我们在 WebSphere Liberty Profile 应用程序中使用 JAX-RS 2.0 客户机来调用外部服务。它在带有Java 8.0的WLP 16.0.0.4上运行良好。当我尝试在 17.0.0.4 上运行相同的应用程序时,我们在信任库上收到证书错误。
经过大量的试验和错误,WLP 似乎不再从以下属性加载信任库(这是来自我的jvm.options文件):
-Djavax.net.ssl.trustStore=../../shared/resources/security/trust_yourIBM_TEST.jks
上述方法在 16.0.0.4 中有效,但javax.net.ssl.trustStore属性不再用于指向信任库(如果我将属性指向 16.0.0.4 中丢失的文件,则会出现找不到该文件的错误,但在 17.0.0.4 中,我没有收到错误)。所以我添加了以下内容:
-Djavax.net.ssl.trustStore=../../shared/resources/security/trust_yourIBM_TEST.jks
-Dcom.ibm.ssl.trustStore=../../shared/resources/security/trust_yourIBM_TEST.jks
这仍然不起作用。我在任何地方都找不到 WLP 发行说明来解释 JAX-RS 在 WLP 17.x 中的行为不同。
有谁知道我如何指向 WLP 17.0.0.4 中的信任库?
====
============================================更新 #1 - 2018/01/24
我正在使用完全相同的 JDK、server.xml、bootstrap.properties和jvm.options文件,以及相同的应用程序文件。唯一的区别是 WLP 实例。我还对默认信任库使用相同的条目,它指向与我在上面粘贴的jvm.properties中指向的相同文件。以下是启动日志条目:
17.0.0.4
product = WebSphere Application Server 17.0.0.4 (wlp-1.0.19.201712061531)
wlp.install.dir = C:/IBM/WLP_17.0.0.4/
java.home = C:IBMJava80jre
java.version = 1.8.0_151
java.runtime = Java(TM) SE Runtime Environment (8.0.5.7 - pwa6480sr5fp7-20171216_01(SR5 FP7))
16.0.0.4
product = WebSphere Application Server 16.0.0.4 (wlp-1.0.15.cl160420161113-0206)
wlp.install.dir = C:/IBM/WLP_16.0.0.4/
java.home = C:IBMJava80jre
java.version = 1.8.0_151
java.runtime = Java(TM) SE Runtime Environment (8.0.5.7 - pwa6480sr5fp7-20171216_01(SR5 FP7))
这是我在 16.0.0.4 中将信任库更改为不存在的文件时遇到的错误:
[1/24/18 10:50:06:025 EST] 0000006e id= uribm.services.expensesaggregator.ejb.ExpensesEjbCommonUtils E callUnifiedProfile() Exception has occurred Exception encountered during call to UP: javax.ws.rs.ProcessingException: javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking https://w3-services1.w3-969.ibm.com/myw3/unified-profile/v1/docs/instances/masterByEmail?email=dlwester%40us.ibm.com: java.security.cert.CertificateException: No X509TrustManager implementation available for [userId=dlwester@us.ibm.com] : javax.net.ssl.SSLHandshakeException: SSLHandshakeException invoking https://w3-services1.w3-969.ibm.com/myw3/unified-profile/v1/docs/instances/masterByEmail?email=dlwester%40us.ibm.com: java.security.cert.CertificateException: No X509TrustManager implementation available
以下是我的密钥库/信任库条目(信任库指向与jvm.options相同的文件):
<!-- default keystore -->
<keyStore id="defaultKeyStore"
location="${keystoreLocation}"
password="${keystorePassword}" />
<!-- default truststore -->
<keyStore id="defaultTrustStore"
location="${truststoreLocation}"
password="${truststorePassword}" />
<ssl id="sslConfig"
keyStoreRef="defaultKeyStore"
trustStoreRef="defaultTrustStore"
sslProtocol="SSL_TLSv2"
serverKeyAlias="${serverKeyAlias}" />
====
============更新 #2
我将transportSecurity-1.0功能添加到 WLP,现在如果我指向不存在的文件,我会在 17.0.0.4 中收到错误。如果我指向正确的信任库文件,我现在会收到不同的错误:
[1/24/18 12:03:19:905 EST] 0000003d id= com.ibm.w3.security.tai.OAuthDownStreamTAI E getSslSocketFactoryWithTrustStore() exception encountered on sslContext.init() for truststore C:/IBM/WLP_17.0.0.4/usr/shared/resources//security/trust_yourIBM_TEST.jks - java.security.KeyManagementException: Default SSLContext is initialized automatically
我需要调查此错误。
> Alaine 引导我朝着正确的方向前进,所以这个答案归功于他!
幸运的是,这个问题的解决方案并不复杂。我不得不使用 WLP 功能transportSecurity-1.0而不是ssl-1.0.
我必须在server.xml将以下内容添加到我的 SSL 配置中:
<sslDefault sslRef="sslConfig" />
我也遇到了我们的 TAI for OIDC 问题。我不得不替换以下语句:
SSLContext sslContext = SSLContext.getDefault();
跟:
SSLContext sslContext = SSLContext.getInstance("TLSv1.2");
简而言之,问题是默认的SSL配置是不可变的,因此您必须确保创建自己的配置来覆盖它,而不是更改它。