SSL(安全套接字層)由幾個 WebSphere Application Server 組件使用以提供安全通信。特別地,SSL 由下列使用:
HTTPS:應(yīng)用程序服務(wù)器的內(nèi)置 HTTPS 傳送。
ORB.應(yīng)用程序服務(wù)器的客戶機和服務(wù)器 ORB。
LDAPS:到認(rèn)證使用的 LDAP 注冊表的管理服務(wù)器安全連接。這僅在 WebSphere Application Server 高級版中可用。
WebSphere Application Server 中的管理模型允許通過配置缺省 SSL 設(shè)置而中央管理這些不同的 SSL 組件。此外,任何缺省設(shè)置都會由 HTTPS、ORB 和 LDAPS 特定的 SSL 設(shè)置所覆蓋。這提供了中央管理和 SSL 的各種使用可能需要的個別可配置性。
對瀏覽器配置 SSL
對瀏覽器配置 SSL 是瀏覽器特定。查閱您的瀏覽器文檔以獲得指令。
總之,當(dāng)您輸入“https://...”而不是“http://...”時,瀏覽器創(chuàng)建 SSL 連接,而不是簡單的到 Web 服務(wù)器的 TCP 連接。如果瀏覽器無法確認(rèn) Web 服務(wù)器或無法同意安全性選項的級別(要使用加密算法的力度),則瀏覽器通常提示用戶或連接失敗。
對 Web 服務(wù)器配置 SSL
要對 Web 服務(wù)器配置 SSL 取決于 Web 服務(wù)器的類型。查閱您的 Web 服務(wù)器文檔以獲得指令。
一般而言,當(dāng)啟用 SSL 時,SSL 密鑰文件是必需的。該密鑰文件應(yīng)該包含 CA 證書(簽名者證書)和任何私人信息證書。也可啟用客戶機認(rèn)證;缺省情況下,它是禁用的。
為了客戶機證書(來自瀏覽器的證書)由 WebSphere Web 服務(wù)器插件轉(zhuǎn)發(fā)到 WebSphere Application Server,則必須為 Web 服務(wù)器啟用客戶機認(rèn)證。啟用 WebSphere Application Server 本身的客戶機認(rèn)證不是必需的,除非您要認(rèn)證 WebSphere Web 服務(wù)器插件(或任何通過 SSL 直接連接到 WebSphere Application Server 的其它客戶機)。
逐一地對 IBM HTTP Server 配置 SSL
此節(jié)提供關(guān)于對 IBM HTTP Server 配置 SSL 的簡短示例。請參閱 IBM HTTP Server 文檔以獲得最多新近和完整的指令。同時注意您 Web 服務(wù)器的 httpd.conf.sample 文件提供所有偽指令(包括 SSL 相關(guān)的偽指令)的示例。
使用 IHS 密鑰管理實用程序創(chuàng)建密鑰文件。
在如"product_installation_root/myKeys" (見附1)的位置創(chuàng)建目錄。
此目錄將用于保持所有您的 SSL 密鑰文件和證書。
從 IBM HTTP Server 開始菜單啟動密鑰管理實用程序。
要在 Windows 平臺啟動實用程序,請單擊:開始 -> 程序 -> IBM HTTP Server -> 啟動密鑰管理實用程序
單擊密鑰數(shù)據(jù)庫文件菜單并選擇新建。
指定設(shè)置并單擊確定:
密鑰數(shù)據(jù)庫類型:CMS 密鑰數(shù)據(jù)庫文件
文件名:WebServerKeys.kdb
位置:到您的“myKeys”目錄的路徑
輸入您 SSL 密鑰文件的密碼(兩次以確認(rèn))。
選取“是否將密碼存儲到文件?”選項。單擊確定。
這導(dǎo)致創(chuàng)建名為“WebServerKeys.sth”的文件,其中包含密碼的編碼表單。請注意此編碼防止了不經(jīng)意查看密碼,但并不是非常安全的。因此,操作系統(tǒng)許可應(yīng)該用于防止未授權(quán)的人員到此文件的所有訪問。
當(dāng)您查看缺省簽字人證書列表時,請單擊簽字人證書菜單并選擇個人證書。
