使用ibmdb210.5fp10或更高版本，在SAP应用服务器和Db2数据库之间建立安全的SSL连接变得相对容易。但是，当您第一次设置SSL时，仍然存在一些不明显的陷阱，可能会导致一些挫折。在下面，我已经编译了一些您可能遇到的最常见的陷阱以及如何避免它们。

设置SSL的主要步骤

在我们进入可能的陷阱之前，淘客大联盟，让我总结一下为SAP应用程序服务器和Db2数据库实例设置SSL的主要步骤：

关于所有细节，有一篇论文在SAP社区上提供，指导您完成整个过程：在SAP应用程序服务器ABAP和IBM Db2数据库之间设置安全SSL连接

现在，这看起来非常简单。但是，如前所述，仍然存在一些您可能希望避免的陷阱。

陷阱1：没有2048位密钥的证书请求

第一个陷阱可能发生在您生成证书请求时。这样的请求可能是这样的：

gsk8capicmd\u 64-certreq-create-db"sapdb2\u ssl_通信kdb"-pw""-size 2048-label"db2\u cert"-dn"CN=你的酒吧.domain，O=MyOrg，云服务器多少钱一年，OU=MyDep，L=MyLocation，ST=ON，C=CA"，-file"db2\u certRequestNew"

注意到-size 2048参数了吗？这是必要的，因为它确保与证书请求一起提交的公钥具有2048位的密钥长度。许多证书颁发机构出于安全原因只颁发密钥长度为2048位的证书。

陷阱2：证书文件混淆

当您从证书颁发机构取回证书文件时，淘客模板，下一个陷阱可能会等待您：有三个文件，很容易混淆。确保您获得了以下信息：哪个文件包含根证书，哪个文件包含根基础结构证书，哪个文件是服务器的签名证书。

陷阱3:根证书不属于adm

确保客户端的根证书属于adm并且具有权限644:

chownsapsys上将/usr/sap//SYS/global/SSL\u client/

这是一个棘手的陷阱。如果根证书不属于adm，或者权限不属于应有的权限，则产生的错误消息可能很难解释。

陷阱3：注册表变量DB2COMM切换到SSL和TCP/IP

仅将注册表变量DB2COMM切换到SSL：

db2set DB2COMM=SSL

注意：只有此设置才会启用服务器只接收SSL连接和拒绝TCP/IP连接。不要将TCIP添加到设置中，因为这将同时启用TCP/IP和SSL协议。这会破坏目的，不是吗？

陷阱4：证书已过期

默认情况下，自签名证书在一年后过期。通过参数-expire，可以将到期日期设置为其他日期。您可以使用以下命令显示到期日期：

gsk8capicmd \u 64-cert-details-db"sapdb2\u ssl_通信kdb"-pw"sslpassw0rd"-label"sap\u db2\\\u ssl\u comm\"

请仔细记下它的过期日期：证书过期后，无法再连接到数据库。如果您没有及时更新证书，以下症状表明证书已过期：

在事务日志或者在工作过程跟踪中，您可以找到错误SQL30081N，原因代码为420–合作伙伴在协议完成之前关闭了套接字。在db2中诊断日志，您可以找到错误DIA3604E–SSL函数"gsk\u secure\u soc\u init"失败，返回码为"14"，在"sqlccSSLSocketSetup"中，大数据精准，

最后，大数据数据采集，让我添加一些提示和技巧：

如何更新过期证书

IBM的以下技术说明描述了如何使用IBM的GSKit重新创建证书签名请求以更新过期证书：https://www.ibm.com/support/pages/how-update-expiring-certificate-gskit

如何从密钥库中删除证书

您已经出错，是否要再次从密钥库中删除证书？方法如下：

gsk8capicmd \u 64-cert-delete-db"sapdb2\u ssl_通信kdb"-pw""-label RootCert"gsk8capicmd \u 64-cert-delete-db"sapdb2\u ssl_通信kdb"-pw""-label RootCACert"gsk8capicmd \u 64-cert-delete-db"sapdb2\u ssl_通信kdb"-pw""-label db2\u cert

我希望这些提示能帮助您快速设置SSL连接。欢迎任何反馈！