Temos dois servidores implantados, todos iguais, mas diferentes certificados específicos do host. Ambos os servidores têm seu armazenamento de chaves java (jks) no qual os certificados específicos de host, intrim e root são importados. Certs específicos do hospedeiro dizem que o hospedeiro-1 e o hospedeiro-2 têm a mesma cadeia de confiança até a raiz, mas no hospedeiro-2 todos os certs até a raiz têm validade mais longa. Para obter o novo certs é um processo demorado, portanto, para fazer as coisas funcionarem, eu copio os jks do server-2 e os substituo no host-1, excluo o certificado / alias relacionado ao host-2 dos jks e importo o host -1 nos mesmos jks. Agora eu tento iniciar minha webapp. Começa verde. (aplicativo anterior não estrelou com a cadeia expirada). Mas quando tento acessar as APIs REST, recebo o seguinte erro.
2016-08-02 15:29:23,969 DEBUG nio.ssl (SslConnection.java:wrap(475)) - SCEP@fe16e5{l(/IP1:35840)<->r(/IP2:8444),s=1,open=true,ishut=false,oshut=false,rb=false,wb=false,w=true,i=1r}-{SslConnection@4ddce8ac SSL NEED_WRAP i/o/u=0/0/0 ishut=false oshut=false {AsyncHttpConnection@20993ce7,g=HttpGenerator{s=0,h=-1,b=-1,c=-1},p=HttpParser{s=-14,l=0,c=0},r=0}}
javax.net.ssl.SSLHandshakeException: no cipher suites in common
at sun.security.ssl.Handshaker.checkThrown(Handshaker.java:1431)
at sun.security.ssl.SSLEngineImpl.checkTaskThrown(SSLEngineImpl.java:535)
at sun.security.ssl.SSLEngineImpl.writeAppRecord(SSLEngineImpl.java:1214)
at sun.security.ssl.SSLEngineImpl.wrap(SSLEngineImpl.java:1186)
at javax.net.ssl.SSLEngine.wrap(SSLEngine.java:469)
Aqui está o (s) comando (s) que usei para importar o certificado específico do Host nos jks. Todos os seguintes são tentados, mas recebo o mesmo erro.
keytool -import -alias gateway-identity -keyalg RSA -keystore gateway.jks -trustcacerts -file /etc/pki/tls/certs/Prod-A-HostFQDN.cer -storepass JKSP@ssword
keytool -import -alias gateway-identity -keyalg RSA -keystore gateway.jks -file /etc/pki/tls/certs/Prod-A-HostFQDN.cer -storepass JKSP@ssword
keytool -import -alias gateway-identity -keystore gateway.jks -file /etc/pki/tls/certs/Prod-A-HostFQDN.cer -storepass JKSP@ssword
Alguém pode dizer qual é o problema e como fazer isso?
JE
Tags openssl