我将Google reCaptcha v3添加到在WebSphere 6.1下运行的J2EE应用程序中。 (我知道,它不再受支持。软件升级已经在计划中,只是不立即进行。)
我已按照以下步骤将 www.google.com:443 证书添加到WebSphere的 NodeDefaultTrustStore ,并且在重新启动WebSphere之后,该SSL证书被接受。问题。我执行reCaptcha验证逻辑的servlet代码工作正常,一切都很好。
但是,第二天,我导入的证书不再被接受。当我再次导入它时,我发现指纹(SHA摘要)与前一天不同。 Google似乎每天都在更改其SSL证书。这是真的?如果是这样,我该如何解决WebSphere中的这个问题?
CWPKI0428I:签名者可能需要添加到本地信任存储中。 您可以使用管理控制台中的“从端口检索”选项来检索证书并解决问题。 如果您确定请求是受信任的,请完成以下步骤:
登录到管理控制台。
展开“安全性”,然后单击“ SSL证书和密钥管理”。 在“配置设置”下,单击“管理端点安全性配置”。
选择适当的出站配置,以进入(cell):ServerNode01Cell:(node):ServerNode01管理范围。
在“相关项目”下,单击“密钥库和证书”,然后单击“ NodeDefaultTrustStore”密钥库。
在“其他属性”下,单击“签署者证书”并从“端口检索”。
在“主机”字段中,在主机名字段中输入www.google.com,在“端口”字段中输入443,在“别名”字段中输入www.google.com_cert。
单击“检索签名者信息”。
验证证书信息用于您可以信任的证书。
单击“应用并保存”。
答案 0 :(得分:0)
“从端口检索”将添加叶子证书。要做更可靠的事情,请相信发布者。当前的发行者是GlobalSign根CA R2,您可以从https://pki.goog/(GS根R2)中获取
不幸的是,很难自动在“从端口检索”之类的工具中自动获取根CA,因为许多SSL工具包在握手期间不会通过电线发送根CA,因为客户端应该已经拥有它。
答案 1 :(得分:0)
这是WebSphere Liberty的一种方法,可能适用于6.1,但我没有尝试过。
使用openssl方法,但在列表中使用-second-证书(直到2021年才到期)。