Configurazione di SSL per il server applicazioni WebSphere

Questa sezione include i passaggi seguenti per configurare SSL con il server applicazioni IBM WebSphere.

Creazione di un account utente locale in WebSphere

Per abilitare SSL, WebSphere richiede l'accesso a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:

  • (Windows) Create un nuovo utente Windows appartenente al gruppo Amministratori e dotato del privilegio di agire come parte del sistema operativo. (Vedere Creare un utente Windows per WebSphere.)
  • (Linux, UNIX) L'utente può essere un utente principale o un altro utente con privilegi di root. Quando si abilita SSL su WebSphere, utilizzare l'identificazione del server e la password di questo utente.

Creare un utente Linux o UNIX per WebSphere

  1. Accedete come utente principale.

  2. Create un utente immettendo il seguente comando in un prompt dei comandi:

    • (Linux e Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Impostate la password del nuovo utente immettendo passwd nel prompt dei comandi.

  4. (Linux e Solaris) Create un file di password shadow immettendo pwconv (senza parametri) nel prompt dei comandi.

    NOTA

    (Linux e Solaris) Per il funzionamento del Registro di sistema di sicurezza del sistema operativo locale del server applicazioni WebSphere, è necessario che esista un file di password shadow. Il file della password shadow è in genere denominato /etc/shadow* ed è basato sul file /etc/passwd. Se il file della password shadow non esiste, si verifica un errore dopo l'attivazione della protezione globale e la configurazione del Registro di sistema come sistema operativo locale.*

  5. Aprite il file del gruppo dalla directory /etc in un editor di testo.

  6. Aggiungete l'utente creato al passaggio 2 al gruppo root.

  7. Salvate e chiudete il file.

  8. (UNIX con SSL abilitato) Avviare e arrestare WebSphere come utente principale.

Creare un utente Windows per WebSphere

  1. Effettuate l'accesso a Windows utilizzando un account utente amministratore.
  2. Selezionare Start > Pannello di controllo Campaign > Strumenti di amministrazione > Gestione computer > Utenti e gruppi locali.
  3. Fare clic con il pulsante destro del mouse su Utenti e selezionare Nuovo utente.
  4. Digitate un nome utente e una password nelle caselle appropriate e digitate tutte le altre informazioni necessarie nelle caselle rimanenti.
  5. Deselezionare L'utente deve cambiare la password al login successivo, fare clic su Crea, quindi su Chiudi.
  6. Fare clic su Utenti, fare clic con il pulsante destro del mouse sull'utente appena creato e selezionare Proprietà.
  7. Fare clic sulla scheda Membro di, quindi fare clic su Aggiungi.
  8. Nella casella Immettere i nomi degli oggetti da selezionare, digitare Administrators, fare clic su Controlla nomi per verificare che il nome del gruppo sia corretto.
  9. Fare clic su OK, quindi fare di nuovo clic su OK.
  10. Selezionare Start > Pannello di controllo Campaign > Strumenti di amministrazione > Criteri di sicurezza locali > Criteri locali.
  11. Fate clic su Assegnazione diritti utente, quindi fate clic con il pulsante destro del mouse su Agisci come parte del sistema operativo e selezionate Proprietà.
  12. Fare clic su Aggiungi utente o gruppo.
  13. Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome dell'utente creato al punto 4, fare clic su Controlla nomi per verificare che il nome sia corretto, quindi fare clic su OK.
  14. Fare clic su OK per chiudere la finestra di dialogo Agisci come parte della finestra di dialogo Proprietà sistema operativo.

Configurare WebSphere per utilizzare l'utente appena creato come Amministratore

  1. Assicurarsi che WebSphere sia in esecuzione.

  2. Nella console di amministrazione di WebSphere, selezionare Protezione > Sicurezza globale.

  3. In Sicurezza amministrativa, selezionare Ruoli utente amministrativi.

  4. Fate clic su Aggiungi ed effettuate le seguenti operazioni:

    1. Digitare * nella casella di ricerca e fare clic su Cerca.
    2. Fare clic su Amministratore in ruoli.
    3. Aggiungete l’utente appena creato a Mappato al ruolo e mapparlo ad Amministratore.
  5. Fare clic su OK e salvare le modifiche.

  6. Riavviare il profilo WebSphere.

Abilita protezione amministrativa

  1. Nella console di amministrazione di WebSphere, selezionare Protezione > Sicurezza globale.

  2. Fare clic su Configurazione guidata sicurezza.

  3. Assicurarsi che la casella di controllo Abilita protezione applicazione sia abilitata. Fai clic su Avanti.

  4. Selezionare Federated Repository e fare clic su Next.

  5. Specificare le credenziali da impostare e fare clic su Avanti.

  6. Fare clic su Fine.

  7. Riavviare il profilo WebSphere.

    WebSphere inizierà a utilizzare l'archivio di chiavi e l'archivio di trust predefiniti.

Abilita SSL (chiave personalizzata e trust store)

Truststore e keystore possono essere creati utilizzando l'utility ikeyman o admin console. Per garantire il corretto funzionamento di ikeyman, verificare che il percorso di installazione di WebSphere non contenga parentesi.

