логику проверки reCaptcha, работает нормально, и все хорошо.
Однако на следующий день импортированный сертификат больше не принимается. Когда я импортирую его снова, я вижу, что Отпечаток пальца (дайджест SHA) отличается от предыдущего дня. Похоже, Google меняет свой сертификат SSL на ежедневной основе. Это правда? Если да, то как мне обойти эту проблему в WebSphere?
CWPKI0428I: Возможно, подписывающее лицо необходимо добавить в локальное хранилище доверенных сертификатов. Вы можете использовать опцию Извлечь из порта в административной консоли, чтобы получить сертификат и решить проблему. Если вы определили, что запрос является доверенным, выполните следующие действия:
Войдите в административную консоль.
Разверните Безопасность и нажмите SSL сертификат и управление ключами. В разделе "Параметры конфигурации" выберите "Управление конфигурациями безопасности конечных точек".
Выберите соответствующую исходящую конфигурацию, чтобы попасть в (ячейку):ServerNode01Cell:(узел): область управления ServerNode01.
В разделе "Связанные элементы" выберите Хранилища ключей и сертификаты и щелкните Хранилище ключей NodeDefaultTrustStore.
В разделе "Дополнительные свойства" выберите "Сертификаты подписавшего" и "Извлечь из порта".
В поле Хост введите www.google.com в поле имени хоста, введите 443 в поле Порт и www.google.com_cert в поле Псевдоним.
Нажмите Получить информацию о подписавшем.
Убедитесь, что информация о сертификате относится к сертификату, которому вы можете доверять.
Нажмите Применить и Сохранить.
1 ответ
"Получить из порта" добавляет лист сертификата. Чтобы сделать что-то более надежное, доверяйте эмитенту. Текущим эмитентом для является GlobalSign root CA R2, который можно получить по https://pki.goog/ (GS Root R2)
К сожалению, трудно захватить корневой ЦС с помощью таких инструментов, как "извлечение из порта", потому что многие наборы инструментов SSL не отправляют корневой ЦС по проводам во время рукопожатия - потому что клиент уже должен иметь его.
Вот подход для WebSphere Liberty, который может работать для 6.1, я не пробовал.
Используйте метод openssl, но возьмите -second- сертификат в списке (срок действия которого не истекает до 2021 года).