問題タブ [ibmhttpserver]

udeploy を使用して頻繁にデプロイを行い、最後のタスクとして apache http サーバーを再起動するシェル スクリプトがあります。スクリプトは簡単です:-

ここでの問題は、停止コマンドに 5 秒以上かかる場合があることです。これにより、「サーバーは既に実行中です」というメッセージが表示されて開始が失敗します。開始が失敗した後、停止が完了し、サーバーがダウンしたままになります。したがって、起動が実行される前にサーバーが完全に停止していることを確認するためのより良い解決策を探しています。

udeploy を使用して頻繁にデプロイを行いますが、最後のステップとして、sudo ./apachectl -k restart を使用して apace http サーバーを自動的に再起動します。ただし、サーバーが次のエラーで再起動に失敗することがあります:-

時々だけではなく、常に注意してください。httpd conf ファイルにポート 80 の Listen ディレクティブが重複していないこと、ssl キー ファイルにパスワード プロンプトの問題がないことをすべて確認しました。サーバーへのルートアクセス権がないため、メインのApacheサーバーが起動する前に、ポート80をバインドする他のプロセスがあるかどうかを実際に確認できません。しかし、問題を引き起こしている可能性のあるものは他にありますか。ここでの助けや提案は大歓迎です。

乾杯、

アシュリー

アプリケーションでいくつかの問題が発生しています。ユーザーは自動的にアプリケーションから追い出されます。ログを分析すると、ロード バランサーが要求ごとに JVM を内部的に切り替えていることがわかりました。ただし、QA や PERF などの他の環境では、セッションはスティッキーで、同じ JVM を保持します。

IBM Http サーバーと IBM WebSphere があります。

DEVおよびTESTのHTTPServer logs-error_log- にいくつかのエラーが見つかりました。

代わりに、他の環境では、QAとPERFでそれが正しい方法であることがわかりました。

私の質問は、どのファイルがhttpd.confへの参照を持っているかです

IBM APIC 5.0 を使用しています

以下を設定しました。1. IBM HTTP Server、MicroGateway への WAS プラグイン ルーティング 2. MicroGateway、コレクティブ上で実行 3. IBM HTTP Server、プロバイダー アプリケーションへの WAS プラグイン ルーティング 4. コレクティブ上で実行されるプロバイダー アプリケーション

シナリオ 1 - プロバイダー アプリの URL を直接呼び出す

1. IHS1/プラグインへの HTTPS リクエスト
2. SSL を使用せずに URL を直接呼び出すように API を構成します (例: http://:9081)。
3. IHS1/プラグイン (svr1:443) > MicroGateway (svr1:9081) > ループバック アプリ (svr2:9081)
4. これは機能します。

シナリオ 2 - HTTP サーバー経由で間接的にプロバイダー アプリを呼び出す

1. IHS1/プラグインへの HTTPS リクエスト
2. それに応じてホスト ヘッダーを設定します (KnowledgeCenter の説明に従って)。
3. SSLを使用して IHS URL (例: https://svr1:443 )を呼び出すように API を構成します。
4. IHS1/プラグイン (svr1:443) > MicroGateway (svr1:9081) > IHS2/プラグイン (svr2:443) > ループバック アプリ (svr2:9081)。
5. 503 エラーが発生しました。

ihs2/plugin トレースは、次のことを示しています。

[29/9/2016:12:55:59.40468] 00007ea3 fdd0b700 - ODR:DEBUG: matchVHost: 入力 - ホスト=apidemo-57d22263e4b0171525a5042d-1474392568657.xxx、ポート=443 [29/9/2016:12:4040]。 00007ea3 fdd0b700 - ODR:DEBUG: matchLongestURI: 仮想ホスト /cell/defaultCollective/vHostGroup/-vHost-apidemo-57d22263e4b0171525a5042d-1474392568657.xxx:-1 一致したホスト apidemo-57d22263e4b0171525a5042d-27xxx.4

これは、構成されたホスト ヘッダーが一致し、プロバイダー アプリケーション サーバーを見つけることができることを示しています。動的ルーティングがある程度機能することを意味します。