如果您有來自 CA(例如,Verisign)的服務(wù)器證書,您可單擊導(dǎo)入將此證書導(dǎo)入到您的 SSL 密鑰文件。將提示您包含服務(wù)器證書的文件的類型和位置。
然而,如果您沒有來自 CA 的有效服務(wù)器證書但要測試您的系統(tǒng),則您可單擊新建自簽署。
將最低程度提示您輸入如“測試”的密鑰標(biāo)號和如“IBM”的組織。選擇對其它值使用缺省值。
單擊密鑰數(shù)據(jù)庫文件菜單并選擇關(guān)閉。
將下列行添加到您的 httpd.conf 文件的底部file:
LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll
Listen 443
SSLEnable
Keyfile "product_installation_root/myKeys/WebServerKeys.kdb"
# SSLClientAuth required
這導(dǎo)致 Web 服務(wù)器偵聽端口 443(缺省 SSL 端口)。
如果您要啟用客戶機認(rèn)證,取消包含“SSLClientAuth 所需”的最后行的注釋。這將導(dǎo)致 IHS 將對于證書的請求發(fā)送到瀏覽器上。為了執(zhí)行客戶機認(rèn)證,您的瀏覽器會提示您選擇要發(fā)送到 Web 服務(wù)器的證書。
啟動您的 IBM HTTP Server。
通過輸入輸入 URL 從瀏覽器測試您的配置,如:
https://localhost
如果您正在使用自簽署證書,而不是 CA (如 Verisign )發(fā)出的證書,則您的瀏覽器應(yīng)提示您查看是否要信任服務(wù)器證書的未知簽署者。此外,如果您啟用客戶機認(rèn)證,為了執(zhí)行客戶機認(rèn)證,您的瀏覽器會提示您選擇要發(fā)送到 Web 服務(wù)器的證書。然后應(yīng)顯示頁面。
對 Web 服務(wù)器的 WebSphere 插件配置 SSL
一旦 SSL 在您的瀏覽器和 Web 服務(wù)器間工作后,則您可繼續(xù)配置 Web 服務(wù)器插件和 WebSphere Application Server 間的 SSL。如果已知插件和應(yīng)用程序服務(wù)器間的鏈接是安全的或您的應(yīng)用程序不敏感,則這不是必需的。然而,如果應(yīng)用程序數(shù)據(jù)的私密是關(guān)注的問題,此連接應(yīng)是 SSL 連接。
步驟 1:對 WebSphere Web 服務(wù)器插件創(chuàng)建 SSL 密鑰文件
當(dāng)配置 SSL 時,您必須首先創(chuàng)建 SSL 密鑰文件。
請注意,如果您正在使用 IBM HTTP Server,您可使用 Web 服務(wù)器正在使用的相同 SSL 密鑰文件;然而,推薦您使用分隔的 SSL 密鑰文件,因為連接到 Web 服務(wù)器的信任策略將很可能與連接到應(yīng)用程序服務(wù)器的信任策略不同。
例如,我們可能要允許許多瀏覽器連接到 Web 服務(wù)器的 HTTPS 端口,我們卻只想允許一小部分已知數(shù)的 WebSphere 插件直接連接到 WebSphere application server 的 HTTPS 端口。下列是一個示例,有關(guān)如何創(chuàng)建您的 WebSphere 插件的 SSL 密鑰文件,這將僅允許插件連接到其 SSL 端口上的應(yīng)用程序服務(wù)器。
如果擰還未這樣做,創(chuàng)建目錄product_installation_root\myKeys。
此目錄將包含所有的 SSL 密鑰文件和您將創(chuàng)建的抽取的證書。
啟動 GSKit 的密鑰管理實用程序。
GSKit 是由 WebSphere 插件使用的 SSL 實現(xiàn),這同 IBM HTTP Server 使用的實現(xiàn)相同。
Windows 上到此實用程序的缺省路徑是 C:\Program Files\ibm\gsk5\bin\gsk5ikm.exe。
單擊密鑰數(shù)據(jù)庫文件下拉并選擇新建。
指定設(shè)置并單擊確定:
密鑰數(shù)據(jù)庫類型:CMS 密鑰數(shù)據(jù)庫文件
文件名:plug-inKeys.kdb
