![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
Erreurs lors de la configuration de l'accès crypté SSL pour la sécurité
Des erreurs risquent d'être renvoyées lorsque vous essayez de configurer (Secure Sockets Layer) pour un accès crypté. Cet article décrit certaines erreurs communes que vous risquez de rencontrer et vous propose des solutions pour résoudre ces incidents.
- Erreur "Les fichiers JCE Java Cryptographic Extension) sont introuvables." lors du lancement de l'outil iKeyman
- "Impossible de vérifier MAC" lorsque le mauvais mot de passe de fichier de clés est utilisé
- Erreur "Echec de l'établissement de liaison SSL" quand aucun certificat sécurisé n'a été trouvé
- L'alias du certificat ne peut pas être trouvé dans le fichier de clés
Si vous ne trouvez pas d'incident similaire au vôtre, ou si les informations fournies ne permettent pas de résoudre votre problème, reportez-vous à la rubrique Support IBM pour la résolution des incidents.
Erreur "Les fichiers JCE Java Cryptographic Extension) sont introuvables." lors du lancement de l'outil iKeyman
"The Java Cryptographic Extension (JCE) files were not found.
Please check that the JCE files have been installed in the correct directory."
Lorsque vous cliquez sur OK, l'outil iKeyman se ferme. Pour résoudre l'incident, procédez comme suit :- Définissez le paramètre JAVA_HOME afin qu'il désigne le kit JDK
(Java™ Developer Kit) livré avec
WebSphere Application Server.
Par exemple, la commande est similaire à la suivante : export JAVA_HOME=/opt/WebSphere/AppServer/java
Si WebSphere Application Server est installé sur votre unité c:, la commande est : set JAVA_HOME=c:\WebSphere\AppServer\java
- Renommez le fichier rép_install/java/jre/lib/ext/gskikm.jar en gskikm.jar.org.
Le fichier se trouve dans le répertoire rép_install/java/jre/lib/ext/.
Par défaut, le fichier se trouve dans le répertoire suivant : racine_serveur_appnom_édition/java/ext.
"Impossible de vérifier MAC" lorsque le mauvais mot de passe de fichier de clés est utilisé
Lorsque le mot de passe du fichier de clés n'est pas utilisé correctement, vous risquez de recevoir l'erreur suivante.
CWPKI0033E: The keystore located at "C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12"
failed to load due to the following error: Unable to verify MAC.
Modifiez la zone Mot de passe qui fait référence à ce fichier de clés en utilisant le mot de passe valide. Le mot de passe par défaut est WebAS. N'utilisez jamais ce mot de passe dans un environnement de production.
Erreur "Echec de l'établissement de liaison SSL" quand aucun certificat sécurisé n'a été trouvé
CWPKI0022E: SSL HANDSHAKE FAILURE: A signer with SubjectDN "CN=BIRKT40.austin.ibm.com,
O=IBM, C=US" was sent from target host:port "9.65.49.131:9428".
Le signataire devra probablement être ajouté au fichier local de clés certifiées C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12 situé dans l'alias de configuration SSL DefaultSSLSettings. Le fichier de clés certifiées est chargé à partir du fichier de configuration SSL.
"No trusted certificate found."
Cette erreur indique que le certificat de signataire issu de l'hôte et du port cible spécifiés n'a pas été localisé dans le fichier de clés certifiées, les paramètres SSL et le fichier de configuration SSL qui ont été spécifiés. Si cela se produit dans un processus client, il existe plusieurs méthodes pour résoudre cet incident :
- Activez l'invite d'échange de signataires.
- Exécutez le script retrieveSigners. Pour plus d'informations, voir la commande retrieveSigners.
- Exportez manuellement les signataires à partir du serveur et importez-les dans le client.
Si cet incident se produit dans un processus serveur, complétez l'une des procédures suivantes :
- Dans la console d'administration, trouvez le point de contact cible (nom d'hôte et port) et désignez le certificat utilisé par la configuration SSL qui lui est associé. Extrayez le certificat SSL dans un fichier et importez-le dans le fichier de clés certifiées du serveur d'envoi mentionné dans le message d'erreur.
- Dans la console d'administration, trouvez le fichier de clés certifiées du serveur d'envoi. Allez dans les certificats de signataire, ajoutez à partir du port et connectez-vous directement à l'hôte et au port cible, indiqués dans le message, afin de récupérer le signataire directement dans le fichier de clés certifiées.
- Extrayez manuellement le signataire à partir du serveur cible et le fichier de clés hôte en utilisant l'utilitaire iKeyman et importez le signataire dans le fichier de clés certifiées du serveur qui envoie le certificat.
Avant la version 6.1, de WebSphere Application Server, les processus de gestion WebSphere Application Server autorisaient les configurations SSL gérées individuellement qui étaient définies par les propriétés système. Vos paramètres de propriétés système d'avant la version 6.1 étaient traitées sans problèmes.
Avec WebSphere Application Server Version 6.1, la configuration SSL (Secure Sockets Layer) fait l'objet d'une gestion centralisée. Les applications qui utilisent des connexions SSL basées sur des valeurs définies pour les propriétés système au lieu de passer par la configuration SSL dynamique par défaut gérée de manière centralisée risquent de connaître des échecs d'établissement de connexion. Les communications entre Nodeagent et appserver sont pilotées par la configuration SSL dynamique par défaut dans WebSphere Application Server Version 6.1 et non via les propriétés système que vous avez définies. Il pourra être nécessaire d'ajuster votre application pour utiliser la configuration SSL à gestion centralisée de WebSphere Application Server Version 6.1.
L'alias du certificat ne peut pas être trouvé dans le fichier de clés
CWPKI0023E: The certificate alias "default" specified by the property
com.ibm.ssl.keyStoreClientAlias is not found in KeyStore
"c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12".
Cette erreur indique que l'alias du certificat qui a été spécifié ne peut pas être trouvé dans le fichier de clés référencé. Modifiez l'alias du certificat ou assurez-vous que l'alias existe dans le fichier de clés spécifiés.