本節包含以下步驟,以便使用IBM WebSphere Application Server配置SSL。
要啟用SSL,WebSphere需要訪問本地OS用戶註冊表中有權管理系統的用戶帳戶:
以root用戶身份登錄。
在命令提示符下輸入以下命令以建立用戶:
useradd
mkuser
通過在命令提示符下輸入passwd
來設定新用戶的口令。
(Linux和Solaris)通過在命令提示符下輸入pwconv
(無參數)來建立卷影口令檔案。
(Linux和Solaris)要使WebSphere Application Server本地OS安全註冊表工作,卷影密碼檔案必須存在。 卷影密碼檔案通常名為**/etc/shadow***,並基於/etc/passwd檔案。 如果卷影密碼檔案不存在,則在啟用全局安全性並將用戶註冊表配置為本地作業系統後會發生錯誤。*
在文本編輯器中從/etc目錄開啟組檔案。
將您在步驟2中建立的使用者新增至root
群組。
儲存並關閉檔案。
(啟用SSL的UNIX)以root用戶身份啟動和停止WebSphere。
Administrators
,按一下檢查名稱以確保組名稱正確。確保WebSphere正在運行。
在WebSphere管理控制台中,選擇安全性>全域安全性。
在「管理安全性」下,選擇管理用戶角色。
按一下「新增」並執行下列動作:
按一下確定並保存更改。
重新啟動WebSphere描述檔。
在WebSphere管理控制台中,選擇安全性>全域安全性。
按一下安全配置嚮導。
確保啟用應用程式安全複選框已啟用。 按一下下一步。
選擇聯合資料庫 ,然後按一下Next。
指定要設定的憑據,然後按一下Next。
按一下完成。
重新啟動WebSphere描述檔。
WebSphere將開始使用預設密鑰庫和信任儲存。
您可以使用ikeyman公用程式或管理控制台來建立信任庫和keystore。 要使ikeyman正常運作,請確保WebSphere安裝路徑不包含括弧。
在WebSphere管理控制台中,選擇安全> SSL證書和密鑰管理。
按一下「相關項目」下方的「鑰匙圈和憑證」。
在Key store usages下拉式清單中,請確定已選取SSL Keystores。 按一下新建。
鍵入邏輯名稱和說明。
指定要在其中建立密鑰庫的路徑。 如果已通過ikeyman建立密鑰庫,請指定密鑰庫檔案的路徑。
指定並確認密碼。
選擇密鑰庫類型,然後按一下Apply。
保存主配置。
按一下個人證書。
如果您已使用ikeyman新增已建立密鑰庫,則會出現憑證。 否則,您需要執行下列步驟來新增自簽證:
重複步驟2到10以建立信任庫。
在WebSphere管理控制台中,選擇安全> SSL證書和密鑰管理。
按一下管理端點安全配置。 本地拓撲圖開啟。
在「入站」下,選擇節點的直接子項。
在「相關項目」下,選擇SSL配置。
選擇NodeDefaultSSLSetting。
從truststore名稱和keystore名稱下拉式清單中,選取您建立的自訂truststore和keystore。
按一下Apply。
保存主配置。
重新啟動WebSphere描述檔。
您的設定檔現在會在自訂SSL設定和憑證上執行。
若要轉換以https開頭的URL,請將該URL的簽署者憑證新增至WebSphere伺服器。
為啟用https的網站建立簽署者憑證
確保WebSphere正在運行。
在WebSphere管理控制台中,導覽至簽署者憑證,然後按一下「安全性> SSL憑證和金鑰管理>金鑰存放區和憑證> NodeDefaultTrustStore >簽署者憑證」。
按一下「從埠檢索」並執行以下任務:
www.paypal.com
。443
。 此埠是預設的SSL埠。按一下「擷取簽署者資訊」,然後確認已擷取該資訊。
按一下「套用」,然後按一下「儲存」。
從新增認證的網站轉換HTML至PDF,現在可從「產生PDF」服務運作。
若要從WebSphere內部連線至SSL網站的應用程式,則需要簽署者憑證。 Java安全套接字擴展(JSSE)使用它來驗證在SSL握手期間發送的連接遠程端的證書。
IBM WebSphere不允許在啟用「全域安全性」時對ORB.init()進行多次呼叫。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704上閱讀永久限制的相關資訊。
執行以下步驟將埠設定為動態並解決問題:
在WebSphere管理控制台中,選擇Servers > Server Types > WebSphere應用程式伺服器。
在「首選項」部分,選擇您的伺服器。
在Configuration頁籤的Communications部分下,展開Ports ,然後按一下Details。
按一下以下埠名稱,將埠號更改為0,然後按一下確定。
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
開啟[aem-forms_root]\crx-repository\launchpad\sling.properties檔案以進行編輯。
找到sling.bootdelegation.ibm
屬性,並將com.ibm.websphere.ssl.*
新增至其值欄位。 更新的欄位如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
儲存檔案並重新啟動伺服器。