informe de error de entrada de claves
Spectrum Symphony + Spectrum Conductor se instalan al mismo tiempo en el cluster de un cliente bancario, que pertenece al modo multihomed. Esta instalación y configuración es compatible; consulte la documentación de IBM para obtener más detalles.
Debido a requisitos de seguridad, han habilitado TLS en los niveles 2 y 3. Consulte la documentación de IBM para obtener más detalles. El resultado es que todo salió bien en el nivel 3 y no hubo ningún problema para acceder a la página web, sin embargo, se encontró un problema en el nivel 2 y se informó el siguiente error;
"Error al recuperar las aplicaciones Spark. Conexión rechazada. Asegúrese de que los servicios requeridos de IBM Spectrum Conductor se estén ejecutando (ascd y REST) o que SSL esté configurado correctamente."
Porque solo hay un problema solo en el nivel 2 pero no en el nivel 3. Además, los certificados de nivel 2 y 3 se colocan en el mismo almacén de claves, por lo que tenemos motivos para sospechar que la configuración del certificado del nivel 3 puede ser incorrecta. Por supuesto, primero debe tener en mente conocimientos relevantes sobre los certificados; de lo contrario, es posible que no lo sospeche. Para obtener conocimientos relacionados sobre el certificado SSL, puede consultar mi artículo "Comprensión de HTTP, HTTPS, SSL y TLS en un artículo".
Así, podemos probar la configuración del certificado mediante los siguientes pasos.
openssl s_client -CAfile /path/to/target/keystore/file?-connect target_FQDN:target_port Para el nivel 3, los resultados de la prueba son los siguientes: el estado de la conexión es CONECTADO y tanto la cadena de certificados como el certificado. Se puede devolver. Vuelve, no hay problema.
$openssl s_client -CAfile /opt/sym/certificates/truststore.pem -connect bens3-a1.svr.us.jpm.net:8643
CONECTADO(00000003) p>
profundidad=2 DC = NET, DC = JPMCHASE, DC = EXCHAD, CN = JPMCROOTCA
verificar retorno:1
profundidad=1 DC = net, DC = jpmchase, DC = exchad, CN = PSIN0P551
verificar devolución:1
profundidad=0 C = EE. UU., ST = Nueva Jersey, L = Jersey City, O = JPMorg, OU = Compute Backbone, CN = bens3-a1.svr.us.jpm.net
verificar retorno:1
---
Cadena de certificados
0 s:/C=US/ST=NJ/L=Jersey City/O=JPMorg /OU=Compute Backbone/CN=bens3-a1.svr.us.jpm.net
i: /DC=net/DC=jpmchase/DC=exchad/CN=PSIN0P551
1 s:/DC=net/DC=jpmchase/DC=exchad/CN=PSIN0P551
i :/DC=NET/DC=JPMCHASE/DC=EXCHAD/CN=JPMCROOTCA
---
Certificado de servidor
----- COMENZAR CERTIFICADO -----
MIIHszCCBZugAwIBAgITRQAC1Y89tfV7k9/q/gABAALVjzANBgkqhkiG9w0BAQsF
ADBbMRMwEQYKCZImiZPyLGQBGRYDbmV0MRgwFgYKCZImiZPyLGQBGRYI anBtY2hh
c2UxFjAUBgoJkiaJk/IsZAEZFgZleGNoYWQxEjAQBgNVBAMTCVBTSU4wUDU1MTAe
Fw0xOTEwMDIxMjU0MDZaFw0yMTEwMDExMjU0MDZaMIGNMQswCQYDVQQGEwJVUzEL
MAkGA1UECBMCTkoxFDASBgNVBAcTC0plcnNleSBDaXR5MRcwFQYDVQQKEw5KUE1v
cmdhbiBDaGFzZTEZMBcGA1UECxMQQ29tcHV0ZSBCYWNrYm9uZTEnMCUGA1UEAxMe
Y2JiZW5zMy1hMS5zdnI udX MuanBtY2hhc2UubmV0MIIBIjANBgkqhkiG9w0BAQEF
AAOCAQ8AMIIBCgKCAQEAo/khQh8MHdTkTuKa7eO7Qigx9UuqRlZ+lMQImtZxhiEQ
g9vpEhZk193G9IRuV8lVHbV6fMe6W YCuSGP0V+ZF1OVe5XtmFnWNNW5FS8WyApk3
hcSeWeeI6QDArMutidpya30a21UUv+ZxoOdnEDwAvMjoWBS6caJPiRnK
Q77txl+J
HHVVV2Q6SDCSQIWULXRZZD+C637bjxvvw0Cijp0dbWGMZOTDVONVTM
J7PN8BHGWOVC7M4XIKJGFHH+ALT+ALTALTALT Z+Tyfgmbu7apubjo61F2QQ9ksout
6DI8ULE0C9Hntat+JS1BDHZ9CZD0icmifNPGES8CWIDAQABO4IDOZCCAZCWKQYD
VR0RBCIIIIIIIITY2J2J Izw5zmy1HMS5ZDNIUDXMUANBTY2HHC2UBMV0GA1UDDGQW
BBTi/DxO6VfcEMq8ZqpNiDDpPeaQ7jAfBgNVHSMEGDAWgBQy3mGo4/el4t5HICuq......
