[AIX Solaris HP-UX Linux Windows]

セキュリティーのための SSL の暗号化アクセス構成時のエラー

暗号化アクセスのために Secure Sockets Layer (SSL) を構成しようとする際にエラーを戻されることがあります。 発生する可能性がある一般的なエラーの一部および問題の修正方法を示します。

類似した問題が見つからない場合、または提供されている情報では問題が解決されない場合は、『IBM からのトラブルシューティングのヘルプ』を参照してください。

「Java Cryptographic Extension (JCE) ファイルが見つかりませんでした。」というエラーが、iKeyman の起動中に発生しました。

iKeyman ツールを開始しようとすると、以下のエラーを受け取る場合があります。
Java™ Cryptographic Extension (JCE) ファイルが見つかりませんでした。JCE ファイルが正しいディレクトリーにインストールされているか調べてください。」 「OK」をクリックすると、iKeyman ツールが終了します。 この問題を解決するには、以下を行います。
  • JAVA_HOME パラメーターで、WebSphere® Application Server に同梱されている Java Developer Kit を指すように設定します。

    [AIX HP-UX Solaris]例えば、コマンドは export JAVA_HOME=/opt/WebSphere/AppServer/java のようになります。

    [Windows]WebSphere Application Server が c: ドライブにインストールされている場合、コマンドは set JAVA_HOME=c:¥WebSphere¥AppServer¥java になります。

  • install_dir/java/jre/lib/ext/gskikm.jar ファイルを gskikm.jar.org に名前変更します。

    [AIX Solaris HP-UX Linux Windows]このファイルは、install_dir/java/jre/lib/ext/ ディレクトリーにあります。

    デフォルトでは、このファイルは app_server_rootedition_name/java/ext ディレクトリーにあります。

間違った鍵ストアのパスワードを使用した場合の「Unable to verify MAC.」エラー

鍵ストアのパスワードが正しく使用されていない場合は、以下のエラーを受け取る場合があります。

CWPKI0033E: 次のエラーのために、"C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12"
に存在する鍵ストアをロードできませんでした: Unable to verify MAC。

正しいパスワードを使用して、この鍵ストアを参照する「パスワード」フィールドを変更します。 デフォルトのパスワードは WebAS です。このパスワードは、 実稼働環境では絶対に使用しないでください。

トラステッド証明書が見つからない場合の「SSL ハンドシェークの失敗」エラー

ローカル・トラストストアに署名者を追加しようとすると、以下のエラーを受け取る場合があります。
CWPKI0022E: SSL ハンドシェークの失敗:  SubjectDN "CN=BIRKT40.austin.ibm.com,
          O=IBM, C=US" の署名者がターゲットの host:port "9.65.49.131:9428" から送られました。

署名者は、SSL 構成別名 DefaultSSLSettings にあるローカル・トラストストア C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12 に追加される必要がある場合があります。 トラストストアが SSL 構成ファイルからロードされます。

SSL ハンドシェーク例外の拡張エラー・メッセージは以下のとおりです。
"No trusted certificate found."

このエラーは、指定されたターゲット・ホストおよびポートの署名者証明書が、指定されたトラストストア、SSL 設定、および SSL 構成ファイルに見つからないことを示します。 クライアント・プロセスでこれが発生する場合は、複数の対処方法があります。

  • 署名者の交換プロンプトを使用可能にします。
  • retrieveSigners スクリプトを実行します。 詳しくは、retrieveSigners コマンドを参照してください。
  • 手動で署名者をサーバーからエクスポートし、クライアントにインポートします。

この問題がサーバー・プロセスで発生する場合は、以下の手順の 1 つを実行してください。

  • 管理コンソールでターゲット・エンドポイント (ホスト名およびポート) を探し、関連付けられた SSL 構成で使用される証明書を判別します。 SSL 証明書をファイルに抽出し、エラー・メッセージで参照される送信サーバーのトラストストアにインポートします。
  • 管理コンソールで、送信サーバーのトラストストアを検索します。 署名者証明書に進んで「ポート」から追加し、メッセージに示されるターゲット・ホストおよびポートに直接接続し、署名者を直接トラストストア内に取得します。
  • iKeyman ユーティリティーを使用して署名者をターゲット・サーバーおよびホストの鍵ストアから手動で抽出し、証明書を送信するサーバーのトラストストアに署名者をインポートします。
注: デフォルトでは、Websphere Application Server はすべての Websphere Application Server 間の通信 (例えばノード・エージェントとアプリケーション・サーバーとの相互通信) に key.p12 および trust.p12 ファイルを使用します。 これら以外のファイルにある証明書を WebSphere Application Server で検索している場合、アプリケーションは System.setProperty() メソッドによって設定されたシステム・プロパティーを使用して、Secure Sockets Layer (SSL) 構成を確立することが可能です。 つまり、SSL 構成はプロセスごとに管理されるので、トポロジーの各 SSL 構成の個々の設定を維持する必要があります。

WebSphere Application Server バージョン 6.1 より前のバージョンの WebSphere Application Server 管理プロセスでは、システム・プロパティーによって設定された SSL 構成を個別に管理することができました。 バージョン 6.1 より前のシステム・プロパティー設定は正常に処理されました。

WebSphere Application Server バージョン 6.1 では、Secure Sockets Layer (SSL) 構成の中央管理が行われます。 中央管理対象であるデフォルトの動的 SSL 構成ではなく、システム・プロパティーに設定された値に基づいて SSL 接続を使用するアプリケーションでは、ハンドシェークが失敗する場合があります。 ノード・エージェントからアプリケーション・サーバーへの通信は、WebSphere Application Server バージョン 6.1 のデフォルトの動的 SSL 構成によって制御され、ユーザーが設定したシステム・プロパティーによっては制御されません。必要に応じて、WebSphere Application Server バージョン 6.1 の中央管理対象 SSL 構成を使用するようにアプリケーションを調整してください。

証明書の別名が鍵ストアに見つからない

参照された鍵ストアに証明書の別名が見つからない場合は、以下のエラーを受け取る場合があります。
CWPKI0023E: プロパティー、com.ibm.ssl.keyStoreClientAlias によって指定された証明書別名 "default" が、
鍵ストア "c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12" に見つかりません。

このエラーは、指定された証明書の別名が、参照された鍵ストアで見つからないことを示します。 証明書の別名を変更するか、指定された鍵ストアにその別名が存在するようにします。


トピックのタイプを示すアイコン 参照トピック



タイム・スタンプ・アイコン 最終更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_sslconfigprobs
ファイル名:rtrb_sslconfigprobs.html