|
产品:WebSphere Application Server (以下简称WAS)
版本:5.0.0, 5.0.1, 5.0.2, 5.0.2.1, 5.0.2.2
平台:平台无关
用户在使用任何一个低于V5.0.2.3版本的WAS的时候,如果起用了全局安全性或者使用了插件中SSL的功能。就会在最近发现一些和证书过期相关的错误或者警告。
在系统时间2005年3月17日之前如果用户启动用全局安全性,那么在启动WAS的时候可以在SystemOut.log中观察到类似如下的信息:
[05-1-26 9:55:47:438 CST] 4c9f2d83 SASRas W JSAS0456W: sasOutboundSSLConfig 中的警告:来自密钥存储 D:/IBM/WebSphere/AppServer/etc/DummyServerKeyFile.jks 且别名为 websphere dummy server 的证书将在 50 天内到期。
在系统时间2005年3月17日之后如果用户启动用全局安全性,那么在启动WAS的时候会在SystemOut.log中观察到类似如下的信息:
[05-4-26 11:56:48:766 GMT+08:00] 678c0c7e SASRas E JSAS0455E: ERROR in sasOutboundSSLConfig: The certificate with alias websphere dummy server from keyStore C:/WebSphere50/AppServerEE/etc/DummyServerKeyFile.jks is expired.
[05-4-26 11:56:49:859 GMT+08:00] 678c0c7e SASRas E JSAS0455E: ERROR in sasInboundSSLConfig: The certificate with alias websphere dummy server from keyStore C:/WebSphere50/AppServerEE/etc/DummyServerKeyFile.jks is expired.
[05-4-26 11:56:50:344 GMT+08:00] 678c0c7e SASRas E JSAS0455E: ERROR in csiOutboundSSLConfig: The certificate with alias websphere dummy server from keyStore C:/WebSphere50/AppServerEE/etc/DummyServerKeyFile.jks is expired.
[05-4-26 11:56:50:641 GMT+08:00] 678c0c7e SASRas E JSAS0455E: ERROR in csiInboundSSLConfig: The certificate with alias websphere dummy server from keyStore C:/WebSphere50/AppServerEE/etc/DummyServerKeyFile.jks is expired.
当用户试图登陆管理控制台的时候,系统会弹出证书过期的提示窗口,如下图所示:
![]()
用户点击“是”可以继续进入管理控制台。
在系统时间2005年3月17日之后如果用户启用了插件的SSL功能,那么在用户通过https协议访问网站的时候,页面上会报Error 500的错误,类似如下页面:
![]()
通过检查插件日志,用户可以看到类似如下的错误记录:
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414)
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereGetStream: Could not open stream
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereExecute: Failed to create the stream
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereHandleRequest: Failed to execute the transaction to 'WEBSPHERE_server1'on host 'WEBSPHERE.cnibm.com'; will try another one
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereWriteRequestReadResponse: Failed to find an app server to handle this request
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereRequestHandler: Failed to find an app server to handle this request
[Tue Apr 26 14:12:16 2005] 00000650 000006d0 - ERROR: ws_common: websphereHandleRequest: Failed to handle request
插件日志的位置按照如下的方法查找:
a.首先找到当前的Web Server所引用的插件文件,以IBM HTTP Server为例在<IHS_Home>/conf目录下用文本编辑工具打开httpd.conf文件找到类似如下的文字(其中<IHS_Home>指的是IBM HTTP Server的安装目录):
WebSpherePluginConfig "c:/IBM/WebSphere/AppServer/config/cells/plugin-cfg.xml"。这说明当前IHS使用的插件文件就是"c:/IBM/WebSphere/AppServer/config/cells/plugin-cfg.xml"
(针对其他WebServer如何查找插件文件可以参考如下的链接:
http://publib.boulder.ibm.com/infocenter/wasinfo/topic/com.ibm.
