将证书添加到 Mirth Keystore
Add certificate to Mirth Keystore
这看起来应该是一件简单的事情。我希望能够信任来自 Mirth 所依赖的服务的证书,而无需修改全局 Java 证书存储(或为 SSL 插件的每个实例删除一些 grand)。我尝试了以下方法:
生成我自己的密钥库:
Keytool 命令:
keytool -genkey -keystore appdata\my.jks -storetype PKCS12 -keyalg RSA -keysize 2048 -storepass xxxxxxxx
keytool -importcert -alias my-ca-cert -file myCaCert.pem -keystore appdata\my.jks -trustcacerts -storepass xxxxxxxx
keytool -importcert -alias my-server-cert -file myServerCert.pem -keystore appdata\my.jks -trustcacerts -storepass xxxxxxxx
Mirth.properties:
keystore.path = ${dir.appdata}/my.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = pkcs12
在这种情况下,Mirth 完全无法启动。日志中的第一个错误是
java.io.IOException: Invalid keystore format
at com.sun.crypto.provider.JceKeyStore.engineLoad(JceKeyStore.java:724)
at java.security.KeyStore.load(Unknown Source)
at com.mirth.connect.server.MirthWebServer.createSSLConnector(MirthWebServer.java:370)
at com.mirth.connect.server.MirthWebServer.<init>(MirthWebServer.java:150)
at com.mirth.connect.server.Mirth.startWebServer(Mirth.java:385)
at com.mirth.connect.server.Mirth.startup(Mirth.java:265)
at com.mirth.connect.server.Mirth.run(Mirth.java:154)
更新 Mirth 内置密钥库:
Keytool 命令:
keytool -importcert -alias my-ca-cert -file myCaCert.pem -keystore appdata\keystore.jks -trustcacerts -storetype jceks -storepass xxxxxxxx
keytool -importcert -alias my-server-cert -file myServerCert.pem -keystore appdata\keystore.jks -trustcacerts -storetype jceks -storepass xxxxxxxx
Mirth.properties:
keystore.path = ${dir.appdata}/keystore.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = JCEKS
在此实例中,Mirth 完全启动,但服务器证书被视为无效。错误日志是
DETAILS: JavaException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at 69352923-b68f-4e96-95a3-ad7681a7f3c1_Deploy:112 (doScript)
at 69352923-b68f-4e96-95a3-ad7681a7f3c1_Deploy:118
at com.mirth.connect.server.util.javascript.JavaScriptUtil.executeScript(JavaScriptUtil.java:547)
at com.mirth.connect.server.util.javascript.JavaScriptUtil.doCall(JavaScriptUtil.java:379)
at com.mirth.connect.server.util.javascript.JavaScriptTask.call(JavaScriptTask.java:113)
at java.util.concurrent.FutureTask.run(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
更新 Java 全局密钥库
Keytool 命令:
keytool.exe -importcert -alias my-ca-cert -file myCaCert.pem -keystore cacerts -storepass xxxxxxxx
keytool.exe -importcert -alias my-server-cert -file myServerCert.pem -keystore cacerts -storepass xxxxxxxx
Mirth.properties:(同上)
keystore.path = ${dir.appdata}/keystore.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = JCEKS
这可行但不可取,因为它会使部署复杂化(我们无法控制客户环境),而且我不相信 Java 升级不会简单地覆盖商店。
通过 方式 太多的尝试和错误,这就是我能够学到的东西:
Native Mirth senders/receivers 自己使用 Mirth.properties 中定义的 Mirth Keystore。如上所述导入证书将适用于这些频道。
如果您使用 Rhino 引擎(例如 Java/JavaScript)进行 send/receive http 请求,则 Mirth 密钥库将被忽略,全局 Java 存储是用过的。同样,上述过程有效。由于我的证书来自 Windows,事实证明我可以通过将 -Djavax.net.ssl.trustStoreType=WINDOWS-ROOT 添加到 Mirth.properties 来简化一点,而不是让我的现场技术人员使用 Java 的 keytool
最初我没有看到 Mirth 频道正常工作的原因是因为我频道的部署脚本从身份验证提供程序获取访问令牌,而我没有考虑独立测试频道发送器。我不认为我是以编程方式做事还是通过 UI 配置频道并不重要,但是,好吧,这就是你的欢乐。 :/
无论如何,希望有一天这会对某人有所帮助。
这看起来应该是一件简单的事情。我希望能够信任来自 Mirth 所依赖的服务的证书,而无需修改全局 Java 证书存储(或为 SSL 插件的每个实例删除一些 grand)。我尝试了以下方法:
