[AIX Solaris HP-UX Linux Windows]

针对安全性配置 SSL 加密访问时发生错误

当尝试配置安全套接字层 (SSL) 以进行加密访问时可能会返回错误。描述了一些可能会遇到的常见错误以及如何解决问题的建议。

如果没有看到与您的问题类似的问题,或所提供的信息未解决您的问题,请参阅“IBM 提供的故障诊断帮助”以获取进一步的帮助。

启动 iKeyman 时发生“找不到 Java 密码术扩展 (JCE) 文件。”错误

尝试启动 iKeyman 工具可能会遇到下面的错误:
“The Java Cryptographic  Extension (JCE) files were not found. 
Please check that the JCE files have been installed in the correct directory.”
当单击确定时,iKeyman 工具就会关闭 。要解决此问题,请执行以下操作:
  • 设置 JAVA_HOME 参数以使它指向 WebSphere® Application Server 提供的 Java™ 开发工具箱。

    [AIX HP-UX Solaris]例如,命令类似于:export JAVA_HOME=/opt/WebSphere/AppServer/java

    [Windows]如果 WebSphere Application Server 安装在 c: 驱动器,那么命令为:set JAVA_HOME=c:\WebSphere\AppServer\java

  • install_dir/java/jre/lib/ext/gskikm.jar 文件重命名为 gskikm.jar.org

    [AIX Solaris HP-UX Linux Windows]此文件位于 install_dir/java/jre/lib/ext/ 目录中。

    缺省情况下,该文件位于以下目录中:app_server_rootedition_name/java/ext

使用错误的密钥库密码时产生“无法验证 MAC。”错误

如果密钥库密码使用不当,那么可能会收到下面的错误:

CWPKI0033E: The keystore located at "C:/WebSphere/AppServer/profiles/AppSrv01/etc/trust.p12" 
failed to load due to the following error: Unable to verify MAC.

请使用正确的密码更改引用 此密钥库的密码字段。缺省密码是 WebAS。决不要在生产环境中使用此密码。

当找到不受信任的证书时遇到“SSL 握手失败”错误

尝试将签署者添加到本地信任库时可能会收到下面的错误:
CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with SubjectDN "CN=BIRKT40.austin.ibm.com, 
 O=IBM, C=US" was sent from target host:port "9.65.49.131:9428".

可能需要将该签署者添加到位于 SSL 配置别名 DefaultSSLSettings 中的本地信任库 C:/WASX_c0602.31/AppServer/profiles/Dmgr09/etc/trust.p12。从 SSL 配置文件装入信任库。

来自 SSL 握手异常的扩展错误消息是:
"No trusted certificate found."

此错误表明未将指定目标主机和端口中的签署者证书放在指定的信任库、SSL 设置和 SSL 配置文件中。如果这种情况发生在客户机进程中,那么可以执行几项操作:

  • 启用签署者交换提示。
  • 运行 retrieveSigners 脚本。有关更多信息,请参阅 retrieveSigners 命令
  • 手动从服务器导出签署者并将它们导入客户机。

如果此问题出现在服务器进程中,那么完成下列过程之一:

  • 在管理控制台中,找到目标端点(主机名和端口)并确定由与它相关联的 SSL 配置使用的证书。将该 SSL 证书抽取到某个文件中,然后将它导入到错误消息中提到的发送服务器的信任库。
  • 在管理控制台中,找到发送服务器的信任库。转至签署者证书,添加源端口,然后直接连接到目标主机和端口(消息已指出),以便将签署者直接检索到信任库中。
  • 通过使用 iKeyman 实用程序从目标服务器和主机密钥库抽取签署者,然后将签署者导入到发送证书的服务器的信任库中。
注: 缺省情况下,WebSphere Application Server 使用 key.p12 和 trust.p12 文件在 Websphere Application Server 之间进行任何通信(例如,在 nodeagent 和 appserver 之间进行通信,反之亦然)。如果 WebSphereApplication Server 正在其他文件(不是这些文件)中查找证书,那么应用程序可通过使用系统属性(使用 System.setProperty() 方法来建立)来建立安全套接字层 (SSL) 配置。即,针对您的每个进程管理 SSL 配置,并且您必须维护拓扑中每个 SSL 配置的单独设置。

在 WebSphere Application Server V6.1 之前,WebSphere Application Server 管理进程允许由系统属性所设置的单独管理的 SSL 配置。V6.1 之前的系统属性设置都已得到成功处理。

借助 WebSphere Application Server V6.1,会对安全套接字层 (SSL) 配置进行集中管理。如果应用程序使用基于系统属性所设置值的 SSL 连接,而不是使用集中管理的缺省动态 SSL 配置,那么可能会发生握手失败。Nodeagent 与 appserver 之间的通信是由 WebSphere Application Server V6.1 中的缺省动态 SSL 配置进行管理,而不是通过您所设置的系统属性进行管理。您可能需要调整应用程序以使用 WebSphere Application Server V6.1 的集中管理 SSL 配置。

在密钥库中找不到证书别名

如果在提到的密钥库中找不到证书别名,那么可能会遇到下面的错误:
CWPKI0023E: The certificate alias "default" specified by the property 
com.ibm.ssl.keyStoreClientAlias is not found in KeyStore 
"c:/WebSphere/AppServer/profiles/Dmgr01/config/cells/myCell/key.p12".  

此错误指出在提到的密钥库中找不到指定的证书别名。更改证书别名或确保指定的密钥库中存在该别名。


指示主题类型的图标 参考主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rtrb_sslconfigprobs
文件名:rtrb_sslconfigprobs.html