Correção de problemas de configuração de PKIX e SSL no AEM Forms
O AEM Forms falha ao se comunicar por SSL devido a certificados ausentes, configuração incorreta de armazenamento de chaves ou portas SSL configuradas incorretamente. Corrija o problema validando cadeias de certificados, atualizando o JVM truststore e corrigindo a configuração do SSL no JBoss ou no WebSphere.
Descrição description
Ambiente
- AEM Forms (JEE e OSGi)
- JBoss
- WebSphere
- Adobe Managed Services (AMS)
- ambientes no local
Problema/Sintomas
- Falha na compilação do caminho
javax.net.ssl.SSLHandshakeException: PKIX:sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target - Falha na compilação do caminho
java.sql.SQLRecoverableException: IO Error PKIX. - Falha na invocação do JBoss EJB com configuração SSL desabilitada ou incompleta:
remote.connectionprovider.create.options.org.xnio.Options.SSL_ENABLED=false - Falhas de inicialização do AEM em que o assistente de configuração de SSL solicita o nome/senha do keystore e não pode continuar.
Resolução resolution
Para resolver esse problema, siga estas etapas:
-
Revise logs como
standalone/log/server.logouSystemOut.logpara identificar assinaturas de erro SSL como falhas de PKIX, SSLHandshakeException ou senha de keystore ausente. -
Confirme se o erro faz referência a problemas de carregamento de keystore ou confiança de certificado.
-
Extraia o certificado do servidor e sua cadeia completa, incluindo certificados de CA de servidor, intermediários e raiz, e verifique se o certificado corresponde ao nome do host observado nos registros.
-
Importe os certificados ausentes para o truststore do JVM em
JAVA_HOME/lib/security/cacertsusando keytool e verifique a instalação listando o alias. Verifique se o caminho correto do keystore e a senha estão sendo usados.keytool -importcert -alias <alias> -file <certfile.pem> -keystore <JAVA_HOME>/lib/security/cacerts -
Reinicie o JBoss ou o WebSphere para recarregar o truststore e verificar se os erros de SSL não aparecem mais durante a inicialização.
-
Execute novamente a operação com falha, como uma conexão de banco de dados ou chamada HTTPS.
-
Se o assistente de configuração de SSL solicitar entradas do keystore e a senha for desconhecida, crie um novo keystore fornecendo um novo nome de arquivo, senha do keystore e senha da chave.
-
Verifique se o arquivo de armazenamento de chaves existe no diretório de configuração.
-
Valide a configuração do ouvinte JBoss HTTPS em
standalone.xmloudomain.xml. -
Certifique-se de que o ouvinte SSLRealm e HTTPS existem e foram carregados corretamente sem erros.
-
Para erros SSL relacionados ao banco de dados, especialmente com o SQL Server usando o
encrypt=true;trustServerCertificate=false, importe o certificado do banco de dados para o truststore ou definatrustServerCertificate=truetemporariamente. -
Verifique se o teste da fonte de dados foi bem-sucedido.
-
Verifique a configuração EJB SSL se os erros estão relacionados à porta 8443.
-
Certifique-se de que o SSL esteja ativado e configurado corretamente para o tráfego EJB e verifique se os erros de chamada não ocorrem mais.
-
Teste novamente a operação original com falha e confirme se os logs não contêm SSLHandshakeException ou erros relacionados.
Se os problemas persistirem, execute uma validação mais profunda comparando os certificados usando o openssl e verificando as entradas do truststore.