Discussion :

[hapalemur]

Bonjour,
J'ai un problème de connexion https entre 2 serveurs Tomcat à partir de la configuration suivante :
1-er serveur Tomcat :
- situé derrière Apache : mod_jk activé et module httpd-ssl invalidé
- server.xml configuré comme suit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
	       keystoreFile="/usr/local/java/tomcat/conf/certificats.jks" keystorePass="changeit"
               clientAuth="false" sslProtocol="TLS" />
   <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

- une application A est accédée en http et fonctionne normalement sauf sur le point ci-dessous
- l'application A devient cliente et doit contacter un 2-éme serveur Tomcat en https, et je me retrouve avec le log :

DEBUG OppositionBinderSoap1 - org.apache.axis2.AxisFault: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target

2-ème serveur Tomcat (sur une autre machine) :
- server.xml :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
	       keystoreFile="C: Program Files\Apache Software Foundation\Tomcat 6.0\conf\certificats.jks" keystorePass="changeit"
               clientAuth="false" sslProtocol="TLS" />
   <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

Le keystore de ce 2-ème serveur contient un certificat auto-signé qui a été généré par :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

%JAVA_HOME%\bin\keytool -genkey -alias tomcat -keyalg RSA -keystore C: Program Files\Apache Software Foundation\Tomcat 6.0\conf\certificats.jks

Les certificats sont différents sur les 2 serveurs;
Aucun log sur le 2ème serveur; apparement c'est dans le processus d'initialisation de la connexion que celà pose problème, mais je ne vois ni où ni sur quel serveur?
Des idées pour cerner le problème?

[hapalemur]

Après quelques essais, j'ai trouvé l'origine du problème.
Le magasin de certificats de Tomcat est utilisé uniquement pour les connexions entrantes.
Si la webApp qui s'éxécute dans Tomcat a besoin de faire une requête https, elle devient cliente et c'est une connexion SSL sortante qui utilise le magasin cacerts de java.
Lors de l'import du certificat du serveur distant, il faut bien préciser l'option -trustcacerts si le certificat est auto-signé (ce que j'avais oublié dans la manip).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$JAVA_HOME/bin/keytool -import -trustcacerts -alias moncert -file mycert.crt -keystore /usr/local/java/jdk/jre/lib/security/cacerts

Bon, il y a un autre problème : il y a une wilcard dans le certificat, et là, ce n'est pas gagné