Konfigurieren von SSL für WebSphere Application Server

Letzte Aktualisierung: 2023-11-07

Dieser Abschnitt enthält die folgenden Schritte zum Konfigurieren von SSL mit Ihrem IBM WebSphere Application Server.

Erstellen eines lokalen Benutzerkontos auf WebSphere

Für die Aktivierung von SSL benötigt WebSphere Zugriff auf ein Benutzerkonto in der Benutzerregistrierung des lokalen Betriebssystems, das zur Verwaltung des Systems berechtigt ist:

  • (Windows) Erstellen Sie einen Windows-Benutzer, der der Gruppe Administratoren angehört und berechtigt ist, als Teil des Betriebssystems zu fungieren. (Siehe Windows-Benutzer für WebSphere erstellen.
  • (Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.

Linux- oder UNIX-Benutzer für WebSphere erstellen

  1. Melden Sie sich als Root-Benutzer an.

  2. Erstellen Sie einen Benutzer, indem Sie den folgenden Befehl an einer Eingabeaufforderung eingeben:

    • (Linux und Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd eingeben.

  4. (Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv (ohne Parameter) eingeben.

    HINWEIS

    (Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen /etc/shadow und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.

  5. Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.

  6. Fügen Sie der Gruppe root den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.

  7. Speichern und schließen Sie die Datei.

  8. (UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.

Windows-Benutzer für WebSphere erstellen

  1. Melden Sie sich mit einem Administrator-Benutzerkonto bei Windows an.
  2. Auswählen Start > Systemsteuerung > Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen.
  3. Klicken Sie mit der rechten Maustaste auf Benutzer und wählen Sie Neuer Benutzer.
  4. Geben Sie einen Benutzernamen und ein Kennwort in die entsprechenden Felder ein und geben Sie in die übrigen Felder alle weiteren erforderlichen Informationen ein.
  5. Auswahl deaktivieren Der Benutzer muss das Kennwort bei der nächsten Anmeldung ändern klicken Erstellen und klicken Sie anschließend auf Schließen.
  6. Klicks Benutzer, klicken Sie mit der rechten Maustaste auf den erstellten Benutzer und wählen Sie Eigenschaften.
  7. Klicken Sie auf Mitglied von und klicken Sie auf Hinzufügen.
  8. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen Administrators. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.
  9. Klicks OK und klicken Sie anschließend auf OK erneut.
  10. Auswählen Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie > Lokale Richtlinien.
  11. Klicken Sie auf "Zuweisung von Benutzerrechten", klicken Sie dann mit der rechten Maustaste auf Als Teil des Betriebssystems arbeiten und wählen Sie Eigenschaften aus.
  12. Klicks Benutzer oder Gruppe hinzufügen.
  13. Geben Sie im Feld "Geben Sie die zu verwendenden Objektnamen ein"den Namen des Benutzers ein, den Sie in Schritt 4 erstellt haben, und klicken Sie auf Namen überprüfen , um sicherzustellen, dass der Name korrekt ist, und klicken Sie dann auf OK.
  14. Klicks OK , um das Dialogfeld Eigenschaften des Betriebssystems zu schließen.

WebSphere für die Verwendung des neu erstellten Benutzers als Administrator konfigurieren

  1. Stellen Sie sicher, dass WebSphere ausgeführt wird.

  2. Wählen Sie in WebSphere Administrative Console Sicherheit > Globale Sicherheit.

  3. Wählen Sie unter "Administrative security"die Option Administratorrollen.

  4. Klicken Sie auf Hinzufügen und führen Sie die folgenden Schritte aus:

    1. Geben Sie im Suchfeld * ein und klicken Sie auf „Suchen“.
    2. Klicks Administrator unter Rollen.
    3. Fügen Sie den neu erstellten Benutzer der Rolle "Mapped to role"hinzu und ordnen Sie ihn Administrator zu.
  5. Klicks OK und speichern Sie Ihre Änderungen.

  6. Starten Sie das WebSphere-Profil neu.

Administrative Sicherheit aktivieren

  1. Wählen Sie in WebSphere Administrative Console Sicherheit > Globale Sicherheit.

  2. Klicks Sicherheitskonfigurationsassistent.

  3. Sichern Anwendungssicherheit aktivieren aktiviert ist. Klicken Sie auf Weiter.

  4. Auswählen Federated Repositorys und klicken Nächste.

  5. Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf Nächste.

  6. Klicken Sie auf Beenden.

  7. Starten Sie das WebSphere-Profil neu.

    WebSphere verwendet zunächst den standardmäßigen Keystore und TrustStore.

Aktivieren Sie SSL (benutzerdefinierten Schlüssel und TrustStore)

Truststores und Keystores können mit dem Dienstprogramm ikeyman oder der Admin Console erstellt werden. Damit ikeyman ordnungsgemäß funktioniert, stellen Sie sicher, dass der WebSphere-Installationspfad keine Klammern enthält.

  1. Wählen Sie in WebSphere Administrative Console Sicherheit > SSL-Zertifikat und Schlüsselverwaltung.

  2. Klicks Keystores und Zertifikate unter Verwandte Artikel.

  3. Im Schlüsselspeicherverwendung Dropdown-Liste, stellen Sie sicher, dass SSL-Schlüssel ausgewählt ist. Klicken Sie auf Neu.

