![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
握手消息
本主题包含可能因为 SSL 握手失败而导致的错误消息,并且提供 解决方案以帮助您对这些问题进行故障诊断。
下列消息是由于握手失败而显示的:
- 消息:SSL0192W: IBM HTTP Server 配置为允许客户机进行重新协商,这易受中间人攻击 (<servername:port>)
- 原因:使用了 SSLInsecureRenegotiation 伪指令将 IBM HTTP Server 配置为允许客户机进行握手重新协商。此配置易受中间人攻击。仅当客户机有需要并且了解该风险时才使用此配置。有关此漏洞的更多信息,请参阅有关 CVE-2009-3555 的公共文档。
- 解决方案:除去 SSLInsecureRenegotiation 伪指令或者将此伪指令设置为 OFF 以避免这种漏洞。如果专有客户机需要 SSL 重新协商功能,请更新这些客户机以建立新的连接。
- 消息:SSL0193W: 将 GSK_NO_RENEGOTIATION 设置为 <GSK_TRUE
| GSK_FALSE> <errorcode> 时发生错误
- 原因:当服务器尝试禁止客户机进行重新协商时发生错误。此设置是缺省值。但是,如果将 SSLInsecureRenegotiation 伪指令指定为 OFF 值,那么也将设置此值。
- 解决方案:向 IBM 支持人员报告此问题。
- 消息:SSL0196I: 安全库不支持 GSK_SESSION_RESET_CALLBACK,从而通过监视
SID 拒绝不安全的 SSL 客户机重新协商
- 原因:当服务器尝试禁止客户机进行重新协商时,确定此系统上的安全库不支持 GSK_SESSION_RESET_CALLBACK。它将配置为使用备用机制(监视 SID)以拒绝不安全的 SSL 客户机重新协商。
- 解决方案:此参考消息并不表示发生故障,而是报告配置情况。不需要执行任何操作。您可以升级到支持 GSK_SESSION_RESET_CALLBACK 或支持禁用 SSL 客户机重新协商的更新 z/OS 安全库。
- 消息:SSL0197I: 安全库已配置为拒绝不安全的 SSL 客户机重新协商。
- 原因:已成功地将安全库配置为拒绝客户机重新协商。
- 解决方案:此参考消息并不表示发生故障,而是报告了特定的配置设置。不需要执行任何操作。
- 消息:SSL0198I: 系统正在运行,但是,安全库不能够直接拒绝不安全的
SSL 客户机重新协商。请中止跨 SSL 会话的 HTTPS 请求。
- 原因:当服务器尝试禁止客户机进行重新协商时,确定此系统上的安全库不支持直接拒绝 SSL 客户机重新协商。它将配置为使用备用回调机制。
- 解决方案:此参考消息并不表示发生故障,而是报告配置情况。不需要执行任何操作。对于 z/OS 系统,请升级到支持 GSK_SESSION_RESET_CALLBACK 或支持禁用 SSL 客户机重新协商的更新安全库。对于分布式系统,请升级到 GSKit V7.0.4.27 或更高版本。
- 消息:SSL0200E: 握手失败,<code>。
- 原因:当 SSL 库返回未知错误时握手失败。
- 解决方案:向 IBM 支持人员报告此问题。
- 消息:SSL0201E: 握手失败,内部错误 - 句柄错误。
- 原因:发生了一个内部错误。
- 解决方案:向 IBM 支持人员报告此问题。
- 消息:SSL0202E: 握手失败,GSK 库已卸装。
- 原因:因为动态链接库已卸装,所以对 GSKit 功能的调用失败(仅 Windows 操作系统)。
- 解决方案:关闭并重新启动服务器。
- 消息:SSL0203E: 握手失败,GSK 内部错误。
- 原因:由于 GSKit 库中的错误导致客户机与服务器之间的通信失败。
- 解决方案:重试从客户机进行连接。如果错误依然存在,请向 IBM 支持人员报告此问题。
- 消息:SSL0204E: 握手失败,内部内存分配失败。
- 原因:服务器无法分配完成操作所需的内存。
- 解决方案:采取相应的操作以释放一些额外内存。尝试减少处于运行状态的线程或进程的数量,或者增加虚拟内存。
- 消息:SSL0205E: 握手失败,GSK 句柄处于无效的操作状态。
- 原因:连接的 SSL 状态无效。
