Исключение рукопожатия консоли Glassfish ssl
Я работаю на сервере Ubuntu 14.04.
Я установил Glassfish 4.1.
Я хочу получить доступ к консоли снаружи, поэтому я сделал
asadmin --host localhost --port 4848 enable-secure-admin
После этого шага звоню www.myhost.com:4848/console/ дает мне исключение безопасности в браузере из-за самозаверяющего сертификата. Хорошо это нормально Я могу принять исключение, и все в порядке.
Теперь у меня есть стартовый сертификат на www.myhost.com.
Так я и сделал
keytool -delete -alias s1as -keystore keystore.jks
keytool -importcert -keystore keystore.jks -storepass changeit -file www.myhost.com.crt -alias s1as
keytool -importcert -keystore keystore.jks -storepass changeit -file ca.crt -alias startcom.ca -trustcacerts
keytool -importcert -keystore keystore.jks -storepass changeit -file sub.class1.server.ca.crt -alias startcom.ca.sub -trustcacerts
Но сейчас asadmin start-domain дает мне в журнале
[2015-02-20T09:55:58.021+0100] [glassfish 4.1] [SEVERE] [] [] [tid: _ThreadID=57 _ThreadName=Thread-9] [timeMillis: 1424422558021] [levelValue: 1000] [[
java.io.IOException: Cannot bind to URL [rmi://www.myhost.com.be:8686/jmxrmi]: javax.naming.CommunicationException [Root exception is java.rmi.ConnectIOException: error during JRMP connection establishment; nested exception is:
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure]
at javax.management.remote.rmi.RMIConnectorServer.newIOException(RMIConnectorServer.java:826)
at javax.management.remote.rmi.RMIConnectorServer.start(RMIConnectorServer.java:431)
at org.glassfish.admin.mbeanserver.RMIConnectorStarter.start(RMIConnectorStarter.java:319)
at org.glassfish.admin.mbeanserver.JMXStartupService$JMXConnectorsStarterThread.startConnector(JMXStartupService.java:313)
at org.glassfish.admin.mbeanserver.JMXStartupService$JMXConnectorsStarterThread.run(JMXStartupService.java:350)
Caused by: javax.naming.CommunicationException [Root exception is java.rmi.ConnectIOException: error during JRMP connection establishment; nested exception is:
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure]
at com.sun.jndi.rmi.registry.RegistryContext.rebind(RegistryContext.java:159)
at com.sun.jndi.toolkit.url.GenericURLContext.rebind(GenericURLContext.java:249)
at javax.naming.InitialContext.rebind(InitialContext.java:427)
at javax.naming.InitialContext.rebind(InitialContext.java:427)
at javax.management.remote.rmi.RMIConnectorServer.bind(RMIConnectorServer.java:641)
at javax.management.remote.rmi.RMIConnectorServer.start(RMIConnectorServer.java:426)
... 3 more
Caused by: java.rmi.ConnectIOException: error during JRMP connection establishment; nested exception is:
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at sun.rmi.transport.tcp.TCPChannel.createConnection(TCPChannel.java:304)
at sun.rmi.transport.tcp.TCPChannel.newConnection(TCPChannel.java:202)
at sun.rmi.server.UnicastRef.newCall(UnicastRef.java:341)
at sun.rmi.registry.RegistryImpl_Stub.rebind(Unknown Source)
at com.sun.jndi.rmi.registry.RegistryContext.rebind(RegistryContext.java:157)
... 8 more
Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1979)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1086)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1332)
at sun.security.ssl.SSLSocketImpl.writeRecord(SSLSocketImpl.java:709)
at sun.security.ssl.AppOutputStream.write(AppOutputStream.java:122)
at java.io.BufferedOutputStream.flushBuffer(BufferedOutputStream.java:82)
at java.io.BufferedOutputStream.flush(BufferedOutputStream.java:140)
at java.io.DataOutputStream.flush(DataOutputStream.java:123)
at sun.rmi.transport.tcp.TCPChannel.createConnection(TCPChannel.java:229)
... 12 more]]
И мой сервер доступен через порт 8080, но не по ssl 8181 и 4848.
2 ответа
Наконец, после многих поисков я нашел подходящее решение ( см. Здесь)
Итак, после новой установки перейдите к /opt/glassfish4/glassfish/domains/domain1/connfig и скачать сертификаты StartSL
wget https://www.startssl.com/certs/ca.pem
wget https://www.startssl.com/certs/sub.class1.server.ca.pem
Затем соедините эти 2 сертификата с сертификатом моего домена
cat mydomain.crt ca.pem sub.class1.server.ca.pem > all.crt
И ввозить в каски
keytool -import -trustcacerts -alias mycert -file all.crt -keystore cacerts.jks
Создайте файл p12 с закрытым ключом моего домена
openssl pkcs12 -export -in all.crt -inkey mydomain.key -out mydomain.p12 -name mycert -CAfile ca.pem -caname immed
и импортировать в хранилище ключей
keytool -importkeystore -deststorepass changeit -destkeypass changeit -destkeystore keystore.jks -srckeystore mydomain.p12 -srcstoretype PKCS12 -srcstorepass changeit -alias mycert
и, наконец, изменить все s1as вхождения по mycert в domain.xml
sed -i 's|s1as|mycert|' domain.xml
Хорошо, теперь это работает, даже если я не понимаю, что я делаю!
Мое предложение было бы не удалять исходный сертификат s1as и заменить его своим. имейте в виду, что есть еще один файл keystone cacerts.jks, который должен быть синхронизирован... для чистой установки Glassfish проверьте это здесь: https://www.nabisoft.com/tutorials/glassfish/installing-glassfish-41-on-ubuntu моем руководстве также рассказывается, как создать свой собственный (самоподписанный) сертификат s1as и glassfish-instace (его слишком долго публиковать здесь).
После этого импортируйте сертификат для своего домена в keystore.jks (если вы также получили промежуточный сертификат от своего ЦС, вам может понадобиться сначала его импортировать). не нужно добавлять свои доменные сертификаты в cacerts.jks. Обязательно измените ваш http-listener2 (=https), чтобы использовать псевдоним cert вместо s1as, и перезапустите Glassfish. это должно работать...