【IT168信息化】在IBM WebSphere應用服務器(WebSphere Application Server)的運行環境中，有時會出現證書過期(certificate expire)的錯誤。發生錯誤時管理控制臺無法登陸，或者集群環境中能夠登錄管理控制臺，但無法同步或者管理各個結點的情況。出現這個問題不用急，本文以實際的解決方案幫助大家解決這個問題。

確認問題所在

查看后臺SystemOut.log日志，有SSLHandshakeException：certificates expire的錯誤記錄。此類問題發生的原因，是由于啟用了管理安全性之后，WAS環境中的SSL通訊會涉及到安全證書(certificate)，而安全證書是有一定有效期的。安全證書超過有效期之后會失效(expire)，從而發生管理的問題。

特別是在集群環境下，部署管理器(dmgr)與各個結點(node)之間的安全通訊，在dmgr和node的配置中都保存有相應的證書，這些證書由于各種原因發生不一致時，也會出現SSLHandshakeException的問題，從而證書過期/證書自動更新導致Dmgr無法正常管理或者同步node。

注：此類問題的詳細背景，請參見參考資料1。網上提供了一些標準的解決方案，見參考資料2。

實戰WAS證書過期方案解析

本文根據實踐經驗，介紹了幾種簡單易行的解決方案嘗試解決此類問題，這些方案僅適用于使用WAS默認證書配置對證書沒有特殊要求的WAS用戶：

方案1：

針對Standalone環境，如果發生證書過期問題：

步驟1：請先備份WAS配置(backupConfig)，保留原有證書備份(profile_root目錄下的*.p12文件)。

步驟2：給WAS打補丁，推薦最新或者次新補丁(原因參見參考資料1)。如果生產環境比較敏感，此步也可略去。

步驟3：在WAS進程停止的狀態下，直接刪除掉profile_root目錄下的*.p12文件。

步驟4：重啟WAS，這時WAS會自動重新產生新的p12文件。測試管理、運行是否正常，最后不要忘記從命令行停止WAS，命令行可能會提示是否接受新的證書，選擇接受。再次重啟WAS，確認環境是否一切正常。

針對集群環境(Cell環境)，如果發生證書過期問題：

步驟1：請先備份Dmgr和各結點上的WAS配置(backupConfig)，保留原有證書備份(profile_root目錄下的*.p12文件)。

步驟2：給WAS打補丁，推薦最新或者次新補丁(原因參見“使用 WAS V6.1 缺省的自簽署證書可能引起的問題”)。如果生產環境比較敏感，此步也可略去。

步驟3：在所有WAS進程停止的狀態下，直接刪除掉Dmgr和各結點的profile_root目錄下的*.p12文件。

步驟4：重啟Dmgr，這時Dmgr會自動重新產生新的p12文件。在各結點停止的狀態下，分別從結點的profile_root/bin下，發出syncNode命令。然后啟動各結點的nodeagent。

步驟5：登陸管理控制臺，測試Dmgr對各結點的管理、運行是否正常，最后不要忘記從命令行停止WAS進程，命令行可能會提示是否接受新的證書，選擇接受。再次重啟WAS，確認環境是否一切正常。

步驟6：(可選)如果環境中還有Web Server，記得產生新的plugin密鑰文件并手工拷貝到Web Server所在機器。

方案2：

如果方案1沒有生效，通常是在集群環境下由于各種復雜原因造成證書無法同步，此時請嘗試方案2。方案2取消了Dmgr和各個結點安全證書的差異性，簡化SSL配置，此方案僅適用于使用WAS默認證書配置對證書沒有特殊要求的WAS用戶。

1.檢查WAS補丁，最好是6.1.0.9之上(原因參見參考資料1)。備份Dmgr以及各Node的WAS配置。

2.登陸管理控制臺，在dmgr下選擇管理端點安全配置。

▲圖1

▲圖2

注意：選擇各個結點，一定要取消“覆蓋繼承的值”選項后選擇保存

3. 停止dmgr, node, 刪除dmgr和node profile目錄下(當然，生產環境必須備份)所有*.p12

4. 啟動dmgr，發現在config/cells/xxx下面有key.p12和trust.p12，以這個為藍本，copy到原來有*.p12的所有地方

5.分別在各個node的profile/bin目錄下發一遍syncNode命令，然后再啟動nodeagent

6.分別從命令行停止和啟動dmgr和各個node agent，如果命令行提示是否接受新的證書，選擇接受。確認環境一切正常。

7.(可選)如果環境中還有Web Server，記得產生新的plugin密鑰文件并手工拷貝到Web Server所在機器。

總結：本文總結了針對證書過期問題的兩種簡單易行方案，僅適用于使用WAS默認證書配置對證書沒有特殊要求的WAS用戶。如果用戶對WAS環境的證書有特殊要求，請參見參考資料2。

參考資料：

1. 使用 WAS V6.1 缺省的自簽署證書可能引起的問題”http://www-900.ibm.com/cn/support/viewdoc/detail?DocId=1897477D29000

2. “Manually Replacing SSL Certificates in WebSphere Application Server V6.1” http://www-01.ibm.com/support/docview.wss?rs=180&context=SSEQTP&q1=manually+replace+ssl+certificate&uid=swg21305596&loc=en_US&cs=utf-8&lang=en

總結

以上是生活随笔為你收集整理的服务器证书已过期,WebSphere应用服务器证书过期问题解决的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。