[AIX Solaris HP-UX Linux Windows]

Erreurs lors de la configuration de l'accès crypté SSL pour la sécurité

Des erreurs risquent d'être renvoyées lorsque vous essayez de configurer (Secure Sockets Layer) pour un accès crypté. Cet article décrit certaines erreurs communes que vous risquez de rencontrer et vous propose des solutions pour résoudre ces incidents.

Si vous ne trouvez pas d'incident similaire au vôtre, ou si les informations fournies ne permettent pas de résoudre votre problème, reportez-vous à la rubrique Support IBM pour la résolution des incidents.

Erreur "Les fichiers JCE Java Cryptographic Extension) sont introuvables." lors du lancement de l'outil iKeyman

Lorsque vous essayez de démarrer l'outil iKeyman, vous risquez de recevoir l'erreur suivante :
"The Java Cryptographic  Extension (JCE) files were not found. 
Please check that the JCE files have been installed in the correct directory."
Lorsque vous cliquez sur OK, l'outil iKeyman se ferme. Pour résoudre l'incident, procédez comme suit :
  • Définissez le paramètre JAVA_HOME afin qu'il désigne le kit JDK (Java™ Developer Kit) livré avec WebSphere Application Server.

    [AIX HP-UX Solaris]Par exemple, la commande est similaire à la suivante : export JAVA_HOME=/opt/WebSphere/AppServer/java

    [Windows]Si WebSphere Application Server est installé sur votre unité c:, la commande est : set JAVA_HOME=c:\WebSphere\AppServer\java

  • Renommez le fichier rép_install/java/jre/lib/ext/gskikm.jar en gskikm.jar.org.

    [AIX Solaris HP-UX Linux Windows]Le fichier se trouve dans le répertoire rép_install/java/jre/lib/ext/.

    Par défaut, le fichier se trouve dans le répertoire suivant : racine_serveur_appnom_édition/java/ext.

"Impossible de vérifier MAC" lorsque le mauvais mot de passe de fichier de clés est utilisé

Lorsque le mot de passe du fichier de clés n'est pas utilisé correctement, vous risquez de recevoir l'erreur suivante.

CWPKI0033E: The keystore located at "C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12" 
failed to load due to the following error: Unable to verify MAC.

Modifiez la zone Mot de passe qui fait référence à ce fichier de clés en utilisant le mot de passe valide. Le mot de passe par défaut est WebAS. N'utilisez jamais ce mot de passe dans un environnement de production.

Erreur "Echec de l'établissement de liaison SSL" quand aucun certificat sécurisé n'a été trouvé

Lorsque vous tentez d'ajouter le signataire au fichier local de clés, vous risquez de recevoir l'erreur suivante :
CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with SubjectDN "CN=BIRKT40.austin.ibm.com, 
 O=IBM, C=US" was sent from target host:port "9.65.49.131:9428".

Le signataire devra probablement être ajouté au fichier local de clés certifiées C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12 situé dans l'alias de configuration SSL DefaultSSLSettings. Le fichier de clés certifiées est chargé à partir du fichier de configuration SSL.

Le message d'erreur complet provenant de l'exception d'établissement de liaison SSL est :
"No trusted certificate found."

Cette erreur indique que le certificat de signataire issu de l'hôte et du port cible spécifiés n'a pas été localisé dans le fichier de clés certifiées, les paramètres SSL et le fichier de configuration SSL qui ont été spécifiés. Si cela se produit dans un processus client, il existe plusieurs méthodes pour résoudre cet incident :

  • Activez l'invite d'échange de signataires.
  • Exécutez le script retrieveSigners. Pour plus d'informations, voir la commande retrieveSigners.
  • Exportez manuellement les signataires à partir du serveur et importez-les dans le client.

Si cet incident se produit dans un processus serveur, complétez l'une des procédures suivantes :

  • Dans la console d'administration, trouvez le point de contact cible (nom d'hôte et port) et désignez le certificat utilisé par la configuration SSL qui lui est associé. Extrayez le certificat SSL dans un fichier et importez-le dans le fichier de clés certifiées du serveur d'envoi mentionné dans le message d'erreur.
  • Dans la console d'administration, trouvez le fichier de clés certifiées du serveur d'envoi. Allez dans les certificats de signataire, ajoutez à partir du port et connectez-vous directement à l'hôte et au port cible, indiqués dans le message, afin de récupérer le signataire directement dans le fichier de clés certifiées.
  • Extrayez manuellement le signataire à partir du serveur cible et le fichier de clés hôte en utilisant l'utilitaire iKeyman et importez le signataire dans le fichier de clés certifiées du serveur qui envoie le certificat.
Remarque : Par défaut, WebSphere Application Server utilise les fichiers key.p12 et trust.p12 pour toutes les communications entre serveurs (par exemple entre un agent de noeud et un serveur d'applications). Si WebSphere Application Server recherche un certificat dans un fichier autre, il se peut que votre application établisse la configuration SSL (secure socket layer) en utilisant les propriétés système établies à l'aide de la méthode System.setProperty(). En d'autres termes, les configurations SSL sont gérées pour chacun de vos processus et vous avez dû gérer des paramètres individuels pour chaque configuration SSL de la topologie.

Avant la version 6.1, de WebSphere Application Server, les processus de gestion WebSphere Application Server autorisaient les configurations SSL gérées individuellement qui étaient définies par les propriétés système. Vos paramètres de propriétés système d'avant la version 6.1 étaient traitées sans problèmes.

Avec WebSphere Application Server Version 6.1, la configuration SSL (Secure Sockets Layer) fait l'objet d'une gestion centralisée. Les applications qui utilisent des connexions SSL basées sur des valeurs définies pour les propriétés système au lieu de passer par la configuration SSL dynamique par défaut gérée de manière centralisée risquent de connaître des échecs d'établissement de connexion. Les communications entre Nodeagent et appserver sont pilotées par la configuration SSL dynamique par défaut dans WebSphere Application Server Version 6.1 et non via les propriétés système que vous avez définies. Il pourra être nécessaire d'ajuster votre application pour utiliser la configuration SSL à gestion centralisée de WebSphere Application Server Version 6.1.

L'alias du certificat ne peut pas être trouvé dans le fichier de clés

Lorsque l'alias du certificat n'est pas trouvé dans le fichier de clés référencé, vous risquez de recevoir l'erreur suivante :
CWPKI0023E: The certificate alias "default" specified by the property 
com.ibm.ssl.keyStoreClientAlias is not found in KeyStore 
"c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12".  

Cette erreur indique que l'alias du certificat qui a été spécifié ne peut pas être trouvé dans le fichier de clés référencé. Modifiez l'alias du certificat ou assurez-vous que l'alias existe dans le fichier de clés spécifiés.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_sslconfigprobs
Nom du fichier : rtrb_sslconfigprobs.html