cyxDTj1TZXJ2aWNlcyxDTj1Db25maWd1cmF0aW9uLERDPWV4Y2hhZCxEQz1qcG1j
aGFzZSxEQz1uZXQ/Y2VydGlmaWNhdGVSZXZvY2F0aW9uTGlzdD9iYXNlP29iamVj
dENsYXNzPWNSTERpc3RyaWJ1dGlvblBvaW50MIIBLgYIKwYBBQUHAQEEggEgMIIB
>HDA5BggrBgEFBQcwAoYtaHR0cDovL2FkY3MuanBtY2hhc2UubmV0L2NybC9QU0lOMFA1NTEoMSkuY3J0MCkGCCsGAQUFBzABhh1odHRwOi8vYWRjcy5qcG1jaGFzZS5u
ZXQv b2NzcDCB swYIKwYBBQUHMAKGgaZsZGFwOi8vL0NOPVBTSU4wUDU1MSxDTj1B
SUEQ0 49UHVibGljJTIwS2V5JTIwU2VydmljZXMsQ049U2VydmljZXMsQ049Q29u
ZmlndXJhd GlvbixEQz1leGNoYWQsREM9anBtY2hhc2UsREM9bmV0P2NBQ2VydGlm
aWN hdGU/YmFzZT9vYmplY3RDbGFzcz1jZXJ0aWZpY2F0aW9uQXV0aG9yaXR5MA4G
A1UdDwEB/wQEAwIFoDA8BgkrBgEEAYI3FQcELzAtBiUrBgEEAYI3FQiBg5o1g/PQ
QIKBkwyC3ZY Ck506RIOUsA+Etq87AgFkAgEKMB0GA1UdJQQWMBQGCCsGAQUFBwMB
BggrBgEFBQcDAjAnBgkrBgEEAYI3FQoEGjAYMAoGCCsGAQUFBwMBMAoGCCsGAQUF
BwMCMA0GCSqGSIb3DQEBCwUAA4ICAQASNIP+nc1/TAYpIzY45C+c69pFlv0QupDq
ovOs9uPz/4oi mVVYmmUZIdlH8QaR4v /AYGkbYnej9BAHX7/NynevTT908v
VjFMb0GNkGC+KgCOaEeLv5fR9/x2xoVFOyztjysHnDjvi1A5VcyTqRiZynwOzrMZ
jtLS /jtI/65K7yDTYQDLATuUWmi3xcl0QyV11bxg DeU6ggOu1w/S
yifppng9mwea
ufe8yiwixtrezlko00tv8l5x6vizq4sbqtxbUoudjbqtcjkkzuV+ gquvwuwcpcfi
xrzbowVoaz6v9i3hov1yd7mcjkt677lzzzzz T qyrc7iwuubpb
9priiuf8slp/9lt06lovge5Safvxg/oogsfe2jwlvquig9hkhznfaivlDu6v/dxq
dlzyDefhf7kum2tzwiretsAHMADK6+Z17oulzu87awpBBBBR7y H6
tbmh5+56gAmSSvNt5l6yVGgZB0ooklTJYwkc9lH7NYzunzksaXPbVvjJEDUl+e6w
z2XIripgZRZfnOiGHrNPjuPuUGP2gPFfm7NViGUoOY11GzTzU2l2xFzSMlngvIwR
s q1 waInp1NDkr0ue08l27NnwBurqmiXfP9KQsu7gpaj8RAXiq8afQpReCHV9Ra3X
Oj+YAovtzA==
-----FIN CERTIFICADO- ----
subject=/C=US/ST=NJ/L=Jersey City/O=JPMorg/OU=Compute Backbone/CN=bens3-a1.svr.us.jpm. net
issuer=/DC=net/DC=jpmchase/DC=exchad/CN=PSIN0P551
---
No se enviaron nombres de CA de certificados de cliente
Resumen de firma de pares: SHA512
Clave temporal del servidor: ECDH, P-256, 256 bits
---
El protocolo de enlace SSL tiene leído 4767 bytes y escrito 415 bytes
---
Nuevo, TLSv1/SSLv3, el cifrado es ECDHE-RSA-AES256-GCM-SHA384
Servidor público la clave es de 2048 bits
Se admite la renegociación segura
Compresión: NINGUNA
Expansión: NINGUNA
No se negocia ALPN
Sesión SSL:
Protocolo: TLSv1.2
Cifrado: ECDHE-RSA-AES256-GCM-SHA384
ID de sesión: 5DF8DBBCAA37AC5D809C6831174368C0545E3E06A0E8BE2F6450F03C96DCA198
Session-ID-ctx:
Clave maestra: 582ABE9363DE36147A845750A7199639CF8CC88D7C3C50EE3B3C7941EE9713F120DF8558504F41CECB6838C5B6E32C47
Clave-Arg: Ninguno p>
Principal Krb5: Ninguno
PD
Identidad K: Ninguna
Sugerencia de identidad PSK: Ninguna
Hora de inicio: 1576590268
Tiempo de espera: 300 (seg)
Verificar código de retorno : 0 (ok)
---
Para el nivel 2, los resultados de la prueba son los siguientes. Se obtiene un error de falla en el protocolo de enlace de alerta sslv3 y la cadena de certificados y el certificado están activados. el lado del servidor no se puede devolver. Esto indica además que hay un problema con la configuración del certificado del nivel 3.