位置:您的 myKeys 目錄
輸入您 SSL 密鑰文件的密碼(兩次以確認(rèn))。
選取是否將密碼存儲到文件? 選項。單擊確定。
這導(dǎo)致創(chuàng)建文件(如"product_installation_root\myKeys\plug-inKeys.sth),其中包含密碼的編碼表單。此編碼防止密碼的不規(guī)則視圖,但并不是非常安全。因此,操作系統(tǒng)許可應(yīng)該用于防止未授權(quán)的人員到此文件的所有訪問。
當(dāng)您查看缺省簽字人證書列表時,選擇首個證書并單擊刪除。
重復(fù)前一個步驟直至以刪除所有簽署者證書。
創(chuàng)建自簽署證書:
單擊簽字者菜單并選擇個人證書。
單擊新建自簽署。
為密鑰標(biāo)簽輸入“插件”,為組織輸入“IBM”。
單擊確定。
抽取證書以便您稍后能將其導(dǎo)入應(yīng)用程序服務(wù)器密鑰文件。
單擊抽取證書。
指定設(shè)置:
編碼為 Base64 的 ASCII 數(shù)據(jù):數(shù)據(jù)類型
證書文件名:plug-in.arm
位置:到您的 myKeys 目錄的路徑
單擊確定。
單擊密鑰數(shù)據(jù)庫文件菜單并選擇關(guān)閉。
步驟 2:修改 WebSphere Web 服務(wù)器的插件配置文件
現(xiàn)在您已創(chuàng)建了插件的 SSL 密鑰文件,編輯插件配置文件,以便其引用您的密鑰文件。
下列是插件配置文件的示例。該配置導(dǎo)致插件將 HTTP 請求轉(zhuǎn)發(fā)到應(yīng)用程序服務(wù)器的 HTTP 端口,并將 HTTPS 請求轉(zhuǎn)發(fā)到應(yīng)用程序服務(wù)器的 HTTPS 端口。
SSL 配置信息是用來指定 secureServer1 的,這是 secureServers 組的唯一成員。所有 HTTPS 請求均轉(zhuǎn)發(fā)到 secureServers 組。(服務(wù)器組是個概念,僅在高級版中支持,而不是在高級單服務(wù)器版中支持。)
SSL 密鑰文件是由 keyring 特性指定,以及存儲文件(包含編碼密碼)由 stashfile 特性指定。確保此文件的路徑在您的 Web 服務(wù)器配置(例如,IHS 的 "httpd.conf")中已指定。
<特性名="keyring" 值="product_installation_root\myKeys\plug-inKeys.kdb">
<特性名="stashfile" 值="product_installation_root\myKeys\plug-inKeys.sth">
插件配置文件的 XML 實現(xiàn)能在再次更新該文檔前更改。使用您當(dāng)前的產(chǎn)品版本和修訂包級別查閱安裝在您系統(tǒng)上的實際配置文件作為最新和最正確的 XML 語法版本。
對 WebSphere Application Server 配置 SSL
管理控制臺提供到 SSL 設(shè)置的下列訪問點。
使用缺省 SSL 設(shè)置在中心管理在管理域中的資源 SSL 設(shè)置。在設(shè)置個別的資源類型中,可以覆蓋任何缺省設(shè)置 - 傳送或 ORB 設(shè)置。
缺省 SSL 設(shè)置
在控制臺樹視圖中,單擊安全性 -> 缺省 SSL 設(shè)置。
對 Web 容器的 HTTP 傳送 HTTPS SSL 設(shè)置
顯示傳送特性。單擊 SSL。
ORB SSL 設(shè)置
顯示 ORB 設(shè)置。單擊安全套接字層設(shè)置。
以上設(shè)置能通過下面描述的任何 SSL 設(shè)置配置:
SSL 特性引用
在 SSL 設(shè)置對話框中,注意加密令牌按鈕以對支持的加密設(shè)備配置設(shè)置。
對應(yīng)用程序服務(wù)器的 HTTPS 傳送配置 SSL
為了配置 SSL,您必須首先創(chuàng)建 SSL 密鑰文件。該文件的內(nèi)容取決于您允許誰通過 HTTPS 端口直接與應(yīng)用程序服務(wù)器通信(換句話說,您正在定義 HTTPS 服務(wù)器安全性策略)。
