-
Digital Certificate Manager
Hallo,
durch die Verwendung von externen Webservices direkt von der IBM i aus, bin ich nun auch gezwungen mich mit dem "Digital Certificate Manager" auseinanderzusetzen, da ich darin die benötigten SSL-Zertifikate hinterlegen muss.
Teilweise klappt das auch so wie ich mir das vorgestellt habe, nämlich dass ich die Zertifikate aus dem Zertifizierungspfad des betreffenden externen Webservers als Zertifizierungsinstanzen in den DCM importiere. Oftmals funktioniert danach der jeweilige SSL-Handshake.
Aber in vielen Fällen funktioniert das leider nicht. Dann erhalte ich beim SSL-Handshake folgenden Fehler:
Code:
07/12/2021 15:12:40:115 00000039 transport X TCPChannel::doSSLHandshake(): Line=1002: File=/build/axiscpp/src/ws-axis/c/src/transport/TCPChannel/TCPChannel.cpp:
HTTPTransportException - CLIENT_SSLCHANNEL_CHANNEL_INIT_ERROR: Failed to establish SSL connection to server, the operation gsk_secure_soc_init() failed.
GSKit Error is 6000 - Das Zertifikat wurde nicht von einer anerkannten Zertifizierungsinstanz signiert.
Kann mir jemand sagen wo hier das Problem liegt? Kann es sein, dass der DCM hier ziemlich buggy ist? Oder muss ich im DCM noch andere Einstellungen vornehmen?
Viele Grüße,
KM
-
Wir hatten vor einiger Zeit mal die gleiche Meldung obwohl passendes Zertifikat hinterlegt war. Nach etwas Recherche stellte sich heraus das Axis nur "SNI CRITICAL" akzeptiert. Gab glücklicherweise aber schon kurz zuvor veröffentlichten Fix von IBM.
Schau mal ob du beim axiscTransportSetProperty den AXISC_PROPERTY_HTTP_SSL_SNI_CRITICAL auf false setzen kannst, Default ist true.
https://www.ibm.com/support/pages/apar/SE75710
Gruß,
Manuel
-
Hallo Manuel,
ich hab das zugehörige PTF jetzt installiert und die Property entsprechend auf "false" gesetzt. Das hat aber leider an dem Problem nichts geändert.
Trotzdem Danke für den Hinweis!
Viele Grüße,
KM
-
Hallo,
Normalerweise sollte das genau so funktionieren wie du es gemacht hast.
Was ich mir nur vorstellen könnte wäre, dass da mehrere WebService Server vorhanden sind, die eine Art load balancer betreiben.
Normal sollte das keinen Unterschied machen, wenn du wirklich das Root-Zertifikat im DCM hinterlegt hast.
Dann sollten alle Zertifikate, die mit dem Root-Zertifikat signiert sind, aktzeptiert werden.
Falls nicht, dann ist es eine Glückssache, ob du eine Verbindung zu genau dem Server aufbaust, für das du das Zertifikat hinterlegt hast.
Du könntest auch in der QSH via OpenSSL die Verbindung prüfen. Dieser macht auch ein Zertifikats-Check:
openssl s_client -connect www.prouza.at:443
Ist jetzt nur die Frage wie oft das Problem auftritt und ob du den openssl öfters ausführen musst um den entsprechenden Fehler zu finden.
Das schöne beim openssl ist, dass er dir dann auch gleich die Zertifikats-Kette anzeigt und du das entsprechende rauskopieren und in den DCM importieren kannst.
lg Andreas
Similar Threads
-
By NEWSolutions Redaktion in forum NEWSolutions artikel
Antworten: 0
Letzter Beitrag: 13-07-18, 04:46
-
By Burgy Zapp in forum Archiv NEWSblibs
Antworten: 0
Letzter Beitrag: 31-03-17, 13:14
-
By FNeurieser in forum IBM i Hauptforum
Antworten: 3
Letzter Beitrag: 16-07-15, 20:33
-
By Burgy Zapp in forum Intern - Hilfe - Feedback - Tests-Forum
Antworten: 3
Letzter Beitrag: 19-11-13, 21:06
-
By lossin in forum IBM i Hauptforum
Antworten: 1
Letzter Beitrag: 13-09-02, 13:28
Berechtigungen
- Neue Themen erstellen: Nein
- Themen beantworten: Nein
- You may not post attachments
- You may not edit your posts
-
Foren-Regeln
|
Erweiterte Foren Suche
Google Foren Suche
Forum & Artikel Update eMail
AS/400 / IBM i
Server Expert Gruppen
Unternehmens IT
|
Kategorien online Artikel
- Big Data, Analytics, BI, MIS
- Cloud, Social Media, Devices
- DMS, Archivierung, Druck
- ERP + Add-ons, Business Software
- Hochverfügbarkeit
- Human Resources, Personal
- IBM Announcements
- IT-Karikaturen
- Leitartikel
- Load`n`go
- Messen, Veranstaltungen
- NEWSolutions Dossiers
- Programmierung
- Security
- Software Development + Change Mgmt.
- Solutions & Provider
- Speicher – Storage
- Strategische Berichte
- Systemmanagement
- Tools, Hot-Tips
Auf dem Laufenden bleiben
|
Bookmarks