- 解决方案:重试从客户机进行连接。如果错误依然存在,请向 IBM 支持人员报告此问题。
- 消息:SSL0206E: 握手失败,找不到密钥文件标号
- 原因:在对 KeyFile 伪指令指定的密钥数据库 (KDB) 文件中找不到对 SSLServerCert 伪指令指定的标号。
- 解决方案:为 SSLServerCert 伪指令指定一个值,该值应与对 KeyFile 伪指令指定的 KDB 文件中提供的个人证书相对应。
- 消息:SSL0207E: 握手失败,证书不可用。
- 原因:客户机未发送证书。
- 解决方案:如果客户机证书不是必需的,将客户机认证设置为可选。联系客户机以确定它未发送可接受证书的原因。
- 消息:SSL0208E: 握手失败,证书验证错误。
- 原因:收到的证书未通过某个验证检查。
- 解决方案:使用其他证书。联系 IBM 支持人员以确定证书未通过验证的原因。
- 消息:SSL0209E: 握手失败,处理密码术时出错。
- 原因:发生了一个密码术错误。
- 解决方案:无。如果问题依然存在,请向 IBM 支持人员报告此问题。
- 消息:SSL0210E: 握手失败,验证证书中的 ASN 字段时出错。
- 原因:服务器无法验证证书中的某个 ASN 字段。
- 解决方案:尝试其他证书。
- 消息:SSL0211E: 握手失败,连接到 LDAP 服务器时出错。
- 原因:Web 服务器无法连接到 CRL LDAP 服务器。
- 解决方案:验证为 SSLCRLHostname 和 SSLCRLPort 伪指令输入的值是否正确。如果访问 CRL LDAP 服务器需要认证,请验证是否已编码 SSLCRLUserID 伪指令以及是否已将密码添加到 SSLStashfile 伪指令所指向的隐藏文件中。
- 消息:SSL0212E: 握手失败,未知内部错误。
- 原因:SSL 库中发生了一个未知错误。
- 解决方案:向 IBM 支持人员报告此问题。
- 消息:SSL0213E: 握手失败,由于密码错误而导致打开失败。
- 原因:SSL 库中发生了一个未知错误。
- 解决方案:向 IBM 支持人员报告此问题。
- 消息:SSL0214E: 握手失败,读取密钥文件时发生 I/O 错误。
- 原因:服务器无法读取密钥数据库文件。
- 解决方案:检查文件访问许可权并验证是否允许 Web 服务器用户标识进行访问。
- 消息:SSL0215E: 握手失败,密钥文件具有无效的内部格式。请重新创建密钥文件。
- 原因:密钥文件具有无效的格式。
- 解决方案:重新创建密钥文件。
- 消息:SSL0216E: 握手失败,密钥文件的两个条目具有相同的密钥。请使用 IKEYMAN 除去重复的密钥。
- 原因:密钥文件中存在两个相同的密钥。
- 解决方案:请使用 IKEYMAN 除去重复的密钥。
- 消息:SSL0217E: 握手失败,密钥文件的两个条目具有相同的标签。请使用 IKEYMAN 除去重复的标签。
- 原因:密钥数据库文件中还有一个具有相同标签的证书。
- 解决方案:请使用 IKEYMAN 除去重复的标签。
- 消息:SSL0218E: 握手失败,密钥文件已损坏或密码不正确。
- 原因:密钥文件密码被用作完整性检查并且测试失败。密钥数据库文件已损坏或密码不正确。
- 解决方案:使用 IKEYMAN 再次隐藏密钥数据库文件密码。如果仍然失败,请重新创建密钥数据库。
- 消息:SSL0219E: SSL 握手失败,密钥文件中的缺省密钥具有一个到期证书,或者密钥文件密码到期。请使用 iKeyman 来更新或除去到期的证书,或者设置新的密钥文件密码。
- 原因:密钥文件中的缺省密钥具有一个到期证书,或者密钥文件密码到期。
- 解决方案:请使用 iKeyman 来更新或除去到期的证书,或者设置新的密钥文件密码。
- 消息:SSL0220E: 握手失败,装入某个 GSKdynamic 链接库时出错。请确保已正确安装 GSK。
- 原因:由于无法装入某个 GSKdynamic 链接库,所以打开 SSL 环境导致出错。
- 解决方案:联系支持人员以确保已正确安装 GSKit。
- 消息:SSL0221E: 握手失败,证书到期或系统时钟不正确。
- 原因:证书到期或系统时钟不正确。
- 解决方案:使用密钥管理实用程序 (ikeyman) 来重新创建或更新服务器证书,或者将系统日期更改为有效日期。
