[AIX Solaris HP-UX Linux Windows]

Fehler beim Konfigurieren des verschlüsselten SSL-Zugriffs für die Sicherheit

Es können Fehler zurückgegeben werden, wenn Sie versuchen, SSL für verschlüsselten Zugriff zu konfigurieren. Dieser Artikel beschreibt verschiedene häufig auftretende Fehler und gibt Empfehlungen für deren Behebung.

Falls Sie kein Problem finden, das Ihrem Problem gleicht, oder falls Sie das Problem mit bereitgestellten Informationen nicht beheben können, suchen Sie in der Hilfe zur Fehlerbehebung von IBM nach weiteren unterstützenden Informationen.

Beim Starten von iKeyman wird der Fehler "Die JCE-Dateien (Java Cryptographic Extension) wurden nicht gefunden." angezeigt

Wenn Sie versuchen, das Tool iKeyman zu starten, wird möglicherweise folgender Fehler angezeigt:
"Die JCE-Dateien (Java Cryptographic  Extension) wurden nicht gefunden.
Prüfen Sie, ob die JCE-Dateien im richtigen Verzeichnis installiert wurden."
Wenn Sie auf OK klicken, wird das Tool iKeyman geschlossen. Gehen Sie wie folgt vor, um den Fehler zu beheben:
  • Setzen Sie den Parameter JAVA_HOME so, dass er auf das Java™ Developer Kit zeigt, das mit WebSphere Application Server bereitgestellt wird.

    [AIX HP-UX Solaris]Der Befehl könnte beispielsweise wie folgt lauten: export JAVA_HOME=/opt/WebSphere/AppServer/java

    [Windows]Wenn WebSphere Application Server auf Laufwerk c: installiert ist, würde der Befehl wie folgt lauten: set JAVA_HOME=c:\WebSphere\AppServer\java

  • Benennen Sie die Datei Installationsverzeichnis/java/jre/lib/ext/gskikm.jar in gskikm.jar.org um.

    [AIX Solaris HP-UX Linux Windows]Die Datei befindet sich im Verzeichnis Installationsverzeichnis/java/jre/lib/ext/.

    Standardmäßig befindet sich die Datei in dem folgenden Verzeichnis: Stammverzeichnis_des_AnwendungsserversEditionsname/java/ext.

Bei Verwendung des falschen Keystore-Kennworts wird der Fehler "MAC kann nicht geprüft werden." angezeigt

Der folgende Fehler kann angezeigt werden, wenn das falsche Keystore-Kennwort verwendet wird:

CWPKI0033E: Der Keystore in "C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12"
konnte wegen des folgenden Fehlers nicht geladen werden: MAC kann nicht geprüft werden.

Geben Sie im Feld Kennwort, das auf diesen Keystore verweist, das richtige Kennwort ein. Das Standardkennwort ist WebAS. Verwenden Sie dieses Kennwort nur in einer Produktionsumgebung.

Wenn kein vertrauenswürdiges Zertifikat gefunden wird, wird ein "Fehler beim SSL-Handshake" ausgegeben

Der folgende Fehler kann angezeigt werden, wenn Sie versuchen, den Unterzeichner zum lokalen Truststore hinzuzufügen:
CWPKI0022E: Fehler beim SSL-Handshake: Es wurde ein Unterzeichner mit SubjectDN "CN=BIRKT40.austin.ibm.com,
            O=IBM, C=US" vom Zielhost (Port) "9.65.49.131:9428" gesendet.

Möglicherweise muss der Unterzeichner dem lokalen Truststore C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12 unter dem SSL-Konfigurationsalias DefaultSSLSettings hinzugefügt werden. Der Truststore wird aus der SSL-Konfigurationsdatei geladen.

Die erweiterte Fehlernachricht zur SSL-Handshake-Ausnahme lautet:
"No trusted certificate found."