  1. Nella console di amministrazione di WebSphere, selezionare Protezione > Certificato SSL e gestione chiavi.

  2. Fare clic su Keystores and certificates in Elementi correlati.

  3. Nel menu a discesa Uso dell'archivio chiavi, assicurarsi che sia selezionata l'opzione Keystores SSL. Fai clic su Nuovo.

  4. Digitare un nome logico e una descrizione.

  5. Specificate il percorso in cui desiderate creare l'archivio chiavi. Se avete già creato un archivio di chiavi tramite ikeyman, specificate il percorso del file dell'archivio di chiavi.

  6. Specificate e confermate la password.

  7. Scegliete il tipo di archivio di chiavi e fate clic su Applica.

  8. Salvate la configurazione principale.

  9. Fare clic su Certificato personale.

  10. Se hai già creato un archivio chiavi con ikeyman, verrà visualizzato il certificato. In caso contrario, è necessario aggiungere un nuovo certificato autofirmato eseguendo la procedura seguente:

    1. Selezionare Crea > Certificato autofirmato.
    2. Specificare i valori appropriati nel modulo del certificato. Assicurarsi di mantenere Alias e nome comune come nome di dominio completo del computer.
    3. Fare clic su Applica.
  11. Ripetete i passaggi da 2 a 10 per creare un trust store.

Applicare l'archivio chiavi personalizzato e l'archivio attendibili al server

  1. Nella console di amministrazione di WebSphere, selezionare Protezione > Certificato SSL e gestione chiavi.

  2. Fare clic su Gestisci configurazione protezione endpoint. Viene visualizzata la mappa topologia locale.

  3. In Inbound (In entrata), selezionare direct child of nodes (figlio diretto dei nodi).

  4. In Elementi correlati, selezionare Configurazioni SSL.

  5. Selezionare NodeDeafultSSLSetting.

  6. Negli elenchi a discesa Nome e Nome archivio chiavi, selezionate l'archivio di dati attendibili e l'archivio di chiavi personalizzato che avete creato.

  7. Fare clic su Applica.

  8. Salvate la configurazione principale.

  9. Riavviare il profilo WebSphere.

    Il profilo ora viene eseguito in base alle impostazioni SSL personalizzate e al certificato.

Abilitazione del supporto per AEM moduli nativi

  1. Nella console di amministrazione di WebSphere, selezionare Protezione > Sicurezza globale.
  2. Nella sezione Autenticazione, espandere Protezione RMI/IIOP e fare clic su Comunicazioni in ingresso CSIv2.
  3. Assicurarsi che l'opzione SSL-supported sia selezionata nell'elenco a discesa Trasporto.
  4. Riavviare il profilo WebSphere.

Configurazione di WebSphere per convertire gli URL che iniziano con https

Per convertire un URL che inizia con https, aggiungi un certificato del firmatario per tale URL al server WebSphere.

Creare un certificato del firmatario per un sito abilitato per https

  1. Assicurarsi che WebSphere sia in esecuzione.

  2. Nella console di amministrazione di WebSphere, passare ai certificati del firmatario, quindi fare clic su Protezione > Certificato SSL e gestione chiave > Archivi e certificati chiave > NodeDefaultTrustStore > Certificati del firmatario.

  3. Fate clic su Recupera da porta ed eseguite le seguenti operazioni:

    • Nella casella Host, digitate l'URL. Ad esempio, digitare www.paypal.com.
    • Nella casella Porta digitare 443. Questa porta è la porta SSL predefinita.
    • Nella casella Alias digitare un alias.
  4. Fate clic su Recupera informazioni firmatario, quindi verificate che le informazioni vengano recuperate.

  5. Fate clic su Applica, quindi su Salva.

La conversione da HTML a PDF dal sito il cui certificato è stato aggiunto ora funziona dal servizio Genera PDF.

NOTA

Affinché un'applicazione possa connettersi a siti SSL da WebSphere, è necessario un certificato del firmatario. Viene utilizzato da Java Secure Socket Extensions (JSSE) per convalidare i certificati inviati dal lato remoto durante un handshake SSL.

Configurazione delle porte dinamiche

IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per informazioni sulla restrizione permanente, consultate https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Per impostare la porta come dinamica e risolvere il problema, effettuate le seguenti operazioni:

  1. Nella console di amministrazione di WebSphere, selezionare Server > Tipi di server > Server applicazioni WebSphere.

  2. Nella sezione Preferenze, selezionate il server.

  3. Nella scheda Configurazione, nella sezione Comunicazioni, espandere Porte e fare clic su Dettagli.

  4. Fare clic sui seguenti nomi di porta, modificare il numero di porta a1/> in 0, quindi fare clic su OK .

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Configurare il file sling.properties

  1. Aprire il file [aem-forms_root]\crx-repository\launchpad\sling.properties per la modifica.

  2. Individuare la proprietà sling.bootdelegation.ibm e aggiungere com.ibm.websphere.ssl.*al relativo campo valore. Il campo aggiornato sarà simile al seguente:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. Salva il file e riavvia il server.

In questa pagina

Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free
Adobe Summit Banner

A virtual event April 27-28.

Expand your skills and get inspired.

Register for free