密钥库集成常见问题

缺少密钥库凭证 (SQL1728N rc = 3)

问题

由于缺少凭证， Db2 无法访问密钥库。

症状

返回 -1728 SQLCODE，原因码为 3。

解决方案

要打开密钥库，必须再次执行 db2start 命令并指定 OPEN KEYSTORE 选项和所需的凭证；在重新运行 db2start 命令之前无需发出 db2stop 命令。

设置 DEVICE_GROUP 参数时发生错误 (SQL1782N rc = 8)

问题

在 Db2 密钥库配置文件中设置 DEVICE_GROUP 参数时，某些 KMIP 密钥库返回错误。

症状

返回 -1782 SQLCODE 错误，原因码为 8。

解决方案

仅当使用 IBM Security Key Lifecycle Manager (ISKLM) 产品时，才需要设置 DEVICE_GROUP 参数。 对于其他 KMIP 密钥库产品，请移除该参数。

使用 gsk8capicmd_64(CTGSK2043W) 添加新证书时发生错误

问题

添加新证书时，GSKit 返回疑似错误。

症状

返回的错误类似于以下示例：

$ gsk8capicmd_64 -cert -receive -db "clientkeydb.p12" -stashed -file "client.crt" -default_cert yes
CTGSK2052W An invalid basic constraint extension was found. CTGSK2043W Key entry validation failed.

解决方案

这个疑似错误实际是警告。 两个 IBM Global Security Kit (GSKit) 代码末尾的 W 均表示这是警告（例如， CTGSK2052W ）。该警告表示，虽然收到了证书，但证书中可能存在一些问题。 在这种情况下， IBM Global Security Kit (GSKit) 抱怨基本约束未正确设置，这可能会导致 IBM Global Security Kit (GSKit) 将来出现 414 错误，如果 ALLOW_NONCRITICAL_BASIC_CONSTRAINT配置中未设置参数。