- 消息:SSL0222W: 握手失败,未指定密码。
- 原因:禁用了 SSLV2 和 SSLV3。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0223E: 握手失败,无证书。
- 原因:客户机未发送证书。
如果密钥文件没有指定缺省证书,而且您没有指定 SSLServerCert 伪指令,那么也会看到此消息。初始化将成功,但在连接(握手)时会失败。
- 解决方案:如果客户机证书不是必需的,将客户机认证设置为可选。联系客户机以确定它未发送证书的原因。
- 原因:客户机未发送证书。
- 消息:SSL0224E: 握手失败,证书无效或格式不正确。
- 原因:客户机未指定有效的证书。
- 解决方案:客户机问题。
- 消息:SSL0225E: 握手失败,证书类型不受支持。
- 原因:此版本的 IBM® HTTP Server SSL 不支持从 客户机收到的证书类型。
- 解决方案:客户机必须使用一种不同的证书类型。
- 消息:SSL0226I: 握手失败,在握手期间发生 I/O 错误。
- 原因:客户机与服务器之间的通信失败。这是客户机在握手完成之前关闭连接时的一个常见错误。
- 解决方案:重试从客户机进行连接。
- 消息:SSL0227E: 握手失败,密钥文件中找不到指定的标签。
- 原因:密钥文件中没有指定的密钥标签。
- 解决方案:检查 SSLServerCert 伪指令是否正确,并当已编码时检查标签是否对密钥数据库中的某个密钥有效。
- 消息:SSL0228E: 握手失败,密钥文件的密码无效。
- 原因:从隐藏文件检索到的密码无法打开密钥数据库文件。
- 解决方案:使用 IKEYMAN 打开密钥数据库文件并重新创建密码隐藏文件。此问题也可能是受损的密钥数据库文件导致的。创建新的密钥数据库文件可以解决此问题。
- 消息:SSL0229E: 握手失败,用于导出的密钥长度无效。
- 原因:在限定密码术环境中,密钥大小因过长而不受支持。
- 解决方案:选择一个具有较短密钥的证书。
- 消息:SSL0230I: 握手失败,收到格式不正确的 SSL 消息。
- 消息:SSL0231W: 握手失败,无法验证 MAC。
- 原因:客户机与服务器之间的通信失败。
- 解决方案:重试从客户机进行连接。
- 消息:SSL0232W: 握手失败,SSL 协议或证书类型不受支持。
- 原因:因为客户机尝试使用 IBM HTTP Server 不 支持的协议或证书,所以客户机与服务器之间的通信失败。
- 解决方案:使用 SSL V2 或 V3,或 TLS 1 协议重试与客户机的连接。尝试其他证书。
- 消息:SSL0233W: 握手失败,证书签名无效。
- 消息:SSL0234W: 握手失败,同级发送的证书已到期或无效。
- 原因:伙伴未指定有效的证书。此服务器正充当 SSL URL 的逆向代理,_server_ cert 无法验证。
- 解决方案:伙伴问题。如果在建立 SSL 代理连接期间发生此错误,那么远程 SSL 服务器向 IBM HTTP Server 发送了错误的证书。请检查 SSL 连接另一端的证书和认证中心链。有关更多信息,请参阅 通过 SSL 通信进行保护。
- 消息:SSL0235W: 握手失败,同级无效。
- 消息:SSL0236W: 握手失败,许可权被拒绝。
- 消息:SSL0237W: 握手失败,自签名证书无效。
- 消息:SSL0238E: 握手失败,内部错误 - 读操作失败。
- 原因:读操作失败。
- 解决方案:无。将此错误报告给 IBM 支持人员。
- 消息:SSL0239E: 握手失败,内部错误 - 写操作失败。
- 原因:写操作失败。
- 解决方案:无。将此错误报告给 IBM 支持人员。
- 消息:SSL0240I: 握手失败,套接字已关闭。
- 原因:在协议完成之前,客户机已关闭套接字。
- 解决方案:重试客户机与服务器之间的连接。
- 消息:SSL0241E: 握手失败,SSLV2 密码规范无效。
- 原因:传递到握手中的 SSL V2 密码规范无效。
- 解决方案:更改指定的 V2 密码规范。
- 消息:SSL0242E: 握手失败,SSLV3 密码规范无效。
- 原因:传递到握手中的 SSL V3 密码规范无效。
- 解决方案:更改指定的 V3 密码规范。