Dieser Fehler zeigt an, dass das Unterzeichnerzertifikat vom angegebenen Zielhost und Port weder im angegebenen Truststore noch in den SSL-Einstellungen noch in der SSL-Konfigurationsdatei gefunden wurde. Wenn dieser Fehler in einem Clientprozess auftritt, können Sie verschiedene Maßnahmen ergreifen:

  • Sie können die Systemanfrage zum Unterzeichneraustausch aktivieren.
  • Führen das Script retrieveSigners aus. Weitere Informationen finden Sie im Artikel Befehl retrieveSigners
  • Sie können die Unterzeichner manuell vom Server exportieren und in den Client importieren.

Wenn dieses Problem in einem Serverprozess auftritt, führen Sie eine der folgenden Prozeduren aus:

  • Suchen Sie in der Administrationskonsole den Zielendpunkt (Hostname und Port) und bestimmen Sie das Zertifikat, das von der zugehörigen SSL-Konfiguration verwendet wird. Extrahieren Sie das SSL-Zertifikat in eine Datei und importieren Sie es in den Truststore des sendenden Servers, der in der Fehlernachricht angegeben ist.
  • Suchen Sie in der Administrationskonsole den Truststore des sendenden Servers. Klicken Sie auf "Unterzeichnerzertifikate" > "Von Port abrufen", und stellen Sie eine direkte Verbindung zum Zielhost (Port) her, der in der Nachricht angegeben ist, um den Unterzeichner direkt in den Truststore einzufügen
  • Extrahieren Sie den Unterzeichner manuell mit dem Dienstprogramm iKeyman vom Zielserver und aus dem Host-Keystore und importieren Sie ihn in den Truststore des Servers, der das Zertifikat sendet.
Anmerkung: Standardmäßig verwendet Websphere Application Server die Dateien "key.p12" und "trust.p12" für die Kommunikation zwischen Websphere Application Servern (z. B. zwischen Node Agent und Anwendungsserver). Wenn WebSphere Application Server ein Zertifikat in einer anderen Datei als diesen sucht, ist es möglich, dass Ihre Anwendung die SSL-Konfiguration über Systemeigenschaften über die Methode "System.setProperty()" einrichtet. Das heißt, dass SSL-Konfigurationen für jeden Ihrer Prozesse verwaltet werden und Sie die Einstellungen für jede SSL-Konfiguration in der Topologie individuell verwalten müssen.

Vor WebSphere Application Server Version 6.1 haben die Verwaltungsprozesse von WebSphere Application Server die individuell verwalteten SSL-Konfigurationen zugelassen, die über Systemeigenschaften definiert wurden. Die Systemeigenschaften Ihres Systems vor Version 6.1 wurden erfolgreich verarbeitet.

Ab WebSphere Application Server Version 6.1 findet eine zentrale Verwaltung der SSL-Konfiguration statt. Bei Anwendungen, die Systemeigenschaftswerte anstelle der zentral verwalteten dynamischen SSL-Standardkonfiguration für SSL-Verbindungen verwenden, können Handshake-Fehler auftreten. Die Kommunikation zwischen Node Agent und Anwendungsserver wird in WebSphere Application Server Version 6.1 über die dynamische SSL-Standardkonfiguration und nicht über die von Ihnen definierten Systemeigenschaften gesteuert. Möglicherweise müssen Sie Ihre Anwendung anpassen, damit sie die zentral verwaltete SSL-Konfiguration von WebSphere Application Server Version 6.1 verwendet.

Der Zertifikatsalias wurde nicht im Keystore gefunden

Der folgende Fehler kann angezeigt werden, wenn der Zertifikatsalias nicht im angegebenen Keystore gefunden wird:
CWPKI0023E: Der mit der Eigenschaft com.ibm.ssl.keyStoreClientAlias
angegebene Zertifikatsalias "default" wurde nicht im KeyStore
"c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12" gefunden. 

Dieser Fehler weist darauf hin, dass der angegebene Zertifikatsalias nicht im angegebenen Keystore gefunden wurde. Ändern Sie den Zertifikatsalias, oder stellen Sie sicher, dass der Alias im angegebenen Keystore enthalten ist.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_sslconfigprobs
Dateiname:rtrb_sslconfigprobs.html