![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Fehler beim Konfigurieren des verschlüsselten SSL-Zugriffs für die Sicherheit
Es können Fehler zurückgegeben werden, wenn Sie versuchen, SSL für verschlüsselten Zugriff zu konfigurieren. Dieser Artikel beschreibt verschiedene häufig auftretende Fehler und gibt Empfehlungen für deren Behebung.
- Beim Starten von iKeyman wird der Fehler "Die JCE-Dateien (Java Cryptographic Extension) wurden nicht gefunden." angezeigt
- Bei Verwendung des falschen Keystore-Kennworts wird der Fehler "MAC kann nicht geprüft werden." angezeigt
- Wenn kein vertrauenswürdiges Zertifikat gefunden wird, wird ein "Fehler beim SSL-Handshake" ausgegeben
- Der Zertifikatsalias wurde nicht im Keystore gefunden
Falls Sie kein Problem finden, das Ihrem Problem gleicht, oder falls Sie das Problem mit bereitgestellten Informationen nicht beheben können, suchen Sie in der Hilfe zur Fehlerbehebung von IBM nach weiteren unterstützenden Informationen.
Beim Starten von iKeyman wird der Fehler "Die JCE-Dateien (Java Cryptographic Extension) wurden nicht gefunden." angezeigt
"Die JCE-Dateien (Java Cryptographic Extension) wurden nicht gefunden.
Prüfen Sie, ob die JCE-Dateien im richtigen Verzeichnis installiert wurden."
Wenn Sie auf OK klicken, wird
das Tool iKeyman geschlossen. Gehen Sie wie folgt vor, um den Fehler zu beheben:- Setzen Sie den Parameter JAVA_HOME so, dass er auf das Java™ Developer Kit zeigt, das mit WebSphere Application Server bereitgestellt wird.
Der Befehl könnte beispielsweise wie folgt lauten: export JAVA_HOME=/opt/WebSphere/AppServer/java
Wenn WebSphere Application Server auf Laufwerk c: installiert ist, würde der Befehl wie folgt lauten: set JAVA_HOME=c:\WebSphere\AppServer\java
- Benennen Sie die Datei Installationsverzeichnis/java/jre/lib/ext/gskikm.jar in gskikm.jar.org um.
Die Datei befindet sich im Verzeichnis Installationsverzeichnis/java/jre/lib/ext/.
Standardmäßig befindet sich die Datei in dem folgenden Verzeichnis: Stammverzeichnis_des_AnwendungsserversEditionsname/java/ext.
Bei Verwendung des falschen Keystore-Kennworts wird der Fehler "MAC kann nicht geprüft werden." angezeigt
Der folgende Fehler kann angezeigt werden, wenn das falsche Keystore-Kennwort verwendet wird:
CWPKI0033E: Der Keystore in "C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12"
konnte wegen des folgenden Fehlers nicht geladen werden: MAC kann nicht geprüft werden.
Geben Sie im Feld Kennwort, das auf diesen Keystore verweist, das richtige Kennwort ein. Das Standardkennwort ist WebAS. Verwenden Sie dieses Kennwort nur in einer Produktionsumgebung.
Wenn kein vertrauenswürdiges Zertifikat gefunden wird, wird ein "Fehler beim SSL-Handshake" ausgegeben
CWPKI0022E: Fehler beim SSL-Handshake: Es wurde ein Unterzeichner mit SubjectDN "CN=BIRKT40.austin.ibm.com,
O=IBM, C=US" vom Zielhost (Port) "9.65.49.131:9428" gesendet.
Möglicherweise muss der Unterzeichner dem lokalen Truststore C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12 unter dem SSL-Konfigurationsalias DefaultSSLSettings hinzugefügt werden. Der Truststore wird aus der SSL-Konfigurationsdatei geladen.
"No trusted certificate found."
Dieser Fehler zeigt an, dass das Unterzeichnerzertifikat vom angegebenen Zielhost und Port weder im angegebenen Truststore noch in den SSL-Einstellungen noch in der SSL-Konfigurationsdatei gefunden wurde. Wenn dieser Fehler in einem Clientprozess auftritt, können Sie verschiedene Maßnahmen ergreifen:
- Sie können die Systemanfrage zum Unterzeichneraustausch aktivieren.
- Führen das Script retrieveSigners aus. Weitere Informationen finden Sie im Artikel Befehl retrieveSigners
- Sie können die Unterzeichner manuell vom Server exportieren und in den Client importieren.
Wenn dieses Problem in einem Serverprozess auftritt, führen Sie eine der folgenden Prozeduren aus:
- Suchen Sie in der Administrationskonsole den Zielendpunkt (Hostname und Port) und bestimmen Sie das Zertifikat, das von der zugehörigen SSL-Konfiguration verwendet wird. Extrahieren Sie das SSL-Zertifikat in eine Datei und importieren Sie es in den Truststore des sendenden Servers, der in der Fehlernachricht angegeben ist.
- Suchen Sie in der Administrationskonsole den Truststore des sendenden Servers. Klicken Sie auf "Unterzeichnerzertifikate" > "Von Port abrufen", und stellen Sie eine direkte Verbindung zum Zielhost (Port) her, der in der Nachricht angegeben ist, um den Unterzeichner direkt in den Truststore einzufügen
- Extrahieren Sie den Unterzeichner manuell mit dem Dienstprogramm iKeyman vom Zielserver und aus dem Host-Keystore und importieren Sie ihn in den Truststore des Servers, der das Zertifikat sendet.
Vor WebSphere Application Server Version 6.1 haben die Verwaltungsprozesse von WebSphere Application Server die individuell verwalteten SSL-Konfigurationen zugelassen, die über Systemeigenschaften definiert wurden. Die Systemeigenschaften Ihres Systems vor Version 6.1 wurden erfolgreich verarbeitet.
Ab WebSphere Application Server Version 6.1 findet eine zentrale Verwaltung der SSL-Konfiguration statt. Bei Anwendungen, die Systemeigenschaftswerte anstelle der zentral verwalteten dynamischen SSL-Standardkonfiguration für SSL-Verbindungen verwenden, können Handshake-Fehler auftreten. Die Kommunikation zwischen Node Agent und Anwendungsserver wird in WebSphere Application Server Version 6.1 über die dynamische SSL-Standardkonfiguration und nicht über die von Ihnen definierten Systemeigenschaften gesteuert. Möglicherweise müssen Sie Ihre Anwendung anpassen, damit sie die zentral verwaltete SSL-Konfiguration von WebSphere Application Server Version 6.1 verwendet.
Der Zertifikatsalias wurde nicht im Keystore gefunden
CWPKI0023E: Der mit der Eigenschaft com.ibm.ssl.keyStoreClientAlias
angegebene Zertifikatsalias "default" wurde nicht im KeyStore
"c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12" gefunden.
Dieser Fehler weist darauf hin, dass der angegebene Zertifikatsalias nicht im angegebenen Keystore gefunden wurde. Ändern Sie den Zertifikatsalias, oder stellen Sie sicher, dass der Alias im angegebenen Keystore enthalten ist.