WEBSPHERE签署者证书丢失问题解决

故障报错信息如下:

CWPKI0022E: SSL 握手故障:已从目标主机:端口“10.1.1.1:8883”发送主题 DN 为“CN=test12, O=IBM, C=US”的签署者。可能需要将该签署者添加到本地信任库“/opt/IBM/WebSphere/AppServer/profiles/AppSrv01/config/cells/testCell01/trust.p12”,它位于从 SSL 配置文件“security.xml”装入的 SSL 配置别名“NodeDefaultSSLSettings”中。来自 SSL 握手异常的扩展错误消息为“No trusted certificate found”。

从故障中可以看出主机端口、丢失的签名者、配置所使用的信任存储区。现在需要获得丢失的签名者并将其添加到指定的trust.p12 信任存储区。

步骤:

1 到CellDefaultTrustStore > 签署者证书,找到错误中所指的签署者证书。
2 点击“抽取”,把该证书抽取到硬盘上。(数据类型选默认)
3 再点击“添加”,把该证书添加到签署者证书中。
4 重新启动NODE和DMGR。

--------------------------------------------------------------------------------------------------

备注:在做上面的操作前,我尝试用下面步骤进行了证书更新,但没有成功,后来做了上面的操作后恢复正常。

一、备份配置文件 (在DM上执行 backupConfig.sh)

二、停止NodeAgent及AppServer,DM是启动的。

三、证书替换
 1、替换DM证书
 打开并登录管理控制台,安全性 --> SSL 证书和密钥管理 -->密钥库和证书
 -->CellDefaultKeyStore --> 个人证书 -->创建自签署证书
 -->输入如下内容:
  别名 -->Cell_Key   组织 -->IBM
  有效期 --> 最少1年
-->点击“确定”并“保存”

 2、确定保存后并返回到 安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> CellDefaultKeyStore --> 个人证书
-->选中旧的证书,默认别名为"default"的,然后点击“替换”
-->在下一屏幕里,确认在“替换为”下面的选择项里选选中的为刚才所创建的别名为“Cell_Key”
 -->确认“在替换后删除旧的证书”与“删除旧的签署者”都没有选中
 -->点击“确定”并“保存”

 3、确定保存后并返回到 安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> CellDefaultKeyStore --> 个人证书
-->选中旧的证书,默认别名为"default"的,然后点击“删除”
 -->点击“确定”,并“保存”

四、增加DM自签署证书到CellDefaultTrustStore
 1、安全性 --> SSL 证书和密钥管理 -->密钥库和证书
 2、选中“CellDefaultKeyStore”和“CellDefaultTrustStore”
 3、点击“交换签署者...”
 4、在下一屏幕里,选中左边“要交换的签署者”之“CellDefaultKeyStore 个个人证书”下的刚创建的“Cell_Key”
 5、然后点击中间的“添加”
 6、确认“Cell_Key加到右边的“CellDefaultTrustStore 个签署者”里面,然后“确定”并“保存”。

五、替换节点证书 (若有多个节点,重复步骤)
 1、安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> 管理端点安全配置
 2、在“入站”下面,找到nodes下面的某一个节点,比如Was61AppSrvNode(NodeDefaultSSLSettings,null))
 3、在下一屏幕里,点击“管理证书”按钮
 4、在下一屏幕里,点击“创建自签署证书”按钮
 5、输入必须项
 -->输入如下:
  别名 -->Node_Key_Cert   组织 -->IBM
  有效期 --> 最少1年
-->点击“确定”并“保存”
 6、确定保存后并返回到 安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> 管理端点安全配置 --> 入站,节点名,比如Was61AppSrvNode(NodeDefaultSSLSettings,null)) --> 管理证书
-->选中旧的证书,默认别名为"default"的,然后点击“替换”
-->在下一屏幕里,确认在“替换为”下面的选择项里选选中的为刚才所创建的别名为“Node_Key_Cert”
 -->确认“在替换后删除旧的证书”与“删除旧的签署者”都没有选中
 -->点击“确定”并“保存”

 7、确定保存后并返回到 安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> 管理端点安全配置 --> 入站,节点名,比如Was61AppSrvNode(NodeDefaultSSLSettings,null)) --> 管理证书
-->选中旧的证书,默认别名为"default"的,然后点击“删除”
 -->点击“确定”,并“保存”

六、增加节点自签署证书到CellDefaultTrustStore,若有多个节点,每个节点都要照此进行做一遍
 1、安全性 --> SSL 证书和密钥管理 -->密钥库和证书 --> 管理端点安全配置
 2、在“入站”下面,找到nodes下面的某一个节点,比如Was61AppSrvNode(NodeDefaultSSLSettings,null))
 3、-->密钥库和证书
 4、选中“CellDefaultTrustStore ”和“NodeDefaultKeyStore”,点击“交换签署者...”
 4、在下一屏幕里,选中左边“要交换的签署者”之“NodeDefaultKeyStore 个个人证书”下的刚创建的“Node_Key_Cert”
 5、然后点击中间的“添加”
 6、确认“Node_Key_Cert”加到右边的“CellDefaultTrustStore 个签署者”里面,然后“确定”并“保存”。

七、删除旧的自签署证书,抽取新证书
 1、安全性 --> SSL 证书和密钥管理 -->密钥库和证书
 2、CellDefaultTrustStore --> 签署者证书
 3、选中所有旧的自签署证书(有效期过期的证书),并删除
 4、选中一个新的证书,并点击“抽取”
 5、输入相应的有意义的证书名, 比如:NodeA.arm,数据类型选择“基本 64 位编码 ASCII 数据”,确定,重复抽取出所有的新证书
 6、这些新抽取出来的文件都保存在 <DM_Profile>/etc 的目录下。

八、手工拷贝文件到每个 /etc 目录下
 1、先备份 <DM_Profile>/etc 的目录下的 trust.p12 文件
 2、拷贝 <DM_Profile>/config/cells/<CellName>/trust.p12 到 <DM_Profile>/etc 目录下
 3、备份各个节点上 <AppSrv_Profile>/etc 的目录下的 trust.p12 文件
 4、拷贝 <DM_Profile>/config/cells/<CellName>/trust.p12 到 <AppSrv_Profile>/etc 目录下

九、同步并启动NodeAgent
 1、重启DM
 2、在每个节点上执行 syncNode.sh命令进行一次同步
 3、启动NodeAgent
 4、启动应用服务器
 5、节点全部处于同步状态表示证书替换成功。(来自于有问必答网

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值