本章節(jié)顯示了限制性的安全性策略,其中僅允許明確的客戶機集合(Web 服務(wù)器的 WebSphere 插件)連接到應(yīng)用程序服務(wù)器的 HTTPS 端口。下列創(chuàng)建 SSL 密鑰文件的過程不用遵循缺省簽署者證書的限制性趨勢。
步驟 1:不用缺省簽署者證書來創(chuàng)建 SSL 密鑰文件
啟動 IKeyMan。
在 Windows 上,從 Windows 啟動菜單上的 WebSphere Application Server 入口啟動 IKeyMan。
創(chuàng)建新的密鑰數(shù)據(jù)庫文件。
單擊密鑰數(shù)據(jù)庫文件并選擇新建。
指定設(shè)置:
密鑰數(shù)據(jù)庫類型:JKS
文件名:appServerKeys.jks
位置:您的 myKeys 目錄,如 "product_installation_root\myKeys
單擊確定。
輸入密碼(兩次以確認(rèn))并單擊確定。
刪除所有簽署者證書。
單擊簽署者證書并選擇個人證書。
添加新的自簽署證書。
單擊新建自簽署來添加自簽署證書。
指定設(shè)置。
密鑰標(biāo)簽:appServerTest
組織:IBM
單擊確定。
從該自簽署證書抽取證書以便能把它導(dǎo)入到插件的 SSL 密鑰文件。
單擊抽取證書。
指定設(shè)置:
數(shù)據(jù)類型:編碼為 Base64 的 ASCII 數(shù)據(jù)
證書文件名:appServer.arm
位置:到您的 myKeys 目錄的路徑
單擊確定。
導(dǎo)入插件的證書。
單擊個人證書并選擇簽署者證書。
單擊添加。
指定設(shè)置:
數(shù)據(jù)類型:編碼為 Base64 的 ASCII 數(shù)據(jù)
證書文件名:appServer.arm
位置:到您的 myKeys 目錄的路徑
單擊確定。
為標(biāo)簽輸入“插件”并單擊確定。
單擊密鑰數(shù)據(jù)庫文件。
選擇退出。
步驟 2:將應(yīng)用程序服務(wù)器的簽署者證書添加到插件的 SSL 密鑰文件
啟動密鑰管理實用程序。
單擊密鑰數(shù)據(jù)庫文件菜單并選擇打開。
選擇 product_installation_root\myKeys\plug-inKeys.kdb 文件。
輸入相關(guān)聯(lián)的密碼并單擊確定。
單擊個人證書并選擇簽署者證書。
單擊添加。
指定設(shè)置。
數(shù)據(jù)類型:編碼為 Base64 的 ASCII 數(shù)據(jù)
證書文件名:appServer.arm
位置:到您的 myKeys 目錄的路徑。
單擊確定。
單擊密鑰數(shù)據(jù)庫文件并選擇退出。
步驟 3:引用 WebSphere Application Server 系統(tǒng)管理中的密鑰文件
引用在缺省 SSL 設(shè)置配置面板中或在 HTTPS SSL 設(shè)置配置面板中適當(dāng)?shù)?SSL 密鑰文件。在此,我們將使用缺省 SSL 設(shè)置面板。
啟動管理控制臺。
在樹視圖中,單擊安全性 -> 缺省 SSL 設(shè)置。
指定設(shè)置。
密鑰文件名稱:product_installation_root/myKeys/appServer.jks
密鑰文件密碼:輸入您的密碼
密鑰文件格式:JKS
信任文件名:(空的)
信任文件密碼:(空的)
客戶機認(rèn)證:所選
單擊確定。
保存您的服務(wù)器配置。
步驟 4:停止服務(wù)器并再次啟動
配置完成。為了激活配置,停止并重新啟動 Web 服務(wù)器和應(yīng)用程序服務(wù)器。
.6.18.3:用 Web 控制臺管理安全性
使用 Web 控制臺啟用和禁用全局安全性,使用本地操作系統(tǒng)注冊表認(rèn)證用戶。啟用安全性之后,對此管理控制臺的訪問將被登錄屏幕保護(hù)。
通過將它們定位在控制臺左側(cè)的樹中,來使用安全性配置:
在樹中,單擊安全性條目。
附1:產(chǎn)品安裝根參考
檢查產(chǎn)品先決條件,以確認(rèn)給定的操作系統(tǒng)支持您所使用的 WebSphere Application Server 的版本。
