Os erros de Secure Sockets Layer (SSL) podem ser atribuídos a uma configuração do ambiente incorreta, um certificado do servidor inválido, problemas de conexão, condições fora de sincronização ou outras causas.
Os problemas comuns de cliente para servidor e de servidor para servidor SSL são mostrados aqui:
Arquivo do banco de dados de chaves ausente (cert.kdb)
O servidor cria o arquivo do banco de dados de chaves cert.kdbse ele não existir. Uma ou ambas as opçõesSSLTCPPORTeSSLTCPADMINPORT deverão estar no arquivo de opções do servidor quando o servidor IBM Tivoli Storage Manager for iniciado. O servidor gera uma senha que pode ser alterada e também gera um certificado autoassinado que pode ser extraído para clientes e servidores de parceiros de negócios IBM para utilização. Se o arquivocert.kdbexistir e o servidor não o criou, uma condição fora de sincronização ocorrerá, impedindo o servidor de configurar a comunicação SSL.
Não conectando ao servidor depois de usar um certificado de autoridade de certificação (CA) adquirido de fornecedor
Se você estiver usando um certificado adquirido de fornecedor e ele não
foi incluído no servidor, especifique o certificado raiz como confiável no banco de dados de chaves do servidor. Para incluir o certificado raiz no banco de dados, emita este comando:
gsk8capicmd -cert -add -db cert.kdb -pw password -label name -file .der_file -format ascii O certificado raiz da CA não foi incluído no cliente
Inclua o certificado raiz como confiável no banco de dados de chaves do cliente:
gsk8capicmd -cert -add -db dsmcert.kdb -pw password -label my CA -file ca.arm -format ascii
Não é possível executar gsk8capicmd.exe (IBM Global Security Kit [GSKit]) Na maioria dos casos, esse erro do Windows é gerado por uma
configuração incorreta do ambiente. Consulte oIBM Tivoli Storage Manager Guia do Administradore configure a variável PATH como direta antes de executar o utilitário gsk8capicmd.
ANS1595E Certificado do servidor inválido
Este erro é relatado quando o certificado do servidor não é conhecido para o cliente ou servidor. O erro “certificado de servidor inválido” pode ocorrer nestas condições:
v O certificado nunca foi importado
v O arquivo de certificadocert256.armestava corrompido antes de ser importado
v O comando para importar o certificado foi inserido incorretamente v A variávelDSM_DIRaponta para o diretório incorreto, que contém um
banco de dados de chaves do cliente incorreto (dsmcert.kdb)
v O servidor está configurado para Segurança da Camada de Transporte (TLS) 1.2 mas o cliente não está em um nível suficiente (6.3 é requerido).
v O servidor está configurado para TLS 1.2 mas o cliente importou o arquivocert.armem vez do arquivocert256.arm.
v O servidor está configurado para TLS 1.2 mas o cliente importou o arquivocert256.armem vez do arquivo cert.arm.
Repita todas as etapas necessárias para importar o certificado do servidor e verifique a variávelDSM_DIR. Consulte o arquivodsmerror.logpara obter mais informações sobre a falha. O log de erros do cliente também poderá conter informações sobre a falha específica do IBM GSKit.
ANS1592E Falha ao inicializar o protocolo SSL
Este erro ocorre no cliente e indica que a conexão SSL não foi estabelecida.
Consulte o log de erros do cliente para obter mais informações sobre a falha. O servidor não aceita sessões SSL na porta na qual o cliente ou o servidor está tentando se conectar. Determine se o cliente ou o servidor aponta para a porta de servidor correta (TCPPort), que pode ser um número de porta diferente do padrão, 1500.
ANR8583E e código de retorno 406 de GSKit
Este erro pode indicar que um cliente que não é ativado por SSL está tentando contatar uma porta SSL. Quando um cliente entra em contato com um servidor Tivoli Storage Manager em uma porta definida por SSLTCPPORTouSSLTCPADMINPORT, o servidor estabelece uma sessão e inicia um “handshake” SSL. Se o cliente não for ativado para SSL, ele não poderá concluir o processo de handshake SSL. A sessão então parece parar, mas atinge o tempo limite por meio da opçãoIDLEWAITdo servidor ou termina
quando o administrador do servidor emite o comando CANCEL SESSION para cancelá-la manualmente. O exemplo ilustra uma sessão nesse estado, a partir do servidor:
TSM:SERVER1>query session
ANR2017I O administrador SERVER_CONSOLE emitiu o comando: QUERY SESSION Sess Comm. Sess Wait Bytes Bytes Sess Platform Client Name Number Method State Time Sent Recvd Type
--- --- --- --- --- --- --- ---
---1 SSL IdleW 17 S 0 0 Node
Importante: Como o ambiente de computação pode fazer com que o processo de handshake demore, não assuma que o resultado sempre indique um cliente não SSL.
ANR8583E e o código de retorno 420 de GSKit e ANR8581E com o código de retorno 406 de GSKit ocorrem para a mesma sessão do cliente do Tivoli Storage Manager
Quando as mensagens do servidor ANR8583E e ANR8581E ocorrem na mesma sessão do cliente, é provável que o cliente tenha gerado uma mensagem ANS1595E. A mensagem ANS1595E normalmente é emitida enquanto o Tivoli Storage Manager tenta estabelecer uma sessão com o servidor. Se verdadeiro, siga a orientação no manual de mensagens do Tivoli Storage Manager para ANS1595E para eliminar estes erros.
Servidores com definição cruzada sem SSL=YES causa interrupção do servidor Se você planeja usar a comunicação SSL, a infraestrutura SSL deverá estar no lugar dos servidores de replicação de origem e destino. Os certificados SSL requeridos devem estar no arquivo de banco de dados de chave que pertence a cada servidor. A função SSL estará ativa se o arquivo de opções do servidor contiver a opçãoSSLTCPPORTouSSLTCPADMINPORT ou se um servidor estiver definido comSSL=YESna inicialização. Ao usar a
comunicação servidor-para-servidor com SSL no Centro de Administração, você deve selecionar a caixa de seleção SSL=YES. Nenhuma mensagem de erro será emitida se você não selecionarSSL=YES.
Uma entrada ocorre quando um certificado adquirido de fornecedor em uso não foi incluído no servidor, ou o certificado CA não foi incluído no cliente. Quando uma sessão SSL é iniciada, a mensagem de inicialização da sessão inclui o número de série do certificado do servidor. Portanto, o certificado que está sendo usado pode ser identificado exclusivamente.
Referências relacionadas:
Apêndice C, “Códigos de Retorno do IBM Global Security Kit”, na página 285