为WebSphere应用程序服务器配置SSL

本节包括通过IBM WebSphere Application Server配置SSL的以下步骤。

在WebSphere上创建本地用户帐户

要启用SSL,WebSphere需要访问本地操作系统用户注册表中具有管理系统权限的用户帐户:

  • (Windows)创建属于管理员组的新Windows用户,该用户具有充当操作系统一部分的权限。 (请参阅为WebSphere创建Windows用户。)
  • (Linux、UNIX)该用户可以是根用户,也可以是具有根权限的其他用户。 在WebSphere上启用SSL时,请使用此用户的服务器标识和密码。

为WebSphere创建Linux或UNIX用户

  1. 以根用户身份登录。

  2. 通过在命令提示符下输入以下命令创建用户:

    • (Linux和Sun Solaris)useradd
    • (IBM AIX)mkuser
  3. 通过在命令提示符下输入passwd设置新用户的口令。

  4. (Linux和Solaris)通过在命令提示符下输入pwconv(无参数),创建卷影密码文件。

    注意

    (Linux和Solaris)要使WebSphere Application Server本地OS安全注册表正常工作,必须存在卷影密码文件。 卷影密码文件通常名为​**/etc/shadow***,并基于/etc/passwd文件。 如果卷影密码文件不存在,则在启用全局安全性并将用户注册表配置为本地操作系统后,将发生错误。*

  5. 在文本编辑器中从/etc目录打开组文件。

  6. 将您在步骤2中创建的用户添加到root组。

  7. 保存并关闭文件。

  8. (启用SSL的UNIX)开始并停止WebSphere作为根用户。

为WebSphere创建Windows用户

  1. 使用管理员用户帐户登录到Windows。
  2. 选择​开始>控制面板>管理工具>计算机管理>本地用户和组
  3. 右键单击“用户”,然后选择“新建用户”
  4. 在相应的框中键入用户名和密码,并在其余框中键入您需要的任何其他信息。
  5. 取消选择​“用户在下次登录时必须更改密码”,单击​创建,然后单击​关闭
  6. 单击​Users,右键单击刚刚创建的用户,然后选择​Properties
  7. 单击​​的成员”选项卡,然后单击​添加
  8. 在“输入要选择的对象名称”框中,键入Administrators,单击“检查名称”以确保组名称正确。
  9. 单击​OK,然后再次单击​OK
  10. 选择​开始>控制面板>管理工具>本地安全策略>本地策略
  11. 单击“用户权限分配”,然后右键单击“作为操作系统的一部分”,然后选择“属性”。
  12. 单击​添加用户或组
  13. 在“输入要选择的对象名称”框中,键入您在步骤4中创建的用户的名称,单击​检查名称​以确保名称正确,然后单击​确定
  14. 单击​确定​以关闭“作为操作系统属性”对话框的一部分。

将WebSphere配置为以管理员身份使用新创建的用户

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,选择​安全>全局安全

  3. 在“管理安全”下,选择​“管理用户角色”

  4. 单击“添加”并执行以下操作:

    1. 在搜索框中键入​*​并单击“search”。
    2. 单击“角色”下的​Administrator
    3. 将新创建的用户添加到映射到角色,并将其映射到管理员。
  5. 单击​确定​并保存更改。

  6. 重新启动WebSphere用户档案。

启用管理安全性

  1. 在WebSphere管理控制台中,选择​安全>全局安全

  2. 单击​安全配置向导

  3. 确保​启用应用程序安全​复选框已启用。 单击​下一步

  4. 选择​联合资料库​并单击​下一步

  5. 指定要设置的凭据,然后单击​下一步

  6. 单击​完成

  7. 重新启动WebSphere用户档案。

    WebSphere将使用默认密钥库和信任存储进行开始。

启用SSL(自定义密钥和信任存储)