- 消息:SSL0243E: 握手失败,安全性类型无效。
- 原因:SSL 库中有一个内部错误。
- 解决方案:重试从客户机进行连接。如果错误依然存在,请向 IBM 支持人员报告此问题。
- 消息:SSL0245E: 握手失败,内部错误 - 创建 SSL 句柄失败。
- 原因:安全库中有一个内部错误。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0246E: 握手失败,内部错误 - GSK 初始化失败。
- 原因:安全库中的错误导致 SSL 初始化失败。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0247E: 握手失败,LDAP 服务器不可用。
- 原因:当验证证书时,无法访问指定的 LDAP 目录。
- 解决方案:检查 SSLCRLHostname 和 SSLCRLPort 伪指令是否正确。确保 LDAP 服务器是可用的。
- 消息:SSL0248E: 握手失败,指定的密钥不包含专用密钥。
- 原因:密钥不包含专用密钥。
- 解决方案:创建一个新的密钥。如果这是一个导入的密钥,那么导出时请包含专用密钥。
- 消息:SSL0249E: 握手失败,尝试装入指定的 PKCS#11 共享库失败。
- 原因:装入 PKCS#11 共享库时发生错误。
- 解决方案:验证 SSLPKCSDriver 伪指令中指定的 PKCS#11 共享库是否有效。
- 消息:SSL0250E: 握手失败,PKCS#11 驱动程序找不到调用者指定的令牌标签。
- 原因:PKCS#11 设备上找不到指定的令牌。
- 解决方案:检查 SSLServerCert 伪指令中指定的令牌标签对于您的设备是否有效。
- 消息:SSL0251E: 握手失败,槽没有 PKCS#11 令牌。
- 原因:未正确初始化 PKCS#11 设备。
- 解决方案:为 PKCS#11 令牌指定有效的槽或初始化设备。
- 消息:SSL0252E: 握手失败,访问 PKCS#11 令牌的密码/PIN 不存在或无效。
- 原因:为 PKCS#11 令牌指定的用户密码和 PIN 不存在或无效。
- 解决方案:检查是否使用 SSLStash 实用程序隐藏了正确的密码并检查 SSLStashfile 伪指令是否正确。
- 消息:SSL0253E: 握手失败,收到的 SSL 头不是正确的 SSLV2 格式的头。
- 原因:握手期间收到的数据不符合 SSLV2 协议。
- 解决方案:重试客户机与服务器之间的连接。验证客户机是否使用 HTTPS。
- 消息:SSL0254E: 内部错误 - I/O 失败,缓冲区大小无效。
- 原因:对 I/O 函数的调用中的缓冲区大小为零或负值。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0255E: 握手失败,将阻止操作。
- 原因:因为套接字处于非阻塞方式,所以 I/O 失败。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0256E: 内部错误 - SSLV3 是 reset_cipher 所必需的,连接使用的是 SSLV2。
- 原因:在 SSLV2 连接中尝试了 reset_cipher 函数。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0257E: 内部错误 - 为 gsk_secure_soc_misc 函数调用指定的标识无效。
- 原因:无效值传递到 gsk_secure_soc_misc 函数。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0258E: 握手失败,函数调用 <function> 的标识无效。
- 原因:传递到指定函数的函数标识无效。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0259E: 握手失败,内部错误 - 属性在 <function> 中的长度为负。
- 原因:传递到函数的长度值为负,它是无效的。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0260E: 握手失败,<function> 中指定枚举类型的枚举值无效。
