与外部 HTTP 服务器连接时发生 SSL 握手失败

在线编辑
Draft comment:
This topic only applies to BAW, and is located in the BAW repository. Last updated on 2025-01-20 10:38
如果在与外部 HTTP 服务器连接时收到 SSL 握手失败,那么您可能需要将签署者添加到本地信任库。

问题

SystemOut.log 在从 Workflow Center 连接到 Workflow Server时返回 SSL 握手失败错误消息。 例如:
CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with SubjectDN "xx=xxxxx" was sent from target host:port "de1:xxx".
The signer may need to be addedto local trust store "/home/bpmsvt/ibm/BPM/v8.5/profiles/Node1Profile/config/cells/PCCell1/trust.p12" 
located in SSL configuration alias "NodeDefaultSSLSettings" loaded from SSL configuration file "security.xml". The extended error message 
from the SSL handshake exception is: "PKIX path building failed: java.security.cert.CertPathBuilderException: unable to find valid 
certification path to requested target".

解决方案

如果您确定请求是可信的,请将外部 HTTP证书添加到 Workflow Center
  1. 登录管理控制台。
  2. 单击 安全性 > SSL 证书和密钥管理
  3. 在“配置设置”下,单击管理端点安全性配置
  4. 选择出站配置。 例如,PCCell1(CellDefaultSSLSettings)
  5. Related Items 下,单击 Key 存储和证书,然后单击 CellDefaultTrustStore
  6. 其他属性下方,单击签署者证书
  7. 单击从端口检索。 这将显示“配置”面板。
  8. 填写以下常规属性字段:
    1. 主机字段中,请输入 IHS 虚拟主机。 例如,de1
    2. 端口字段中,请输入虚拟主机端口。 例如,443
    3. 别名字段中,请输入证书别名。 例如,de1_cert
    4. 单击确定并保存对主配置所作的更改。
  9. 单击检索签署者信息
  10. 验证证书信息是否用于可信证书。
  11. 单击 应用保存