3、 证书密码修改.doc

IBM HTTP Server Plugin默认plugin-key.kdb 密钥数据库文件默认个人证书密码过期分析与解决方法 目录 一、 问题描述 3 1.1. 出现运行异常问题的根源 3 1.2. 受影响的WAS版本及其组件 3 1.3. 如何甄别NC客户系统是否受影响 3 1.4. 如何甄别NC客户系统是否受影响四要素的技术细节 4 二、 验证NC客户系统步骤 4 三、 证书密码修改 7 问题描述 IBM HTTP Server Plugin产品内置用于测试的plugin-key.kdb 密钥文件中的缺省*WebSphere Plugin Key个人证书密码将于2012年4月26日过期 IHS重启或重新加载plugin-cfg.xml配置文件时会报错 ERROR: lib_security: initializeSecurity: Failed to initialize GSK environment ERROR: ws_transport: transportInitializeSecurity: Failed to initialize security HTTP Plugin 缺省证书过期可能会引起的问题： Web HTTP 服务器与 WAS应用服务器之间通讯会从原先的HTTPS切换至 HTTP 明文通讯状态 客户应用系统访问可能会出现 HTTP 500 内部服务器错误提示 出现运行异常问题的根源 IBM WebSphere应用服务器安装文档和InfoCenter中一直推荐和强调，针对RSA SSL密钥库要使用自身维护和创建的密钥库（使用WAS产品内置的ikeyman工具），而不是使用产品本身附带的用于测试和功能演示的plugin-key.kdb 密钥库文件 由于产品本身附带的plugin-key.kdb 密钥库使用统一的密码WebAS来维护密钥库，所以其安全性并不能得到很好的保障 而由于一些客户和合作伙伴缺乏IBM技术专家的指导或受过IBM专业技术的培训，在一些WAS生产环境中把HTTP 服务器配置成使用产品介质中附带的用于演示和测试的plugin-key.kdb 密钥库文件，从而会出现本幻灯中提到问题。 受影响的WAS版本及其组件 受影响WAS版本：6.0, 6.1, 7.0, 8.0，所有开放系统的操作系统。 受影响WAS组件：Web HTTP 服务器Plugin 插件。 受影响的场景：Web HTTP服务器与WAS应用服务器之间使用SSL进行通信。 受影响的前提：使用了Web服务器 WebSphere Plugin端安装介质提供的缺省证书库 plugin-key.kdb中的 Personal Certificate “WebSphere Plugin Key”， 2012年4月26日过期 如何甄别NC客户系统是否受影响 如果客户全部符合以下四个要素，需更新缺省的个人证书 Web HTTP服务器与WAS应用服务器之间使用SSL Web HTTP Plugin使用了产品缺省的plugin-key.kdb中的 Personal Certificate Web HTTP Plugin配置信息还是人工维护的(plugin-cfg.xml等配置文件人工拷贝或人工同步) WAS服务器端强制配置了需要SSL客户端认证，即SSL双方互相信任require SSL client authentication (SSL mutual authentication)，一般我们很少在生产环境中配置传输链SSL双方互相信任选项的。具体如何查验是否使用了SSL双方信任，参考后面的幻灯或WAS的InfoCenter. 如何甄别NC客户系统是否受影响四要素的技术细节 查验 plugin-cfg.xml配置文件，类似如下存在https选项和缺省plugin-key.kdb Transport Hostname=“xxxx Port=9443 Protocol=https Property Name=keyring Value=C:\IBM\HTTPServer7.0\Plugins/config/webserver1 /plugin-key.kdb/ 采用首次默认安装时的plugin-key.kdb 文件，并且没有在管理控制台上定义Web服务器，没有使用插件传播特性。即 没有通过控制台上新建Web服务器的 PLG_HOME\bin\configurewebserver1.bat | sh 拷贝到 Dmgr\bin 目录下执行的 或使用管理控制台上cell级别的插件，并且手工传播到IHS所在的机器上的 管理控制台 Web 服务器插件配置 应用服务器WAS已必须明确地配置成与Plugin私钥相信任，并且要求SSL客户机验证（SSL双向验证）