文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
社区首页 >问答首页 >内部CA的PKIX路径构建

内部CA的PKIX路径构建
EN

Stack Overflow用户
提问于 2014-08-29 21:19:58
回答 1查看 51关注 0票数 1

我试图在Tomcat中正确地连接几个应用程序,但我得到了以下内容。

代码语言:javascript
复制
Invalid response from getting the pageId: javax.net.ssl.SSLHandshakeException: 
sun.security.validator.ValidatorException: PKIX path building failed: 
    sun.security.provider.certpath.SunCertPathBuilderException: 
    unable to find valid certification path to requested target

在过去,我使用内部CA来解决这个问题,没有问题。

我当前的server.xml如下所示:

代码语言:javascript
复制
  <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
             ....
             keystoreFile="/jira-home/jira.example.org.p12"
             keystorePass="xxx"
             keystoreType="pkcs12"
             keyAlias="jira.example.org"
             truststoreFile="/jira-home/jira.example.org.p12"
             truststoreType="pkcs12"
             truststorePass="xxx"
             />

我还验证了Java可执行文件的命令行参数没有覆盖密钥库/信任库值。

据我所知,我的p12文件看起来也不错。

代码语言:javascript
复制
Bag Attributes
    localKeyID: 47 96 87 64 A2 A0 66 C3 B7 3C 09 53 BD 22 ED 50 37 DE 62 B7
    friendlyName: jira.example.org
subject=/C=US/ST=Kansas/L=Kansas City/O=CFCA/OU=IS/CN=jira.example.org
issuer=/DC=org/DC=example/CN=example-CA2-CA
-----BEGIN CERTIFICATE-----
MIIF1TCCBL2gAwIBAgIKEOfX4AAAAAAB5zANBgkqhkiG9w0BAQUFADBHMRMwEQYK
k8ThWdXWScM8
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/CN=CA2.example.org
issuer=/DC=org/DC=example/CN=example-CA2-CA
-----BEGIN CERTIFICATE-----
MIIE0jCCA7qgAwIBAgIKYQCskwAAAAAIFTANBgkqhkiG9w0BAQUFADBHMRMwEQYK
motn49ZLI61VXW4KrM2ZCgSOu1O5DMqLnd4DZCgHxvYwckemqDo=
-----END CERTIFICATE-----
Bag Attributes: <No Attributes>
subject=/CN=OFFLINECA2-CA
issuer=/CN=OFFLINECA2-CA
-----BEGIN CERTIFICATE-----
MIIDMjCCAhqgAwIBAgIQIvkuOz6aNL5K+7XhjbwOMDANBgkqhkiG9w0BAQUFADAY
MF2ktx6a
-----END CERTIFICATE-----
Bag Attributes
    localKeyID: 47 96 87 64 A2 A0 66 C3 B7 3C 09 53 BD 22 ED 50 37 DE 62 B7
    friendlyName: jira.example.org
Key Attributes: <No Attributes>
-----BEGIN PRIVATE KEY-----
xxxxxxxxxxxxxxxxxxxxxx
-----END PRIVATE KEY-----

我连接到的所有其他应用程序服务器也来自同一个中间和根CA。

tomcat
ssl
https
jira
EN

回答 1

Stack Overflow用户

回答已采纳

发布于 2014-08-29 23:27:16

这链子在我看来不太对。但可能是因为我对输出不熟悉。

这张照片来自彼得·古特曼的工程安全。这正是我所期望看到的。

这就是我所看到的。

服务器

代码语言:javascript
复制
subject=/C=US/ST=Kansas/L=Kansas City/O=CFCA/OU=IS/CN=jira.example.org
issuer=/DC=org/DC=example/CN=example-CA2-CA

因此,链中的下一个需要example-CA2-CA的主题。

中级

代码语言:javascript
复制
subject=/CN=CA2.example.org
issuer=/DC=org/DC=example/CN=example-CA2-CA

嗯..。CN=example-CA2-CA的主题发生了什么?

为什么发行人是CN=example-CA2-CA?发行人不是应该是CN=OFFLINECA2-CA吗?

私有CA

代码语言:javascript
复制
subject=/CN=OFFLINECA2-CA
issuer=/CN=OFFLINECA2-CA

在我看来从10,000英尺的高度看没问题。

票数 0
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/25576430

复制
相关文章

相似问题

领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档