环境

Windows Server 2012R2
林功能 2012R2
域功能 2012R2
AD CS 企业CA 证书颁发机构 版本 6.3
Root CA:yudelei-DC1-CA.cer

CentOS Linux release 7.9.2009 (Core)
openssl 1:1.0.2k
nginx 1.16.1

openjdk 1.8.0_312
Confluence 7.12.0
Jira 8.16.1

描述

Confluence 与 Jira 均使用由 AD CS 企业CA 颁发的自签 Web 服务器 SSL 证书,且配置成功。

在导入了自签 RootCA 的电脑上,通过 Chrome 浏览器访问 https 的 Confluence 与 Jira 均显示安全小绿锁。

但是,在 Confluence 和 Jira 配置“应用程序链接”时,填写 Https 的对应网址后,报错。
中文

状态:网络错误

远程证书并不被信任

Jira 或 Confluence 可能使用了一个自签名SSL证书或者由本地未知证书颁发机构颁发的证书。

English

Status: NETWORK ERROR

The remote certificate can't be trusted

Jira/Confluence may be using a self-signed SSL certificate or a certificate that was issued by a certificate authority that isn't known locally.

尝试向 CentOS 7 中导入 Root CA,重启相关服务,无效,仍然报错。
尝试向 CentOS 7 安装的 java 8 jdk 1.8.0_312 中导入 Root CA,重启相关服务,无效,仍然报错。

解决

Root CA:yudelei-DC1-CA.cer 已上传 CentOS 7,并放置于 /root/yudelei-DC1-CA.cer
导入时需要的默认密码:changeit

进入 $JAVA_HOME。

cd $JAVA_HOME

使用 keytool 向 Confluence 和 Jira 所使用的 JVM 导入自建 Root CA。
以下以 Confluence 示例:

# Java 8
bin/keytool -importcert -alias yudelei-dc1-ca -keystore /opt/atlassian/confluence/jre/lib/security/cacerts -file /root/yudelei-DC1-CA.cer 


# Java 11 据参考文档推测 未测试
bin/keytool -importcert -alias yudelei-dc1-ca -keystore /opt/atlassian/confluence/lib/security/cacerts -file /root/yudelei-DC1-CA.cer

以上命令若提示以下内容,输入“y”或“是”

是否信任此证书? [否]:  

重启 Jira 和 Confluence,建议使用 systemctl 来重启。

systemctl restart jira
systemctl restart confluence

补充

之前使用 Jira 和 Confluence 安装目录下 bin/stop-.sh 脚本停止服务,使用 strat-.sh 脚本启动服务,仍旧报错...
接着就使用 systemctl 重启,就不报错了。。。
之后又测试 sh 脚本,也可以...

keytool 补充

查看 JVM 中指定别名的 key

bin/keytool -list -alias yudelei-dc1-ca -keystore /opt/atlassian/jira/jre/lib/security/cacerts

列出 JVM 中所有的 key,-v 详细模式

bin/keytool -list -v -keystore /opt/atlassian/jira/jre/lib/security/cacerts

从 JVM 中删除指定别名的 key

bin/keytool -delete -alias yudelei-dc1-ca -keystore /opt/atlassian/confluence/jre/lib/security/cacerts

参考

confluence.atlassian.com/kb/how-to-import-a-public-ssl-certificate-into-a-jvm-867025849.html
community.atlassian.com/t5/Jira-questions/How-to-import-certs-to-keystore/qaq-p/1155386
community.atlassian.com/t5/Jira-questions/How-to-add-CA-cert-to-Jira-s-trust-store/qaq-p/720158
confluence.atlassian.com/adminjiraserver073/setting-properties-and-options-on-startup-861253969.html

最后修改:2021 年 12 月 12 日 02 : 41 PM
如果觉得文章帮助了您,您可以随意赞赏。