websphere.base.doc/info/ aes/ae/tins_manualWebServer.html#configDomino
)
b.用文本编辑工具打开上一步找到的插件文件,可以看到类似如下的信息:
<Log LogLevel="Error" Name="C:/WebSphere50/AppServerEE/logs/http_plugin.log"/>这说明当前的插件日志在"C:/WebSphere50/AppServerEE/logs/http_plugin.log"。
解答:
造成该问题的原因是在随WAS V5.0.2.3以前版本中,DummyServerKeyFile文件中的自签证书默认的过期时间是2005年3月17日。如果用户起用了全局安全性或者使用了插件的SSL功能都会需要使用该证书。需要提醒用户注意的是,我们不建议客户将WAS自带的默认证书用于生产环境。如果通过基于SSL的IIOP协议和HTTPS协议的通信需要保证安全性,那么不要使用这一默认证书。
请注意,插件的SSL功能的启用有2种情况,一种是客户配置了从Web Server到WAS之间的SSL加密功能,另一种情况是客户只配置了客户端浏览器到Web Server之间的SSL加密,但是如果WAS启动了支持SSL的https监听端口,那么插件就会自动的选择通过SSL通道把请求转发给WAS,这样就使用到了插件的SSL功能。
这个问题会涉及V5.0.2.3以下所有V5版本的WAS以及基于这些版本WAS的所有IBM相关产品包括:WebSphere Portal Server V5, Lotus WorkPlace V2, WebSphere EveryPlace Access Server V5等等。可以通过2种方法解决该问题:
方法一:
1,打补丁PQ77264或者升级到V5.0.2.3以上的版本。补丁PQ77264会把DummyServerKeyFile文件中自签证书的过期时间延长至2021年。用户可以在如下的链接获取到PQ77264补丁:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24006216
或者,用户可以到如下的WAS的Support站点下载V5.0.2最新的Cumulative Fix:
http://www-306.ibm.com/software/webservers/appserv/was/support/
因为在V5.0.2.3以后的Cumulative Fix中已经包含了PQ77264所做的修正。
但是,对于WebSphere Portal Server V5, Lotus WorkPlace V2, WebSphere EveryPlace Access Server V5等以WAS V5为基础的软件,在选择升级到V5.0.2.3以上的版本时要特别谨慎。因为,以上每一种软件的运行条件都有严格的规定,单独提升WAS的补丁级别有可能造成以上的软件不能正常工作。因此,以上软件的客户可以考虑只打补丁PQ77264或者按照下面提到的方法二解决问题。如果,用户确实希望通过将WAS升级到V5.0.2.3以上的版本来解决问题,那么请先咨询IBM技术支持热线800-810-1818,以确定所需要的其他补丁和正确的操作步骤。
方法二:
自己生成自签的证书替代将要过期的DummyServerKeyFile文件,具体的办法可以参考如下的链接:
http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&
dc=DA490&dc=DB520&dc=DA4A30&dc=DB530&dc=DA480&dc=D700&dc=DB500
&dc=D400&dc=D600&dc=DA400&dc=D420&dc=DA4A10&dc=D410&dc=DA4A20
&dc=DA460&dc=DA440&dc=DA430&dc=DA470&dc=DB550&dc=D430&dc=DA420
&dc=DA500&dc=DA410&dc=DB540&dc=DB510&q1=1154255&uid=swg21154255
&loc=en_US&cs=utf-8&lang=en
参考资料:
http://www-1.ibm.com/support/docview.wss?rs=0&uid=swg24006216
http://www-1.ibm.com/support/docview.wss?uid=swg21157067
http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP&
dc=DA490&dc=DB520&dc=DA4A30&dc=DB530&dc=DA480&dc=D700&dc=DB500
&dc=D400&dc=D600&dc=DA400&dc=D420&dc=DA4A10&dc=D410&dc=DA4A20
&dc=DA460&dc=DA440&dc=DA430&dc=DA470&dc=DB550&dc=D430&dc=DA420
&dc=DA500&dc=DA410&dc=DB540&dc=DB510&q1=1154255&uid=swg21154255
&loc=en_US&cs=utf-8&lang=en
本文最新更新于2005年2月2日,主要解决WAS自带证书过期的问题。软件支持的情况会随着IBM产品的不断更新和完善而变化,最新的支持情况可以向IBM的业务代表,授权的代理商查询,或可直接查询IBM产品销售手册网站:
http://www-306.ibm.com/common/ssi/OIX.wss?buttonpressed=DET003PT011
&hfdd=&hfud=×tamp=1083978135626&user=EXT&page=1
&previouspagevisited=9&us_hc_index=US&homecountry=US
&us_hpl_index=en&pagelanguage=en&us_dl_index=en&documentlanguage=en
&us_lang_choice_index | 
