Invalid method in request \x16\x03\x01
新上线的系统中IHS的error log发现很多Invalid method in request的报错。 [Thu Jan 16 00:02:59 2014] [error] [client 112.××.×××.×××] Invalid method in request \x16\x03\x01 [Thu Jan 16 00:03:03 2014] [error].
IHS与WAS各版本的兼容列表
WAS 6.0 、WAS 6.1相继EOS,客户迁移应用程序到新版的WAS需要一段时间。但是在IHS上遇到安全漏洞需要马上升级到受支持的版本。新版本的IHS能往下兼容旧版本的WAS,只是新增的配置参数项无法在旧版本的WAS控制台配置,需要手工修改plugin的配置文件。
IHS配置多域名的SSL证书
SSL v2的设计顺应经典的公钥基础设施PKI(public key infrastructure)设计,后者认为一个服务器只提供一个服务从而也就只使用一个证书。这意味着服务器可以在TLS启动的早期阶段发送或提交证书,因为它知道它在为哪个域服务。HTTP服务器开启虚拟主机支持后,每个服务器通过相同的地址可以为很多域提供服务。服务器检查每一个请求来决定它在为哪个域服务。这个信息通常从HTTP请求头获得。不幸的是,当设置了TLS加密,服务器在读取HTTP请求里面的域名之前已经向客户端提交了证书,也就是已经为默认域提供了服务。因此,这种为虚拟主机提供安全的简单途径经常导致使用了错误的数字证书,从而导致浏览器对用户发出警告。 以上描述摘自OpenWares。详细了解请到:服务器名字指示SNI(Server Name Indication) 即访问www.buyberry.net会读取到beta.buyberry.net的证书,这样浏览器会报证书错误。 因此需要Server Name Indication (RFC 4366)这个扩展协议来修正。标准apache是支持Name Based SSL VHosts With SNI 。前提需要 OpenSSL 0.9.8f 之后才能支持。但是IHS并不支持这个扩展协议。
IBM WebSphere Application Server V6.1延保一年
好消息!IBM WebSphere Application Server V6.1延迟end-of-service期限一年,从2012年9月30日延至2013年9月30日。让客户有更充足的时间迁移系统到当前的WAS版本上。在9月24日发布了新的WAS 6.1 fixpack补丁包:fixpack 45 以下是fix list页面上的原文。
IHS密钥库文件plugin-key.kdb的访问密码将在美国东部时间2012年4月26日到期
在安装WebSphere插件时,会生成一个plugin-key.kdb密钥库文件,它的初始访问密码WebAS的到期日期被设置到美国东部时间2012年4月26日。在2012年4月26日您也许不会注意到有问题发生,但是一旦Web服务器重启,或者插件加载传播的XML配置文件或密钥库文件,插件将无法初始化GSKit环境,HTTPS传输通道将不再工作。插件的日志将显示如下信息: 错误: lib_security: logSSLError: str_security (gsk error 10): GSK_ERROR_ASN ERROR: lib_security: initializeSecurity: GSK 环境初始化失败错误: ws_transport: transportInitializeSecurity: 初始化安全失败
IBM IHS plugin个人证书将于2012.4.26过期
安装WebSphere 插件时,会生成plugin-key.kdb文件。这个key文件包含一个2012.4.26即将到期的个人证书。这是为了在应用服务器和插件之间保持加密。请仔细阅读以下文档,以确定你是否会受到影响以及需要哪些步骤会矫正这一情况。(受影响版本包括:WAS 6.0 WAS 6.1 WAS 7.0) 1、 哪些用户将会受到影响? 那些从起始安装就在使用plugin-key.kdb文件,并且没有使用过管理控制台-> Web服务器中的传播插件功能的用户。特别是那些在单元域生成插件并且手动传播插件到Web服务器路径下的用户。另外,应用服务器必须已经被配置为信任这个插件的私钥,同时需要SSL客户端认证(SSL相互认证)。 2、 怎样确认正在使用的plugin-key.kdb文件中是否包含即将过期的个人证书?
导出IHS的SSL服务器证书私钥的方法
在项目实施的过程中需要把IHS上面的SSL证书导出,去申请CDN,或者把证书导入到F5等负载均衡设备做SSL off load的工作。以下为到处IHS 的ssl服务器证书私钥的方法: 1) 用Ikeyman打开Key文件。 2) 选择personal certificate,点export. 3) 选择PKCS12文件类型,输入文件名,点OK. 4) 输入PKCS12文件的password,点OK. 5) 安装OpenSSL,在AIX上需要另外安装。找台Linux服务来做会比较方便。 6) 用OpenSSL从p12文件解开私钥:
iOS 5 连接IHS TLS兼容问题
开发人员反映iphone的app无法与IHS建立SSL,查阅了一下资料发现:IHS 7.0以前的版本只支持TLS 1.0,但是IOS 5以后默认是使用TLS 1.2建立SSL连接,所以当IOS 5的应用使用连接到IHS 7或以前版本,需要与IHS重新协商SSL连接。使用TLS 1.0协议建立连接。 解决问题的方法:
windows IHS rotatelogs.exe 语法
今天在Windows平台上面升级IHS,由6.0.2.23升级到6.0.2.43。升级过后日志的error log不断报错,日志如下: piped log program ‘”C:/IBM/HTTPSE~1/bin/rotatelogs.exe” -l “D:/ihslog/access.log.%Y.%m.%d.log” 86400 480 ‘ failed unexpectedly piped log program ‘”C:/IBM/HTTPSE~1/bin/rotatelogs.exe” -l “D:/ihslog/access.log.%Y.%m.%d.log” 86400 480 ‘ failed unexpectedly.
配置IHS自定义错误页面
以下用配置自定义404页面为例子: 1)放置自定义404的页面 放自定义出错页面404.html到IHS的自定义错误页面的目录。${IHS install root}/error/ 404.html内容为: 2)修改IHS友好的404页面设置 编辑httpd.conf文件。 Alias /error/ “/IBM/IHS/error/” AllowOverride None Options IncludesNoExec AddOutputFilter Includes html AddHandler type-map var Order allow,deny Allow.