--Umgebung
server.log
[2020-04-22T17:36:57.020+0900] [Payara 5.194] [?x??] [NCLS-SECURITY-05054] [javax.enterprise.system.security.ssl] [tid: _ThreadID=54 _ThreadName=admin-thread-pool::admin-listener(1)] [timeMillis: 1587544617020] [levelValue: 900] [[
The SSL certificate has expired: [
[
Version: V3
Subject: CN=Staat der Nederlanden Root CA - G2, O=Staat der Nederlanden, C=NL
Signature Algorithm: SHA256withRSA, OID = 1.2.840.113549.1.1.11
Key: Sun RSA public key, 4096 bits
modulus: 8051226021100838930438588........
public exponent: 65537
Validity: [From: Wed Mar 26 20:18:17 JST 2008,
To: Wed Mar 25 20:03:10 JST 2020]
Issuer: CN=Staat der Nederlanden Root CA - G2, O=Staat der Nederlanden, C=NL
SerialNumber: [ 98968c]
Certificate Extensions: 4
[1]: ObjectId: 2.5.29.19 Criticality=true
BasicConstraints:[
CA:true
PathLen:2147483647
]
[2]: ObjectId: 2.5.29.32 Criticality=false
CertificatePolicies [
[CertificatePolicyId: [2.5.29.32.0]
[PolicyQualifierInfo: [
qualifierID: 1.3.6.1.5.5.7.2.1
qualifier: 0000: 16 31 68 74 74 70 3A 2F 2F 77 77 77 2E 70 6B 69 .1http://www.pki
0010: 6F 76 65 72 68 65 69 64 2E 6E 6C 2F 70 6F 6C 69 overheid.nl/poli
0020: 63 69 65 73 2F 72 6F 6F 74 2D 70 6F 6C 69 63 79 cies/root-policy
0030: 2D 47 32 -G2
]] ]
]
...Kürzung...
Was tun, wenn SEC5054: Zertifikat in Java EE GlassFish --Qiita abgelaufen ist
cacerts.jks?
Der Trust Store (der "Trust" Store) speichert nur Zertifikate, denen der Client vertraut. Diese Zertifikate sind CA-Stammzertifikate oder selbstsignierte Zertifikate. Wenn Sie einen logischen Host installieren, finden Sie eine Truststore-Datei mit dem Namen cacerts.jks am folgenden Speicherort: <c:\JavaCAPS>\appserver\domains<MyDomain>\config Keystore und Truststore (Java CAPS-Konfiguration mit SSL-Unterstützung)](https://docs.oracle.com/cd/E19416-01/820-5959/ggffo/index.html)
Ich kann cacerts.jks nicht lesen, selbst wenn ich es in einem Editor öffne ... also verwende ich das Dienstprogramm "keytool".
Bevor Sie beginnen Um das Dienstprogramm keytool auszuführen, müssen Sie Ihre Shell-Umgebung so konfigurieren, dass das Verzeichnis J2SE / bin in Ihren Pfad aufgenommen wird. Andernfalls müssen Sie den vollständigen Pfad des Dienstprogramms in der Befehlszeile angeben. Zertifikatserstellung mit Keytool (Sun GlassFish Enterprise Server v3-Administrationshandbuch)
$ java -version
java version "1.8.0_231"
Java(TM) SE Runtime Environment (build 1.8.0_231-b11)
Java HotSpot(TM) 64-Bit Server VM (build 25.231-b11, mixed mode)
Es scheint, dass Informationen mit keytool -list -v -keystore cacerts.jks angezeigt werden können.
