Hallo miteinander,

wir haben jetzt festgestellt, dass seit längerer Zeit die ADMIN-Jobs im QHTTPSVR-Subsystem zwar starten - aber nach 2-3 Minuten ist alles wieder beendet. Dementsprechend geht natürlich auch der Zugriff über den Browser nicht.

STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN) startet nach und nach zahlreiche Jobs(mehrere ADMIN-Jobs, ADMIN1, ADMIN3, ADMIN4, ADMIN5 und dann - kurz bevor es wieder alles endet - mehrere QP*-Jobs).

Ich habe im Verzeichnis /QIBM/UserData/HTTPA/admin/logs Error-Logs gefunden (keine Ahnung, ob die in diesem Zusammenhang relevant sind). Hier steht folgende Meldung:

[ibm_ssl:error] [pid 96:tid 00000003] ZSRV_MSG09B5: Der Standardschlüssel hat ein abgelaufenes Zertifikat oder das Kennwort der Schlüsseldatenbankdatei ist abgelaufen, Fehler = 107.
[mpm_worker:notice] [pid 34:tid 00000001] ZSRV_MSG0387: SIGTERM empfangen. Es wird ein Systemabschluss durchgeführt.

Mit WRKSPLF QTMHHTTP werden zahlreiche Joblogs aufgelistete, die aber alle nur Meldungen mit Stufe 00 oder 10 haben. Nur im ersten QPJOBLOG gibt es eine Meldung in Stufe 30:

30 16.09.24 16:00:01,134794 QZSRAPR QHTTPSVR *STMT QP0ZPCPN Q
Ausgangsmodul . . . . . . . : QZSRSNDM
Ausgangsprozedur . . . . . : sendEscapeWithMessageFile
Anweisung . . . . . . . . . : 4
Zielmodul . . . . . . . . . : QP0ZPCPN
Zielprozedur . . . . . . . : Qp0zNewProcess
Anweisung . . . . . . . . . : 286
Nachricht . . . : Bei einem der Jobs der HTTP-Server-Instanz ADMIN ist ein
Fehler aufgetreten.

Gefolgt von einer Meldung in Stufe 50:
Signal SIGABRT raised (abnormal termination).

In den anderen Joblogs finde ich aber keine Hinweise auf einen Fehler.


Habt Ihr eine Ahnung, woran das alles liegen kann bzw. vor allem, wie wir das wieder in den Griff kriegen können?

Vielen Dank im Voraus und liebe Grüße,
Jörg

Ich glaube, da ja https erforderlich ist, solltest du den Zertifikat-Hinweis verfolgen.
Zertifikate haben ein Ablaufdatum, meist max. 3 Jahre.

Wie und wo kann ich denn so ein Zertifikat erneuern? Ich habe das noch nie gemacht...
Über den Browser habe ich ja keinen Zugriff mehr.

Das ist jetzt das Problem. Die Hinweise, die ich gefunden habe, setzen einen laufenden HTTP-Server voraus. Aber vielleicht weiß ja noch jemand einen Rat.
Oder wende dich an den, der euch das eingerichtet hat;-).

Normal werden die Zertifikate über den DCM verwaltet.
Ich sehe hier 2 Möglichkeiten:

1. Versuchen herauszufinden wo die HTTP Config vom DCM steht und diese wieder auf HTTP umzustellen.
Ist etwas an Arbeit die nötigen Infos zu suchen. Eventuell könnte hier IBM schneller helfen.

2. Den Keystore auf einem anderen System mit einem neuen Zertifikat aktualisieren
Der *SYSTEM Keystore sollte im IFS im /QIBM/UserData/ICSS/Cert/Server/DEFAULT.KDB gespeichert sein.
Ich würde diesen auf einer anderen Partition im DCM öffnen. Dort könnte man dann ein neues Zertifikat importieren und der HTTP-App zuweisen, bzw. durch das alte ersetzen.

Falls die IBM nicht weiter helfen kann (wovon ich jedoch ausgehe) und ihr Externe zur Unterstützung beziehen dürft, könnt ihr mich gerne kontaktieren.

lg Andreas

Heute will sich ein Techniker der Firma, bei der wir das System gekauft haben, einwählen und nachsehen. Wenn ich irgendwie verstehe, was er macht, werde ich es hier posten...

Liebe Grüße und vielen Dank an Euch, Jörg

So, der Techniker hat den *ADMIN tatsächlich zum Laufen gebracht - ohne Zertifikat. Nachdem er viele Dinge ausprobiert hat, die nicht zum gewünschten Ergebnis führten, hat er schließlich den Inhalt der Datei /qibm/userdata/httpa/admin/conf/admin-cust.conf gelöscht, so dass die jetzt komplett leer ist.
Danach hat es funktioniert - hoffentlich geht es morgen nach dem Neustart dann immer noch...

Liebe Grüße, Jörg

Danke für's Update!
lg Andreas