Resolvendo erros do Secure Sockets Layer

Erros de SSL (Secure Sockets Layer) podem ser atribuídos a uma configuração de ambiente incorreta, um certificado de servidor inválido, problemas de conexão, condições fora de sincronia ou outras causas.

Use a orientação a seguir para resolver problemas comuns de cliente para servidor e servidor para servidor SSL:
Não conectar ao servidor após usar um certificado de autoridade de certificação (CA) adquirido pelo fornecedor
Se você estiver usando um certificado adquirido pelo fornecedor e ele não foi incluído no servidor, especifique o certificado raiz como confiável no banco de dados de chaves do servidor. Para incluir o certificado raiz no banco de dados, emita este comando:
gsk8capicmd -cert -add -db cert.kdb -pw password
-label name -file .der_file -format ascii
O certificado raiz de autoridade de certificação não foi incluído no cliente
Inclua o certificado raiz como confiável no banco de dados de chaves do cliente:
gsk8capicmd -cert -add -db dsmcert.kdb -pw password
-label my CA -file ca.arm -format ascii
Não é possível executar o gsk8capicmd.exe (IBM® Global Security Kit [GSKit])
Na maioria dos casos, este erro do Windows é gerado por uma configuração de ambiente incorreta. Configure a variável PATH como direcionada antes de executar o utilitário gsk8capicmd.
ANS1595E Bad server certificate
Este erro é relatado quando o certificado do servidor não é conhecido do cliente ou servidor. O erro bad server certificate pode ocorrer sob estas condições:
  • O certificado nunca foi importado
  • O arquivo de certificado cert256.arm foi corrompido antes de o certificado ser importado
  • O comando para importar o certificado foi inserido incorretamente
  • A variável DSM_DIR aponta para o diretório errado, que contém um banco de dados de chaves cliente incorreto (dsmcert.kdb)
  • O servidor é configurado para Segurança da Camada de Transporte (TLS) 1.2 mas o cliente não está em um nível suficiente (6.3 é necessário).
  • O servidor é configurado para o TLS 1.2, mas o cliente importou o arquivo cert.arm em vez do arquivo cert256.arm.
  • O servidor é configurado para o TLS 1.2, mas o cliente importou o arquivo cert256.arm em vez do arquivo cert.arm.
Repita todas as etapas necessárias para a importação do certificado do servidor e verifique a variável DSM_DIR. Para obter mais informações sobre a falha, consulte o arquivo dsmerror.log. O log de erros do cliente pode também conter informações sobre falha específica do GSKit IBM.
ANS1592E Falha ao inicializar o protocolo SSL
Esse erro ocorre no cliente e indica que a conexão SSL não foi estabelecida. Para obter mais informações sobre a falha, consulte o log de erros do cliente. O servidor não aceita sessões SSL na porta com a qual o cliente ou servidor está tentando se conectar. Determine se o cliente ou servidor aponta para a porta do servidor correto (TCPPort), que pode ser um número de porta diferente do padrão 1500.
ANR8583E and GSKit return code 406
Este erro pode indicar que um cliente não ativado por SSL está tentando entrar em contato com uma porta SSL. Quando um cliente entra em contato com um servidor em uma porta que é definida por SSLTCPPORT ou SSLTCPADMINPORT, o servidor estabelece uma sessão e inicia um SSL handshake. Se o cliente não for habilitado pelo SSL, ele não pode concluir o processo de handshake SSL. A sessão então parece parar, mas atinge o tempo limite por meio da opção IDLEWAIT do servidor ou termina quando o administrador do servidor emite o comando CANCEL SESSION para cancelá-la manualmente. O exemplo ilustra uma sessão neste estado, a partir do servidor:
TSM:SERVER1>query sessionANR2017I Administrator SERVER_CONSOLE issued command: QUERY SESSION
  Número da  Sess     Wait   Bytes   Bytes Sess  Platform Client NameNumber Method State    Time    Sent   Recvd Type------ ------ ------ ------ ------- ------- ----- -------- -------------
     1 SSL    IdleW   17 S        0       0 Node
Importante: Como o ambiente de computação pode fazer com que um processo de handshake válido demore algum tempo, não presuma que o resultado sempre indica um cliente não SSL.
ANR8583E and GSKit return code 420, and ANR8581E with GSKit return code 406 occur for the same IBM Spectrum Protect client session
Quando as mensagens do servidor ANR8583E e ANR8581E ocorrem para a mesma sessão do cliente, é provável que o cliente tenha gerado uma mensagem ANS1595E. A mensagem ANS1595E geralmente ocorre enquanto o IBM Spectrum Protect tenta estabelecer uma sessão com o servidor. Se for verdade, siga a orientação no manual de mensagens do IBM Spectrum Protect para ANS1595E para eliminar esses erros.
ANR3338E TLS is at an earlier level than 1.2
Este erro é relatado quando o servidor e o agente de armazenamento tentam se conectar a um protocolo SSL anterior ao TLS 1.2. Para a comunicação do servidor e do agente de armazenamento, se a opção SSLDISABLELEGACYTLS for especificada, as sessões TLS deverão se conectar a um nível mínimo de TLS 1.2 ou a sessão será rejeitada.
A definição cruzada de servidores sem SSL=YES causa um travamento do servidor
Se você planeja usar a comunicação SSL, a infraestrutura SSL deve estar em vigor nos servidores de replicação de origem e destino. Os certificados SSL necessários devem estar no arquivo de banco de dados de chave que pertence a cada servidor. A função SSL estará ativa se o arquivo de opções do servidor contiver a opção SSLTCPPORT ou SSLTCPADMINPORT ou se um servidor for definido comSSL=YES na inicialização.

Uma entrada ocorre quando um certificado adquirido pelo fornecedor em uso não foi incluído no servidor ou o certificado de autoridade de certificação não foi incluído no cliente. Quando uma sessão SSL é iniciada, a mensagem de inicialização da sessão inclui o número de série do certificado do servidor. Por isso, o certificado que está sendo utilizado pode ser identificado com exclusividade.