问题标签 [ibmhttpserver]

当我选择 Key database type 作为 CMS 为 IBM HTTP Server 创建 CSR 时，出现以下错误 -

找不到 CMS Java 原生库。请确保您的产品所需的 SSL 组件已安装并且库路径定义正确。有关详细信息，请参阅您的产品文档。

请帮助解决这个问题。谢谢。

我们使用 udeploy 进行频繁的部署，并且我们有一个 shell 脚本来重新启动 apache http 服务器作为最后一个任务。脚本很简单：-

这里的问题是有时停止命令需要超过 5 秒，这将导致启动失败并显示“服务器已运行”消息。启动失败后，停止将完成，这会使服务器停机。因此寻找更好的解决方案来确保服务器在启动之前完全停止。

我们在位于远程 RHEL 系统中的应用服务器中部署了运行时。我们尝试使用默认端口为 8080 的 ibm http 服务器连接到该 mobilefirst 服务器。但是，我们能够从 ibm http 服务器 IP 地址打开操作控制台，但部署的运行时不可见。请指导我们解决问题。请帮助我们找出问题的原因。谢谢。

我们使用 udeploy 进行频繁的部署，并且我们有一个 shell 脚本来重新启动 apache http 服务器作为最后一个任务。脚本很简单：-

现在我想在这个 while 循环中包含一个额外的条件，用于检查计数器变量的某个值，以便重新启动服务器的尝试仅限于说 5 次。现在这就是我想要的。

但不知何故，我不是 shell 脚本语法方面的专家。如果有人可以帮助我更正脚本以实现所需的解决方案。

我们使用 udeploy 进行频繁的部署，最后一步是使用 sudo ./apachectl -k restart 自动重启 apace http 服务器。但有时服务器无法重新启动并出现以下错误：-

请注意，不是所有时候，只是有时。我验证了所有内容，在 httpd conf 文件中没有重复监听端口 80 指令，在 ssl 密钥文件中没有密码提示问题。我没有对服务器的 root 访问权限，因此实际上无法验证在主 apache 服务器启动之前是否有任何其他进程绑定端口 80。但是是否还有其他可能导致问题的原因。任何帮助或建议将不胜感激。

干杯，

阿什利

在从 ibm http 服务器运行两个应用程序服务器（其中包含 mobilefirst 服务器托管 7.1 版本）时，只有一个服务器成功运行，仅在 http 服务器的 plugin-cfg.xml 中保持一个 Route 属性处于活动状态。在未运行的服务器中，messages.log 中出现以下错误。

CWWKS4001E: 无法验证安全令牌。这可能是由于以下原因 1. 安全令牌是在另一台服务器上使用不同的密钥生成的。2. 创建令牌的令牌服务的令牌配置或安全密钥已更改。3. 创建令牌的令牌服务不再可用。

请指导解决上述错误。谢谢。

我们在应用程序中遇到了一些问题；我们的用户会自动被踢出应用程序。通过分析日志，我们发现负载均衡器正在根据请求在内部切换 JVM。但在 QA 和 PERF 等其他环境中，会话是粘性的并且持有相同的 JVM。

我们有 IBM Http 服务器和 IBM WebSphere。

我们在DEV和TEST中的HTTPServer logs-error_log- 中发现了一些错误。

相反，在其他环境中，我们发现它是正确的方式——在QA和PERF

我的问题是哪个文件引用了httpd.conf

我正在使用 IBM APIC 5.0

我已经设置了以下内容。1. IBM HTTP Server，WAS Plugin 路由到 MicroGateway 2. MicroGateway，在 Collectives 上运行 3. IBM HTTP Server，WAS Plugin 路由到 Provider Application 4. Provider Application，在 Collectives 上运行

场景 1 - 直接调用 Provider App URL

1. 对 IHS1/插件的 HTTPS 请求
2. 配置 API 以直接调用 URL（例如 http://:9081），无需 SSL
3. IHS1/插件 (svr1:443) > MicroGateway (svr1:9081) > 环回应用程序 (svr2:9081)
4. 这行得通。

场景 2 - 通过 HTTP 服务器间接调用 Provider App

1. 对 IHS1/插件的 HTTPS 请求
2. 相应地设置主机标头（如知识中心中所述）
3. 使用 SSL配置 API 以调用 IHS URL（例如https://svr1:443）
4. IHS1/插件 (svr1:443) > MicroGateway (svr1:9081) > IHS2/插件 (svr2:443) > 环回应用程序 (svr2:9081)。
5. 遇到 503 错误。

ihs2/plugin 跟踪显示以下内容：

[29/Sep/2016:12:55:59.40468] 00007ea3 fdd0b700 - ODR:DEBUG: matchVHost: 输入 - host=apidemo-57d22263e4b0171525a5042d-1474392568657.xxx，端口=443 [29/Sep/2016:12:5547]: 00007ea3 fdd0b700 - ODR:DEBUG: matchLongestURI: 虚拟主机 /cell/defaultCollective/vHostGroup/-vHost-apidemo-57d22263e4b0171525a5042d-1474392568657.xxx:-1 匹配的主机 apidemo-57d22263e4b0171525a50486d-41.

