1

我正在将 Google reCaptcha v3 添加到我在 WebSphere 6.1 下运行的 J2EE 应用程序中。(我知道,它不再受支持。软件升级正在计划中,只是不会立即进行。)

我已按照以下步骤将www.google.com:443证书添加到 WebSphere 的NodeDefaultTrustStore,并且在重新启动 WebSphere 后,SSL 证书被接受没有问题。我执行 reCaptcha 验证逻辑的 servlet 代码工作正常,一切都很好。

但是,第二天,我导入的证书不再被接受。当我再次导入时,我看到指纹(SHA 摘要)与前一天不同。看起来 Google 每天都会更改他们的 SSL 证书。这是真的?如果是这样,我如何在 WebSphere 中解决这个问题?

CWPKI0428I: 可能需要将签名者添加到本地信任库。您可以使用管理控制台中的 Retrieve from port 选项来检索证书并解决问题。如果您确定请求是可信的,请完成以下步骤:

  1. 登录到管理控制台。

  2. 展开安全并单击 SSL 证书和密钥管理。在配置设置下,单击管理端点安全配置。

  3. 选择适当的出站配置以进入 (cell):ServerNode01Cell:(node):ServerNode01 管理范围。

  4. 在相关项下,单击密钥库和证书,然后单击 NodeDefaultTrustStore 密钥库。

  5. 在其他属性下,单击签名者证书和从端口检索。

  6. 在主机字段中,在主机名字段中输入 www.google.com,在端口字段中输入 443,在别名字段中输入 www.google.com_cert。

  7. 单击检索签名者信息。

  8. 验证证书信息是否适用于您可以信任的证书。

  9. 单击应用并保存。

4

2 回答 2

0

这是一种适用于 6.1 的 WebSphere Liberty 方法,我还没有尝试过。

https://www.ibm.com/support/knowledgecenter/en/SSEQTP_liberty/com.ibm.websphere.wlp.doc/ae/twlp_add_trust_cert.html

使用 openssl 方法,但获取列表中的 -second- 证书(直到 2021 年才过期)。

于 2018-12-04T22:28:02.813 回答
0

“从端口检索”添加叶证书。要做更可靠的事情,请信任发行人。当前的颁发者是 GlobalSign 根 CA R2,您可以从https://pki.goog/ (GS Root R2)获取

不幸的是,很难在“从端口检索”之类的工具中自动获取根 CA,因为许多 SSL 工具包不会在握手期间通过线路发送根 CA——因为客户端应该已经拥有它。

于 2018-12-01T19:21:56.077 回答