初始安裝的金鑰庫檔案plugin-key.kdb的密碼將在2012年4月26日到期

來自IBM STG產品技術週報最新訊息：

摘要
初始安裝的金鑰庫檔案plugin-key.kdb的密碼將在2012年4月26日到期

內容

在安裝WebSphere外掛時，會生成一個plugin-key.kdb金鑰庫檔案，它的初始訪問密碼WebAS的到期日期被設定到美國東部時間2012年4月26日。

在第一次安裝IBM HTTP伺服器外掛時，一個plugin-key.kdb檔案的複製會被複制到[Plugin_Home]/etc目錄下。在為Web伺服器配置外掛時，會把[Plugin_Home]/etc目錄下的plugin-key.kdb檔案複製複製到[Plugin_Home]/config/{webservername}目錄下。您需要更新[Plugin_Home]/etc目錄下的plugin-key.kdb檔案的訪問密碼，並且檢查/config/{webservername}目錄下的plugin-key.kdb檔案的訪問密碼。

大多數使用者並不使用此初始金鑰檔案，而是在為Web伺服器配置外掛後，生成一個新的金鑰檔案，並把它傳播到Web伺服器的安裝目錄下。

要判斷您是否受到此問題的影響，您可以啟動ikeyman工具，開啟以上提到的兩個目錄中的任意一個的plugin-key.kdb檔案。

從“金鑰資料庫檔案”選單中，選擇“顯示密碼到期日(D)”

此操作將彈出一個名為“密碼到期日”的視窗，提示您金鑰庫密碼是否還未到期，或者在某一天到期。

您可以從“金鑰資料庫檔案”選單中選擇“更改密碼(H)”來更改金鑰庫密碼。您可以使用相同的密碼或者更改為其他密碼。如圖所示，您可以在“密碼提示”視窗中指定密碼到期時間，或者設定為用不到期。請將核取方塊“將密碼儲存到檔案中(S)”選中，它是十分重要的，可以讓外掛的二進位制庫使用kdb檔案。

如果您正在使用6.1或6.0版本，您需要使用[gsk_root]/bin目錄下的gsk7capicmd命令。

顯示金鑰庫裡是否有到期問題的命令如下所示：

gsk7capicmd -keydb -expiry -db "C:tempplugin-key.kdb" -pw WebAS

輸出結果如下所示：

Validity: Thursday, 26 April 2012 11:20:31 AM Eastern Daylight Time

使用gsk7命令更改密碼，命令如下所示：

gsk7capicmd -keydb -changepw -pw xxxx -new_pw yyyy -stash -db plugin-key.kdb

如果您想要為金鑰庫檔案設定一個新的到期時間，您需要在命令列裡新增add –expire引數併為其設定天數。

注意 1：非常重要：如果將“到期時間”設定為0，則金鑰庫檔案的密碼將永不到期。

注意 2：GSK工具的早起版本7.0.3.x無法識別 –expire引數。在這種情況下，您必須升級GSKit到最新版本7.0.4.x。

IHS V6.1的補丁包版本17 （V6.1.0.17）和V6.0.2的補丁包版本（V6.0.2.27）可以升級GSKit版本至V7.0.4.14

您也可以按照以下連結升級GSKit

注意 3：在使用以上GSKit命令時，版本7.0.3.x與7.0.4.x是有區別的。在7.0.4.x版本中，如果不指定 –expire引數，金鑰庫密碼將永不到期；在7.0.3.x版本中，設定的密碼將在一年後到期。

常見問題：

問題：如果我什麼都不做會有什麼問題發生？

回答：在2012年4月26日您也許不會注意到有問題發生，但是一旦Web伺服器重啟，或者外掛加新傳播的XML配置檔案或金鑰庫檔案，外掛將無法初始化GSKit環境，HTTPS傳輸通道將不再工作。外掛的日誌將顯示如下資訊：

錯誤: lib_security: logSSLError: str_security (gsk error 10): GSK_ERROR_ASN ERROR: lib_security: initializeSecurity:
GSK 環境初始化失敗錯誤: ws_transport: transportInitializeSecurity: 初始化安全失敗

問題：我可以使用相同的密碼嗎？

回答：您不可以提供一個已經存在的密碼，並用來更改相同的密碼。您可以對密碼進行兩次更改，首先將原來的密碼改掉，然後可以再改回到原來的密碼。

[@more@]