简体繁体 English

访问部署在 WebSphere Liberty 集群上的应用程序时出现证书问题

[英]Certificate issues when accessing app deployed on WebSphere Liberty cluster

原文 2019-11-22 11:59:41 7 1 java/ ssl/ ssl-certificate/ websphere-liberty

I have set up a Liberty cluster comprising of the following:我已经建立了一个 Liberty 集群，包括以下内容：
node 1 - 10.11.12.201 server1节点 1 - 10.11.12.201 server1
node 2 - 10.11.12.202 - server2, controller server, IHS load balancer with HTTPS enabled.节点 2 - 10.11.12.202 - server2、controller 服务器、启用了 HTTPS 的 IHS 负载均衡器。
Have enabled dynamic routing feature at the load balancer level following ibm docs.已按照 ibm 文档在负载均衡器级别启用动态路由功能。 Deployed my app on the server and tried accessing it follows: https://10.11.12.202/app/console .在服务器上部署我的应用程序并尝试按照以下方式访问它： https://10.11.12.202/app/console 。

The Internal proxy request is failing with:内部代理请求失败：

ERROR com.kony.mobilefabric.util.restclient.RestCallHelper - GET call to ' https://10.11.12.202:443/app/api/v1_0/accounts/config ' failed with error: Host name '10.11.12.202' does not match the certificate subject provided by the peer (DC=com.ibm.ws.dynamic.routing, OU=dynamicrouting, CN=WebServer) javax.net.ssl.SSLPeerUnverifiedException: Host name '10.11.12.202' does not match the certificate subject provided by the peer (DC=com.ibm.ws.dynamic.routing, OU=dynamicrouting, CN=WebServer)错误 com.kony.mobilefabric.util.restclient.RestCallHelper - GET 调用“ https://10.11.12.202:443/app/api/v1_0/accounts/ not.11.2 错误：Host2021/accounts/not.11.2 失败。匹配对等方提供的证书主题（DC=com.ibm.ws.dynamic.routing，OU=dynamicrouting，CN=WebServer）由对等方提供（DC=com.ibm.ws.dynamic.routing，OU=dynamicrouting，CN=WebServer）

I guess this issue will be solved by updating the CN from "WebServer" to 10.11.12.202?我想这个问题可以通过将 CN 从“WebServer”更新到 10.11.12.202 来解决？ i checked all the possible options for the dynamicRouting command but havent been able to figure out how to do this.我检查了 dynamicRouting 命令的所有可能选项，但无法弄清楚如何执行此操作。 Note i do not have DNS hence using Ip addresses.注意我没有 DNS 因此使用 Ip 地址。

Any help greatly appreciated非常感谢任何帮助

1 个解决方案

You should not use the generated plugin-key.kdb as the key store supplied with the KeyFile directive.您不应使用生成的 plugin-key.kdb 作为KeyFile指令提供的密钥库。 It is generated for outbound connectivity in the WAS plugin, not for incoming requests to IHS.它是为 WAS 插件中的出站连接生成的，而不是为对 IHS 的传入请求生成的。

If you want a useable frontend certificate, create a new KDB file with $IHSROOT/bin/gskcapicmd, create a certifcate request in it with the correct subjectAltName extensions, and get it signed.如果您想要一个可用的前端证书，请使用 $IHSROOT/bin/gskcapicmd 创建一个新的 KDB 文件，在其中使用正确的 subjectAltName 扩展名创建一个证书请求，并对其进行签名。 Point to it with the KeyFile directive.使用KeyFile指令指向它。