这表明配置的主机头匹配，并且能够找到提供者应用服务器。意味着动态路由在一定程度上起作用。

[29/Sep/2016:12:55:59.40565] 00007ea3 fdd0b700 - ODR:DEBUG: checkIfTransportIsValid: 端点名称='/cell/defaultCollective/node/,%2Fhome%2Fusers%2Fadmin%2Fwlpn/server/apidemo-57d22263e4b0171535a5042d54476 -1/transport/Https',port=9081 有效

这表明 9081 是有效部分，并且选择了 Https。

[29/Sep/2016:12:55:59.40971] 00007ea3 fdd0b700 - 错误：lib_stream：openStream：r_gsk_secure_soc_init 失败：GSK_ERROR_SOCKET_CLOSED（gsk rc = 420）合作伙伴证书 DN = 无可用信息，序列 = 无可用信息 [9 月 29 日/2016:12:55:59.40982] 00007ea3 fdd0b700 - 错误：GSK_INVALID_HANDLE [29/Sep/2016:12:55:59.40998] 00007ea3 fdd0b700 - 错误：ws_common：websphereGetStream：无法打开流

然后出现错误。它可能是 SSL 错误。我怀疑目前 Provider 应用程序没有启用 SSL。

关于如何解决此问题的问题

1) 如何使用 SSL 启用环回应用程序。我按照此说明进行操作，但它对我不起作用，因为我的环回应用程序部署在 Collectives 上。 https://github.com/strongloop/loopback-example-ssl

2) 如何配置动态路由以使用非 SSL http 流量？

从哪里可以下载IBM HTTPServer-9.0AIX。我的 AIX 机器是一个虚拟机，它没有 Internet 连接。

我目前正在使用我编写的代码在 IBM Httpd 服务器的端口上安装 SSL 证书。代码安装证书如下：

1. 创建一个受密码保护的 .p12 文件，其中包含私钥对象和最终实体证书（作为 1 个元素的 X509Certificate 数组传递）。

这会正确生成一个可使用 openssl 和 keytool 解析的 .p12 文件。

2. 使用以下命令创建 .kdb 文件，将颁发者证书添加到 .kdb 文件，然后添加在步骤 1 中创建的 .p12 文件（包含私钥和最终实体证书）。

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -keydb -create -db "C:\Work\Certs\IBM certs\test.kdb" -pw 密码 -type cms -expire 60 -stash

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -add -db "C:\Work\Certs\IBM certs\key1.kdb" -pw 密码 -label icacert -file "C:\renewcert\ica.cer" -trust enable

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -add -db "C:\Work\Certs\IBM certs\key1.kdb" -pw 密码 -label rootcert -file "C:\renewcert\rootCert.cer" -trust enable

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -import -db "C:\renewcert\certWithPvtKey.p12" -pw 密码 -target "C:\Work \Certs\IBM certs\httpdkey.kdb" -target_pw 密码 -target_type cms

这将创建一个 .kdb 文件。

3. 更新 httpd.conf 文件中的虚拟主机指令以存储与新创建的 .kdb 文件对应的信息：

用于标记 SSLServerCert 的标签与步骤 1 中用于创建 .p12 的友好名称相同。

证书可以通过我们的应用程序（使用基于 Java 的 SSL 证书发现）和 openssl 发现。

问题

我们现在需要从 .kdb 文件中导出原始 .p12。同样，使用以下命令：

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -export -db "C:\Work\Certs\IBM certs\key1.kdb" -pw 密码 -label ibmhttpdsslcert -type cms -target "C:\Work\Certs\IBM certs\certChain.p12" -target_pw 密码 -target_type pkcs12

本质上发生的是，生成的 .p12 文件似乎已损坏并且无法使用以下代码进行解析：

发生的情况是密钥库的大小报告为零 (0)，并且密钥库文件也无法使用 keytool 解析。然而，同样可以使用 openssl 解析，但我们不能将 openssl 捆绑到代码二进制文件中。

知道这是否是 IBM 的密钥库导出实现的一个已知错误？