可以使用ikeyman实用程序或管理控制台创建信任存储和密钥存储。 要使ikeyman正常工作,请确保WebSphere安装路径不包含括号。

  1. 在WebSphere管理控制台中,选择​安全> SSL证书和密钥管理

  2. 单击“相关项目”下的​密钥库和证书

  3. 在​密钥存储用法​下拉框中,确保选择​SSL密钥存储。 单击​新建

  4. 键入逻辑名称和说明。

  5. 指定要创建密钥库的路径。 如果已通过ikeyman创建密钥库,请指定密钥库文件的路径。

  6. 指定并确认密码。

  7. 选择密钥库类型,然后单击​应用

  8. 保存主控配置。

  9. 单击​个人证书

  10. 如果已使用ikeyman添加已创建密钥库,则将显示您的证书。 否则,您需要通过执行以下步骤来添加新的自签名证书:

    1. 选择​创建>自签名证书
    2. 在证书表单上指定适当的值。 确保将别名和通用名称保留为计算机的完全限定域名。
    3. 单击​应用
  11. 重复步骤2到10以创建信任存储。

将自定义密钥库和信任存储应用到服务器

  1. 在WebSphere管理控制台中,选择​安全> SSL证书和密钥管理

  2. 单击​管理端点安全配置。 本地拓扑图打开。

  3. 在“入站”下,选择节点的直接子项。

  4. 在“相关项目”下,选择​SSL配置

  5. 选择​NodeDefaultSSLSetting

  6. 从truststore名称和keystore名称下拉列表中,选择您创建的自定义truststore和keystore。

  7. 单击​应用

  8. 保存主控配置。

  9. 重新启动WebSphere用户档案。

    您的用户档案现在可在自定义SSL设置和证书上运行。

启用对AEM表单原生代码的支持

  1. 在WebSphere管理控制台中,选择​安全>全局安全
  2. 在“身份验证”部分,展开​RMI/IIOP security​并单击​CSIv2入站通信
  3. 确保在“传输”下拉列表中选择了​支持SSL的
  4. 重新启动WebSphere用户档案。

配置WebSphere以转换以https开头的URL

要转换以https开头的URL,请为该URL添加一个签名者证书至WebSphere服务器。

为启用https的站点创建签名者证书

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,导航到签署者证书,然后单击“安全”>“SSL证书和密钥管理”>“密钥存储和证书”>“NodeDefaultTrustStore”>“签署者证书”。

  3. 单击“从端口检索”并执行以下任务:

    • 在“主机”框中,键入URL。 例如,键入www.paypal.com
    • 在“端口”框中,键入443。 此端口是默认的SSL端口。
    • 在“别名”框中,键入别名。
  4. 单击“检索签署方信息”,然后验证是否检索到该信息。

  5. 单击“应用”,然后单击“保存”。

现在,从添加证书的站点进行HTML到PDF的转换将通过“生成PDF”服务工作。

注意

要使应用程序从WebSphere内连接到SSL站点,需要签署者证书。 Java安全套接字扩展(JSSE)使用它验证在SSL握手期间发送的连接远程端的证书。

配置动态端口

启用全局安全时,IBM WebSphere不允许对ORB.init()进行多次调用。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704上阅读有关永久限制的信息。

请执行以下步骤将端口设置为动态并解决问题:

  1. 在WebSphere管理控制台中,选择​服务器 > 服务器类型 > WebSphere应用程序服务器

  2. 在“首选项”部分,选择您的服务器。

  3. 在​配置​选项卡的​通信​部分下,展开​端口,然后单击​详细信息

  4. 单击以下端口名称,将​端口号​更改为0,然后单击​确定

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

配置sling.properties文件

  1. 打开[aem-forms_root]\crx-repository\launchpad\sling.properties文件进行编辑。

  2. 找到sling.bootdelegation.ibm属性,并将com.ibm.websphere.ssl.*添加到其值字段。 更新后的字段如下所示:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. 保存文件并重新启动服务器。

On this page

Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now
Adobe Maker Awards Banner

Time to shine!

Apply now for the 2021 Adobe Experience Maker Awards.

Apply now