Comment mettre à jour le certificat racine dans la JVM ?

C’est acté, le certificat racine d’AddTrust présent dans d’anciennes JVM a expiré le 30 mai 2020. Il est néanmoins possible de mettre à jour le certificat racine dans la JVM

Suivez le guide

Qu’est-ce qu’un certificat racine ?

Un certificat racine permet de valider la chaîne de certificat lors des échanges sécurisés, et celui d’AddTrust permet notamment de vérifier l’authenticité de notre certificat actuel nudge-apm.com, délivré par notre fournisseur Gandi. Si vous utilisez nos agents APM Nudge avec une JVM 6, 7 voir 8, vous êtes potentiellement impactés.

Le message d’erreur rencontré est de la forme :

2020-06-03T10:52Z SEVERE nudge-collector | unable to send data
: https://collector.nudge-apm.com/collect/rawdata/ded54861-3d6f-440d-93bf-941d6e5c721f -1 null

ERROR : exception thrown : sun.security.validator.ValidatorException:
PKIX path building failed: sun.security.provider.certpath.
SunCertPathBuilderException: unable to find valid certification path to requested target...

Mettre à jour le certificat racine

La solution pour ce faire est d’ajouter la nouvelle version de ce certificat racine dans le truststore (magasin de certificat en français) de votre JRE.
Pour cela, il faut utiliser l’utilitaire keytool présent dans un JDK :

$JAVA_HOME/bin/keytool

A noter que l’utilisation de keytool demande un mot de passe et par défaut, il est positionné à la valeur changeit

  • Pour commencer, vous pouvez télécharger le certificat racine de AddTrust External CA :
  • (Optionnel) Vous pouvez également vérifier l’expiration du certification racine AddTrust External CA :
$JAVA_HOME/bin/keytool -list -v -keystore $JAVA_HOME/jre/lib/security /cacerts

Parmi les nombreuses signatures des certificats présents dans le truststore, celui qui vous concerne porte l’alias addtrustexternalca.

Comme vous pouvez le vérifier ci-dessous, la date d’expiration est au 30 mai 2020.

(...)
Nom d'alias : addtrustexternalca
Date de création : 2 mai 2006
Type d'entrée : trustedCertEntry
Propriétaire : CN=AddTrust External CA Root, OU=AddTrust External TTP
Network, O=AddTrust AB, C=SE
Emetteur : CN=AddTrust External CA Root, OU=AddTrust External TTP
Network, O=AddTrust AB, C=SE
Numéro de série : 1
Valide du : Tue May 30 12:48:38 CEST 2000 au : Sat May 30 12:48:38 CEST
2020
(...)

  • Ensuite, vous devez supprimer le certificat racine expiré du truststore :

$JAVA_HOME/bin/keytool -delete -alias addtrustexternalca -keystore

$JAVA_HOME/jre/lib/security/cacerts

  • Enfin, il conviendra d’ajouter le nouveau certificat racine téléchargé dans le truststore :

$JAVA_HOME/bin/keytool -import -trustcacerts -file ~/USERTrustRSAAAACA.
crt -alias addtrustexternalca -keystore $JAVA_HOME/jre/lib/security
/cacerts

A la suite de cet import, le certificat racine sera mis à jour et tout devrait fonctionner  à nouveau correctement.

Vérifier la connexion avec Nudge APM

Si vous avez à disposition un de nos agents java pour Nudge APM, voici comment vérifier que la connexion avec nos serveurs est rétablie :

$JAVA_HOME/bin/java -jar nudge-3.2.1.jar -tc

OK : Connection to https://collector.nudge-apm.com/ successful

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Recevoir nos actualités

Restez à jour sur les tendances de la Satisfaction Utilisateur
ENVOYER
close-link