Der Befehl -list druckt standardmäßig den MD5-Fingerabdruck des Zertifikats. Die Option -v druckt das Zertifikat in einem für Menschen lesbaren Format. Wenn Sie dagegen die Option -rfc angeben, wird das Zertifikat mit der ausgabefähigen Codierungsmethode ausgegeben. -storepass storepass Geben Sie das Kennwort an, mit dem die Integrität des Schlüsselspeichers geschützt wird. Keytool - Schlüssel- und Zertifikatverwaltungstool
Die Passwortinformationen wurden auf der folgenden Website vorgestellt
Das Hauptkennwort lautet "Ändern" Was tun, wenn SEC5054: Zertifikat in Java EE GlassFish - Qiita abgelaufen ist
#Wenn Sie auf dem Bildschirm ausgeben, werden viele Informationen ausgegeben. Wenn Sie also alle ausgeben möchten, ist es besser, in eine Datei umzuleiten
$ keytool -list -v -keystore cacerts.jks -storepass changeit
alias: cert_92_ca_disig_root_r192
Erstellungsdatum: 2018/01/23
Eintragsart: trustedCertEntry
Inhaber: CN=CA Disig Root R1, O=Disig a.s., L=Bratislava, C=SK
Der Emittent: CN=CA Disig Root R1, O=Disig a.s., L=Bratislava, C=SK
Ordnungsnummer: c3039aee50906e28
Gültigkeitsbeginn: Thu Jul 19 18:06:56 JST 2012 Enddatum: Sat Jul 19 18:06:56 JST 2042
...Kürzung...
#Sie benötigen die Zeilen "Alias" und "Ablaufzeitraum", um das Ablaufdatum anzuzeigen, aber Sie sehen immer noch einen angemessenen Betrag
$ keytool -list -v -keystore cacerts.jks -storepass changeit | grep -e alias-e Gültigkeitsdauer
alias: cert_115_staat_der_nederlanden_root_ca___g3115
Gültigkeitsbeginn: Thu Nov 14 20:28:42 JST 2013 Enddatum: Tue Nov 14 08:00:00 JST 2028
alias: ssl.comrootcertificationauthorityrsa
Gültigkeitsbeginn: Sat Feb 13 02:39:39 JST 2016 Enddatum: Wed Feb 13 02:39:39 JST 2041
alias: cert_21_xramp_global_ca_root21
...Kürzung...
# 1. cacerts.Wechseln Sie mit jks in das Verzeichnis
$ cd /c/apps/payara5/glassfish/domains/domain1/config/
# 2. cacerts.Sichern Sie jks
$ cp cacerts.jks cacerts.jks.bak
$ ls -la | grep cacerts
-rw-r--r--1 ponsuke 1049089 380598 29. November 20:05 cacerts.jks
-rw-r--r--1 ponsuke 1049089 380598 23. April 13:29 cacerts.jks.bak
# 3.Grep Aliase für Informationen, die vor 2020 abgelaufen sind
$ keytool -list -v -keystore cacerts.jks -storepass changeit | grep -e alias-e Gültigkeitsdauer| grep -B 1 201[0-9]$
alias: entrust2048ca
Gültigkeitsbeginn: Sat Dec 25 02:50:51 JST 1999 Enddatum: Wed Dec 25 03:20:51 JST 2019
# 4.Grep Aliase für Informationen, die im Jahr 2020 abgelaufen sind
$ keytool -list -v -keystore cacerts.jks -storepass changeit | grep -e alias-e Gültigkeitsdauer| grep -B 1 2020$
alias: staatdernederlandenrootca-g2
Gültigkeitsbeginn: Wed Mar 26 20:18:17 JST 2008 Enddatum: Wed Mar 25 20:03:10 JST 2020
--
alias: equifaxsecureebusinessca1
...Kürzung...
# 5.Löschen Sie Informationen, die vor 2020 abgelaufen sind
$ keytool -delete -keystore cacerts.jks -storepass changeit -alias entrust2048ca
# 6.Löschen Sie die zuletzt abgelaufenen Informationen, die im Jahr 2020 abgelaufen sind
$ keytool -delete -keystore cacerts.jks -storepass changeit -alias staatdernederlandenrootca-g2
$ keytool -delete -keystore cacerts.jks -storepass changeit -alias equifaxsecureebusinessca1
...Kürzung...
# 7.Starten Sie Payara neu
$ asadmin restart-domain domain1
Successfully restarted the domain
Command restart-domain executed successfully.
# 8. server.Überprüfen Sie das Protokoll, um festzustellen, ob noch abgelaufene Informationen vorhanden sind
$ tail ../logs/server.log
Recommended Posts