- 原因:函数调用包含无效的函数标识。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0261E: 握手失败,SID 高速缓存无效:<function>。
- 原因:函数调用包含一个用于替换 SID 高速缓存例程的无效参数列表。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0262E: 握手失败,属性具有一个无效的数值:<function>。
- 原因:函数调用包含一个对于正在设置的属性无效的值。
- 解决方案:无。向 IBM 支持人员报告此问题。
- 消息:SSL0263W: 在 SSL 未初始化的情况下尝试进行 SSL 连接。
- 原因:支持 SSL 的虚拟主机收到一个连接,但无法完成该连接,因为在 SSL 初始化期间发生错误。
- 解决方案:检查启动期间的错误消息并纠正该问题。
- 消息:SSL0264E: 无法获取标签为 <certificate> 的证书数据。
- 原因:GSKit 错误导致无法检索服务器证书信息。
- 解决方案:检查带有更多信息的先前错误消息。
- 消息:SSL0265W: 客户机未提供证书。
- 原因:一个已连接客户机无法发送客户机证书,服务器已配置为需要证书。
- 解决方案:服务器端无需任何操作。
- 消息:SSL0266E: 握手失败。
- 原因:无法建立 SSL 代理连接。
- 解决方案:IBM HTTP Server 无法使用 SSL 与远 程服务器建立代理连接。
- 消息:SSL0267E: SSL 握手失败。
- 原因:握手期间网络操作超时。
- 解决方案:检查客户机连接,调整超时。
- 消息:SSL0270I: SSL 握手失败,在接收到任何数据之前发生超时(dd 秒)。
- 原因:在 SSL 端口上收到一个连接,但超时到期前,尚未从客户机接收到任何数据。
- 解决方案:如果已从缺省值减少超时(由 Timeout 伪指令设置),请验证它是否合理。如果该消息间歇出现,那么这可能是正常情况,原因可能是用户取消页面装入和浏览器或系统崩溃等等。如果该消息突然大量出现,那么可能表示正在受到拒绝服务攻击。
- 消息:SSL0271I: SSL 握手失败,客户机关闭了连接而不发送任何数据。
- 原因:在 SSL 端口上收到一个连接,但客户机关闭了该连接而不开始握手。
- 解决方案:如果已从缺省值减少超时(由 Timeout 伪指令设置),请验证它是否合理。如果该消息间歇出现,那么这可能是正常情况,原因可能是用户取消页面装入和浏览器或系统崩溃等等。如果该消息突然大量出现,那么可能表示正在受到拒绝服务攻击。
- 消息:SSL0272I: SSL 握手失败,在接收到任何数据之前发生 I/O 错误。
- 原因:在 SSL 端口上收到一个连接,但尚未从客户机接收到任何数据,网络错误就中断了连接。
- 解决方案:如果该消息间歇出现,那么这可能是正常情况,原因可能是用户取消页面装入和浏览器或系统崩溃等等。如果该消息突然大量出现,那么可能表示正在受到拒绝服务攻击。
- 消息:SSL0273I: 在为 SSL 配置的连接上接收到非 SSL 请求
- 原因:在 SSL 端口上收到一个连接,但接收到的数据不是 SSL,而似乎是普通的非 SSL 请求。
- 解决方案:验证相关端口是否要针对 SSL 进行配置。查找指向存在疑问的页面(应该使用 https:,但却使用了 http:)的错误链接。
- 消息:SSL0273I: 在为 SSL 配置的连接上接收到非 SSL 请求
- 原因:在 SSL 端口上收到一个连接,但接收到的数据不是 SSL,而似乎是普通的非 SSL 请求。
- 解决方案:验证相关端口是否要针对 SSL 进行配置。查找指向存在疑问的页面(应该使用 https:,但却使用了 http:)的错误链接。
- 消息:SSL0276E: SSL: 检测到意外的 SSL 客户机重新协商,正在中止 SSL 连接。
- 原因:已尝试进行 SSL 客户机重新协商,但配置不允许 SSL 重新协商。因此,SSL 连接将停止。
- 解决方案:重试客户机与服务器之间的连接。仅在需要时,配置连接以允许 SSL 重新协商。请了解风险。如果专有客户机需要 SSL 重新协商功能,请更新这些客户机以建立新的连接。