生成我自己的密钥库:
Keytool 命令:
keytool -genkey -keystore appdata\my.jks -storetype PKCS12 -keyalg RSA -keysize 2048 -storepass xxxxxxxx
keytool -importcert -alias my-ca-cert -file myCaCert.pem -keystore appdata\my.jks -trustcacerts -storepass xxxxxxxx
keytool -importcert -alias my-server-cert -file myServerCert.pem -keystore appdata\my.jks -trustcacerts -storepass xxxxxxxx
Mirth.properties:
keystore.path = ${dir.appdata}/my.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = pkcs12
在这种情况下,Mirth 完全无法启动。日志中的第一个错误是
java.io.IOException: Invalid keystore format
at com.sun.crypto.provider.JceKeyStore.engineLoad(JceKeyStore.java:724)
at java.security.KeyStore.load(Unknown Source)
at com.mirth.connect.server.MirthWebServer.createSSLConnector(MirthWebServer.java:370)
at com.mirth.connect.server.MirthWebServer.<init>(MirthWebServer.java:150)
at com.mirth.connect.server.Mirth.startWebServer(Mirth.java:385)
at com.mirth.connect.server.Mirth.startup(Mirth.java:265)
at com.mirth.connect.server.Mirth.run(Mirth.java:154)
更新 Mirth 内置密钥库:
Keytool 命令:
keytool -importcert -alias my-ca-cert -file myCaCert.pem -keystore appdata\keystore.jks -trustcacerts -storetype jceks -storepass xxxxxxxx
keytool -importcert -alias my-server-cert -file myServerCert.pem -keystore appdata\keystore.jks -trustcacerts -storetype jceks -storepass xxxxxxxx
Mirth.properties:
keystore.path = ${dir.appdata}/keystore.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = JCEKS
在此实例中,Mirth 完全启动,但服务器证书被视为无效。错误日志是
DETAILS: JavaException: javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at 69352923-b68f-4e96-95a3-ad7681a7f3c1_Deploy:112 (doScript)
at 69352923-b68f-4e96-95a3-ad7681a7f3c1_Deploy:118
at com.mirth.connect.server.util.javascript.JavaScriptUtil.executeScript(JavaScriptUtil.java:547)
at com.mirth.connect.server.util.javascript.JavaScriptUtil.doCall(JavaScriptUtil.java:379)
at com.mirth.connect.server.util.javascript.JavaScriptTask.call(JavaScriptTask.java:113)
at java.util.concurrent.FutureTask.run(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor.runWorker(Unknown Source)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(Unknown Source)
at java.lang.Thread.run(Unknown Source)
更新 Java 全局密钥库
Keytool 命令:
keytool.exe -importcert -alias my-ca-cert -file myCaCert.pem -keystore cacerts -storepass xxxxxxxx
keytool.exe -importcert -alias my-server-cert -file myServerCert.pem -keystore cacerts -storepass xxxxxxxx
Mirth.properties:(同上)
keystore.path = ${dir.appdata}/keystore.jks
keystore.storepass = xxxxxxxx
keystore.keypass = xxxxxxxx
keystore.type = JCEKS
这可行但不可取,因为它会使部署复杂化(我们无法控制客户环境),而且我不相信 Java 升级不会简单地覆盖商店。
通过 方式 太多的尝试和错误,这就是我能够学到的东西:
Native Mirth senders/receivers 自己使用 Mirth.properties 中定义的 Mirth Keystore。如上所述导入证书将适用于这些频道。
如果您使用 Rhino 引擎(例如 Java/JavaScript)进行 send/receive http 请求,则 Mirth 密钥库将被忽略,全局 Java 存储是用过的。同样,上述过程有效。由于我的证书来自 Windows,事实证明我可以通过将
-Djavax.net.ssl.trustStoreType=WINDOWS-ROOT添加到 Mirth.properties 来简化一点,而不是让我的现场技术人员使用 Java 的 keytool
最初我没有看到 Mirth 频道正常工作的原因是因为我频道的部署脚本从身份验证提供程序获取访问令牌,而我没有考虑独立测试频道发送器。我不认为我是以编程方式做事还是通过 UI 配置频道并不重要,但是,好吧,这就是你的欢乐。 :/
无论如何,希望有一天这会对某人有所帮助。