与外部 HTTP 服务器连接时发生 SSL 握手失败

如果在与外部 HTTP 服务器连接时收到 SSL 握手失败,那么您可能需要将签署者添加到本地信任库。

问题

Process Center 连接到 Process Server 时,SystemOut.log 返回 SSL 握手失败错误消息。 例如: 
CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with SubjectDN "xx=xxxxx" was sent from target host:port "de1:xxx".
The signer may need to be addedto local trust store "/home/bpmsvt/ibm/BPM/v8.5/profiles/Node1Profile/config/cells/PCCell1/trust.p12" 
located in SSL configuration alias "NodeDefaultSSLSettings" loaded from SSL configuration file "security.xml". The extended error message 
from the SSL handshake exception is: "PKIX path building failed: java.security.cert.CertPathBuilderException: unable to find valid 
certification path to requested target".

解决方案

如果确定请求可信,请将外部 HTTP 服务器证书添加到 Process Center
  1. 登录管理控制台。
  2. 单击安全性 > SSL 证书和密钥管理
  3. 在“配置设置”下,单击管理端点安全性配置
  4. 选择出站配置。 例如,PCCell1(CellDefaultSSLSettings)
  5. 相关项下,单击密钥库和证书,并单击 CellDefaultTrustStore
  6. 其他属性下,单击签署者证书
  7. 单击从端口检索。 这将显示“配置”面板。
  8. 填写以下常规属性字段:
    1. 主机字段中,请输入 IHS 虚拟主机。 例如,de1
    2. 端口字段中,请输入虚拟主机端口。 例如,443
    3. 别名字段中,请输入证书别名。 例如,de1_cert
    4. 单击确定并保存对主配置所作的更改。
  9. 单击检索签署者信息
  10. 验证证书信息是否用于可信证书。
  11. 单击应用并单击保存
父主题: 排除部署环境故障
相关信息:
配置 SSL 通信