#IBM HTTPServer

[WebSphere] IHS Plugin Key(kdb) 만료일 확인 및 패스워드 갱신 (gsk7capicmd)

IBM HTTP Server(IHS) 플러그인이 사용하는 키 데이터베이스 파일(plugin-key.kdb)에는 내부 패스워드 만료일이 존재합니다. 만료 시 웹 서버 플러그인이 HTTPS 통신을 초기화하지 못해 장애가 발생할 수 있습니다. 이를 확인하고 갱신하는 gsk7capicmd 명령어 사용법을 정리합니다.

1. 문제 상황 및 증상

플러그인 키 파일의 패스워드가 만료되면 웹 서버(IHS) 재기동 시 또는 플러그인 전파(Propagation) 후 다음과 같은 에러가 발생하며 WAS와의 SSL 통신이 실패합니다.

ERROR: lib_security: initializeSecurity: Failed to initialize GSK environment
ERROR: ws_transport: transportInitializeSecurity: Failed to initialize security

2. 만료일 확인 (Check Expiry)

gsk7capicmd 명령어를 사용하여 현재 plugin-key.kdb 파일의 패스워드 만료일을 확인합니다.

기본 정보:

  • 기본 패스워드: WebAS
  • 명령어 위치: [IHS_ROOT]/bin 또는 [GSK_ROOT]/bin

Windows 환경

C:\IBM\HTTPServer\bin> gsk7capicmd -keydb -expiry -db "C:\IBM\HTTPServer\Plugins\config\webserver1\plugin-key.kdb" -pw WebAS

Validity: Thursday, 26 April 2012 11:20:31 AM Eastern Daylight Time

Unix/Linux/AIX 환경

# 경로 이동 (예시)
cd /usr/bin
# 또는 /usr/opt/ibm/gskta/bin/gsk7capicmd

# 만료일 확인
./gsk7capicmd -keydb -expiry -db "/IBM/Plugins/config/webserver1/plugin-key.kdb" -pw WebAS

Validity: Friday, 27 April 2012 00:20:31 AM KORST

3. 패스워드 변경 및 만료일 연장 (Change Password)

패스워드를 변경함과 동시에 만료 기간을 연장합니다. 변경된 패스워드는 반드시 -stash 옵션을 사용하여 저장해야 플러그인이 자동으로 파일을 읽을 수 있습니다.

주요 옵션 설명

  • -changepw: 패스워드 변경 모드
  • -new_pw: 새로운 패스워드 (기존 패스워드 재사용 불가)
  • -expire: 만료일 설정 (일 단위). 0으로 설정 시 만료되지 않음(권장).
  • -stash: 패스워드를 .sth 파일에 암호화하여 저장 (필수)

명령어 실행 예시

# Windows
gsk7capicmd -keydb -changepw -db "C:\path\to\plugin-key.kdb" -pw WebAS -new_pw WebAS1 -expire 0 -stash

# Unix/Linux/AIX
./gsk7capicmd -keydb -changepw -db "/path/to/plugin-key.kdb" -pw WebAS -new_pw WebAS1 -expire 0 -stash

Note: GSKit 7.0.3.17 이전 버전은 -expire 파라미터를 지원하지 않을 수 있습니다. 이 경우 최신 버전으로 업데이트하거나 패스워드를 주기적으로 변경해야 합니다.

4. 기타 플랫폼별 대응 (z/OS, IBM i)

z/OS (gskkyman 사용)

  1. plugin-key.kdb 파일 위치로 이동 후 gskkyman 실행.
  2. 메뉴에서 "3 - Change database password" 선택.
  3. 현재 패스워드(WebAS) 및 신규 패스워드 입력.
  4. 만료일(Expiration days) 입력 프롬프트에서 엔터(Enter)를 눌러 만료 없음(No expiration) 설정.
  5. 변경 후 반드시 Stash 파일 갱신: gskkyman -s -k plugin-key.kdb

IBM i (Digital Certificate Manager 사용)

IBM i 환경(V5R4, V6R1, V7R1)에서는 브라우저 기반의 DCM 도구를 사용합니다.

  1. HTTP Admin 서버 시작: STRTCPSVR SERVER(*HTTP) HTTPSVR(*ADMIN)
  2. 브라우저 접속: http://[machine]:2001
  3. Digital Certificate Manager > Select a certificate store 선택.
  4. Other System Certificate Store 선택 후 plugin-key.kdb 경로 입력.
  5. Reset password 클릭 후 신규 패스워드 설정.
  6. 옵션에서 "Password does not expire""Automatic login"(Stash 효과) 체크.

Next Step:
작업 완료 후 반드시 웹 서버(IHS)를 재기동하여 플러그인이 갱신된 plugin-key.kdbstash 파일을 정상적으로 로드하는지 확인하십시오.