  4. Geben Sie einen logischen Namen und eine Beschreibung ein.

  5. Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits einen Keystore über "ikeyman"erstellt haben, geben Sie den Pfad zur Keystore-Datei an.

  6. Geben Sie das Kennwort an und bestätigen Sie es.

  7. Wählen Sie den Keystore-Typ aus und klicken Sie auf Anwenden.

  8. Speichern Sie die Master-Konfiguration.

  9. Klicks Persönliches Zertifikat.

  10. Wenn Sie bereits einen Keystore mit ikeyman erstellt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbstsigniertes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:

    1. Auswählen Erstellen > Selbstsigniertes Zertifikat.
    2. Geben Sie die entsprechenden Werte im Zertifikatformular an. Achten Sie darauf, Alias und den allgemeinen Namen als vollständig qualifizierten Domänennamen des Computers zu verwenden.
    3. Klicken Sie auf Übernehmen.
  11. Wiederholen Sie die Schritte 2 bis 10 für die Erstellung eines TrustStore.

Anwenden von benutzerdefiniertem Keystore und TrustStore auf den Server

  1. Wählen Sie in WebSphere Administrative Console Sicherheit > SSL-Zertifikat und Schlüsselverwaltung.

  2. Klicks Konfiguration der Endpunktsicherheit verwalten. Die lokale Topologiemap wird geöffnet.

  3. Wählen Sie unter "Eingehend"das direkt untergeordnete Element der Knoten aus.

  4. Wählen Sie unter Verwandte Elemente die Option SSL-Konfigurationen.

  5. Auswählen NodeDeafultSSLSetting.

  6. Wählen Sie aus den Dropdownlisten Truststore name and keystore name den von Ihnen erstellten benutzerdefinierten Truststore und Keystore aus.

  7. Klicken Sie auf Übernehmen.

  8. Speichern Sie die Master-Konfiguration.

  9. Starten Sie das WebSphere-Profil neu.

    Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.

Aktivieren der Unterstützung für native AEM Forms

  1. Wählen Sie in WebSphere Administrative Console Sicherheit > Globale Sicherheit.
  2. Erweitern Sie im Abschnitt Authentifizierung den RMI/IIOP-Sicherheit und klicken CSIv2 Inbound Communications.
  3. Stellen Sie sicher, dass SSL-gestützt wird in der Dropdownliste Transport ausgewählt.
  4. Starten Sie das WebSphere-Profil neu.

WebSphere zum Konvertieren von URLs konfigurieren, die mit https beginnen

Um eine URL zu konvertieren, die mit HTTPS beginnt, fügen Sie dem WebSphere-Server ein Signiererzertifikat für diese URL hinzu.

Erstellen eines Signiererzertifikats für eine HTTPS-aktivierte Site

  1. Stellen Sie sicher, dass WebSphere ausgeführt wird.

  2. Navigieren Sie in WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie dann auf Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.

  3. Klicken Sie auf Aus Port abrufen und führen Sie die folgenden Aufgaben aus:

    • Geben Sie in das Feld "Host"die URL ein. Geben Sie beispielsweise www.paypal.com.
    • Geben Sie in das Feld „Port“ den Wert 443 ein. Dieser Port ist der standardmäßige SSL-Anschluss.
    • Geben Sie in das Feld "Alias"einen Alias ein.
  4. Klicken Sie auf "Signiererinformationen abrufen"und überprüfen Sie dann, ob die Informationen abgerufen werden.

  5. Klicken Sie auf Anwenden und dann auf Speichern.

Die HTML-zu-PDF-Konvertierung von der Site, deren Zertifikat hinzugefügt wird, funktioniert jetzt mit dem Generate PDF-Dienst.

HINWEIS

Damit eine Anwendung von in WebSphere aus eine Verbindung zu SSL-Sites herstellen kann, ist ein Signiererzertifikat erforderlich. Sie wird von Java Secure Socket Extensions (JSSE) verwendet, um Zertifikate zu überprüfen, die die Remote-Seite der Verbindung während eines SSL-Handshake sendet.

Dynamische Ports konfigurieren

IBM WebSphere lässt nicht mehrere Aufrufe an ORB.init() zu, wenn die globale Sicherheit aktiviert ist. Informationen über die dauerhafte Einschränkung finden Sie unter https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Führen Sie die folgenden Schritte aus, um den Port als dynamisch festzulegen und das Problem zu beheben:

  1. Wählen Sie in WebSphere Administrative Console Server > Servertypen > WebSphere-Anwendungsserver.

  2. Wählen Sie im Bereich Voreinstellungen den gewünschten Server aus.

  3. Im Konfiguration Registerkarte unter Kommunikation Abschnitt erweitern Ports und klicken Sie auf Details.

  4. Klicken Sie auf die folgenden Portnamen und ändern Sie die Portnummer auf 0 klicken und auf OK.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Konfigurieren der sling.properties-Datei

  1. Öffnen Sie die Datei „[aem-forms_root]\crx-repository\launchpad\sling.properties“ zur Bearbeitung.

  2. Suchen Sie die Eigenschaft sling.bootdelegation.ibm und fügen Sie com.ibm.websphere.ssl.* zu ihrem Wertfeld hinzu. Das aktualisierte Feld sieht wie folgt aus:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. Speichern Sie die Datei und starten Sie den Server neu.

Auf dieser Seite