Correção de problemas de configuração de PKIX e SSL no AEM Forms

O AEM Forms falha ao se comunicar por SSL devido a certificados ausentes, configuração incorreta de armazenamento de chaves ou portas SSL configuradas incorretamente. Corrija o problema validando cadeias de certificados, atualizando o JVM truststore e corrigindo a configuração do SSL no JBoss ou no WebSphere.

Descrição description

Ambiente

  • AEM Forms (JEE e OSGi)
  • JBoss
  • WebSphere
  • Adobe Managed Services (AMS)
  • ambientes no local

Problema/Sintomas

  • Falha na compilação do caminho javax.net.ssl.SSLHandshakeException: PKIX: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
  • Falha na compilação do caminho java.sql.SQLRecoverableException: IO Error PKIX.
  • Falha na invocação do JBoss EJB com configuração SSL desabilitada ou incompleta: remote.connectionprovider.create.options.org.xnio.Options.SSL_ENABLED=false
  • Falhas de inicialização do AEM em que o assistente de configuração de SSL solicita o nome/senha do keystore e não pode continuar.

Resolução resolution

Para resolver esse problema, siga estas etapas:

  1. Revise logs como standalone/log/server.logou SystemOut.log para identificar assinaturas de erro SSL como falhas de PKIX, SSLHandshakeException ou senha de keystore ausente.

  2. Confirme se o erro faz referência a problemas de carregamento de keystore ou confiança de certificado.

  3. Extraia o certificado do servidor e sua cadeia completa, incluindo certificados de CA de servidor, intermediários e raiz, e verifique se o certificado corresponde ao nome do host observado nos registros.

  4. Importe os certificados ausentes para o truststore do JVM em JAVA_HOME/lib/security/cacerts usando keytool e verifique a instalação listando o alias. Verifique se o caminho correto do keystore e a senha estão sendo usados.

    keytool -importcert -alias <alias> -file <certfile.pem> -keystore <JAVA_HOME>/lib/security/cacerts

  5. Reinicie o JBoss ou o WebSphere para recarregar o truststore e verificar se os erros de SSL não aparecem mais durante a inicialização.

  6. Execute novamente a operação com falha, como uma conexão de banco de dados ou chamada HTTPS.

  7. Se o assistente de configuração de SSL solicitar entradas do keystore e a senha for desconhecida, crie um novo keystore fornecendo um novo nome de arquivo, senha do keystore e senha da chave.

  8. Verifique se o arquivo de armazenamento de chaves existe no diretório de configuração.

  9. Valide a configuração do ouvinte JBoss HTTPS em standalone.xml ou domain.xml.

  10. Certifique-se de que o ouvinte SSLRealm e HTTPS existem e foram carregados corretamente sem erros.

  11. Para erros SSL relacionados ao banco de dados, especialmente com o SQL Server usando o encrypt=true;trustServerCertificate=false, importe o certificado do banco de dados para o truststore ou defina trustServerCertificate=true temporariamente.

  12. Verifique se o teste da fonte de dados foi bem-sucedido.

  13. Verifique a configuração EJB SSL se os erros estão relacionados à porta 8443.

  14. Certifique-se de que o SSL esteja ativado e configurado corretamente para o tráfego EJB e verifique se os erros de chamada não ocorrem mais.

  15. Teste novamente a operação original com falha e confirme se os logs não contêm SSLHandshakeException ou erros relacionados.

Se os problemas persistirem, execute uma validação mais profunda comparando os certificados usando o openssl e verificando as entradas do truststore.

Leitura relacionada

recommendation-more-help
experience-cloud-kcs-help-kbarticles