您的位置：首页 > 其它

使用 WAS V6.1 缺省的自签署证书可能引起的问题

2009-01-07 14:46 274 查看

环境

产品: IBM WebSphere Application Server
平台: 平台无关
软件版本: 6.1.0.x

问题

如果使用 WAS 6.1 自带的默认自签署证书，证书过期可能会引起访问 WAS 失败

解答

问题产生的原因
在 WAS V6.1.0.0 至 V6.1.0.5 的版本中，自带的默认自签署证书的有效期为 1 年，这个证书在创建概要表的时候由 WAS 创建。WAS 证书监控线程会监控证书是否过期，如果发现证书在 60 天内将过期，则在日志中给出提示并同时自动用新的自签署证书替换旧的，并自动动态加载。

但是证书监控器并不替换客户端的自签署证书也不会将新的自签署证书发送给客户端。如果客户端是插件，并且 plugin-cfg.xml 文件中使用的证书与 WAS 使用的不是同一个，那么在 WAS 端证书被自动更新后插件就无法与 WAS 进行基于 SSL 的通讯。

解决的方法
对于 WAS V6.1.0.0 至 V6.1.0.5，可以安装补丁 PK34093
或升级到更新的补丁包（目前最新的是 V6.1.0.7）

补丁 PK34093　可以从下面的地址下载: http://www-1.ibm.com/support/docview.wss?uid=swg24014872
Windows, Linux, Unix 平台最新的补丁包可以从下面的地址下载： http://www-1.ibm.com/support/docview.wss?uid=swg27004980#ver61
Z/OS平台最新的补丁包可以从下面的地址下载： http://www.ibm.com/support/docview.wss?uid=swg27007926
i5/OS平台最新的补丁包可以从下面的地址下载： http://www.ibm.com/support/docview.wss?rs =180&uid=swg27004980

安装这个补丁或者包含它的补丁包后的变化：
1. 在自签署证书被替换前90天发送一个预警信息，使管理员有机会替换包括客户端在内的将要过期的证书。
2. 自签署证书的有效期变为从概要表创建起 15 年内有效，从而降低了管理员更换证书的压力。管理员可以根据本组织对安全的要求创建和使用自己的证书来缩短或延长证书有效期。这些证书仍然是每个概要表唯一的。

注意：如果是在安装补丁或补丁包之前创建的概要表，旧的已创建的证书还是会一年后过期，需要手工再创建新的证书

在考虑是否安装该补丁的时候，请参阅下面的内容：
1. 您可以禁用自动替换，而只是获得证书将要过期的提示信息，那么您需要自己替换证书
可以通过管理控制台禁用：
1）安全 -> SSL 证书和密钥管理，确认“当发生 SSL 配置更改时动态更新运行时”没有被选中
2）安全 -> SSL 证书和密钥管理-> 管理证书到期，确认“自动替换即将到期的自签署证书 ”没有被选中

2. 使用非自签署证书，例如 CA 认证的个人证书。WAS 只对自签署证书进行自动替换，其它则只收到提示而不进行替换。

恢复：
对于已经替换了证书的环境，需要确认客户端信任库中包含正确的签署人证书。对于插件客户端，替换后的证书保存在：
profile_root/config/cells/cell_name/nodes
/node_name/servers/webserver1/plugin-key.kdb
请将此文件拷贝到插件使用文件所在的位置，之后重新启动 WEB 服务器，插件和　WAS　就可以进行正常的 SSL 通讯了。

详细请参考： http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg21258427

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航