[29/9/2016:12:55:59.40565] 00007ea3 fdd0b700 - ODR:DEBUG: checkIfTransportIsValid: エンドポイント名 ='/cell/defaultCollective/node/,%2Fhome%2Fusers%2Fadmin%2Fwlpn/server/apidemo-57d22263e4b0171525a5042d-146 -1/transport/Https', port=9081 が有効

これは、9081 が有効な部分であり、Https が選択されていることを示しています。

[29/9/2016:12:55:59.40971] 00007ea3 fdd0b700 - エラー: lib_stream: openStream: Failed in r_gsk_secure_soc_init: GSK_ERROR_SOCKET_CLOSED(gsk rc = 420) パートナー証明書 DN=No Information Available、Serial=No Information Available [29/9/29 /2016:12:55:59.40982] 00007ea3 fdd0b700 - エラー: GSK_INVALID_HANDLE [29/Sep/2016:12:55:59.40998] 00007ea3 fdd0b700 - エラー: ws_common: websphereGetStream: ストリームを開けませんでした

次に、エラーが発生します。それはSSLエラーです。現在、プロバイダー アプリケーションで SSL が有効になっていないと思われます。

これを解決する方法に関する質問

1) SSL でループバック アプリを有効にするにはどうすればよいですか。この手順に従いますが、ループバック アプリがコレクティブにデプロイされているため、うまくいきません。 https://github.com/strongloop/loopback-example-ssl

2) 代わりに非 SSL http トラフィックを使用するように動的ルーティングを構成するにはどうすればよいですか?

どこからIBM HTTPServer-9.0AIX 用にダウンロードできますか。私の AIX マシンは仮想マシンであり、インターネット接続がありません。

私は現在、私が書いたコードを使用して IBM Httpd サーバーのポートに SSL 証明書をインストールしています。このコードは、次のように証明書をインストールします。

1. 秘密鍵オブジェクトとエンド エンティティ証明書 (1 要素の X509Certificate 配列として渡される) を含む、パスワードで保護された .p12 ファイルを作成します。

これにより、openssl と keytool を使用して解析可能な .p12 ファイルが正しく生成されます。

2. 次のコマンドを使用して .kdb ファイルを作成し、発行者証明書を .kdb ファイルに追加してから、手順 1 で作成した .p12 ファイル (秘密鍵とエンド エンティティ証明書を含む) を追加します。

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -keydb -create -db "C:\Work\Certs\IBM certs\test.kdb" -pw password -type cms -expire 60 -stash

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -add -db "C:\Work\Certs\IBM certs\key1.kdb" -pw password -label icacert -file "C:\renewcert\ica.cer" -trust enable

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -add -db "C:\Work\Certs\IBM certs\key1.kdb" -pw password -label rootcert -file "C:\renewcert\rootCert.cer" -trust enable

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -import -db "C:\renewcert\certWithPvtKey.p12" -pw password -target "C:\Work \Certs\IBM certs\httpdkey.kdb" -target_pw password -target_type cms

これにより、.kdb ファイルが作成されます。

3. httpd.conf ファイル内の仮想ホスト ディレクティブを更新して、新しく作成された .kdb ファイルに対応する情報を保存します。

タグ SSLServerCert に使用されるラベルは、ステップ 1 で .p12 を作成するために使用されるフレンドリ名と同じです。

証明書は、アプリケーション (Java ベースの SSL 証明書検出を使用) および openssl からも検出できます。

問題

ここで、元の .p12 を .kdb ファイルからエクスポートする必要があります。同じために、次のコマンドが使用されます。

"C:\Program Files (x86)\IBM\HTTPServer2\java\jre\bin\ikeycmd.exe" -cert -export -db "C:\Work\Certs\IBM certs\key1.kdb" -pw password -label ibmhttpdsslcert -type cms -target "C:\Work\Certs\IBM certs\certChain.p12" -target_pw password -target_type pkcs12

基本的に発生するのは、生成される .p12 ファイルが破損しているように見え、次のコードを使用して解析できないことです。

キーストアのサイズがゼロ (0) と報告され、keytool を使用してもキーストア ファイルを解析できません。ただし、同じことは openssl を使用して解析できますが、openssl をコード バイナリにバンドルすることはできません。

IBM の keystore export の実装に関する既知のバグであるかどうか、何か考えはありますか?