项目需求:配置外网到IHS的https,IHS服务器位于DMZ区。IHS分发到一个集群上,集群不在DMZ区,集群包括两个节点(和ihs服务器不再同一台机器)。IHS到cluster走http。
按照配置IHS7.0的经验进行IHS8.5 SSL配置,配置过程如下
1.调用HTTPServer/bin下面的ikeyman.sh
2.新建密匙库数据文件。密匙数据库文件--à新建,选择类型为CMS,确认文件名和路径后确认。
3.输入密码,勾选“将密码存储到文件中”,点击确定。
4.创建自签名证书。步骤,1.创建。 2.新建自签名证书。填写好以后,确定。
5.让IHS支持SSL,放开http.conf的相应模块(如下)。
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
SSLEnable
KeyFile /opt/IBM/HTTPServer/admin/key.kdb
SSLDisable
6.重启IHS。
以上6步在IHS7.0的环境中测试没问题,应用能支持
https://ip/appName,进行访问。
但是在IHS、WAS8.5的环境中,死活不行。IHS和WAS日志没有报错,访问网页能弹出提示证书安全,但是继续访问的话,无法访问应用,报500的内部错误。
plugin的log报错如下:
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_BAD_CERT(gsk rc = 414) PARTNER CERTIFICATE DN=CN=WAS,OU=WASNode01Cell,OU=WASNode01,O=IBM,C=US, Serial=36:4f:9a:9e:64:df
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ws_common: websphereGetStream: Could not open stream
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ws_common: websphereExecute: Failed to create the stream
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ws_common: websphereHandleRequest: Failed to execute the transaction to 'WASNode01_server'on host 'WAS'; will try another one
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ws_common: websphereWriteRequestReadResponse: Failed to find an app server to handle this request
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ESI: getResponse: failed to get response: rc = 2
[Wed Sep 4 18:19:10 2013] 0000576c 41f9f940 - ERROR: ws_common: websphereHandleRequest: Failed to handle request
个人理解:IHS,openStrem的时候不成功,无法找到相应的server。可能是IHS的证书没有包含在WAS端,WAS不认,所以抛出错误。
网上搜了下错误
http://www-01.ibm.com/support/docview.wss?uid=swg21264477 尝试这种解决方案,目前没有成功。不知道是方案原因还是本人哪里有遗漏,或者操作问题。请高手指点。
搞不懂,难道IHS7.0和8.5的差异在这上面也体现!
附件:
http_plugin.log (2.58 MB)
http_plugin.rar (93.26 KB)
IHS端配置SSL实用https.rar (314 KB)
http_plugin.log (67.23 KB)
收起