Konfigurieren von SSL für WebSphere Application Server

In diesem Abschnitt werden die folgenden Schritte zum Konfigurieren von SSL für IBM WebSphere Application Server beschrieben.

Lokales Benutzerkonto unter WebSphere erstellen

Zum Aktivieren von SSL muss WebSphere in der Benutzerregistrierung des lokalen Betriebssystems Zugriff auf ein Benutzerkonto mit Administratorrechten haben:

  • (Windows) Erstellen Sie einen neuen Benutzer in Administratorgruppe, der berechtigt ist, als Teil des Betriebssystems zu agieren. (Siehe Windows-Benutzers für WebSphere erstellen.)
  • (Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.

Linux- oder UNIX-Benutzer für WebSphere erstellen

  1. Melden Sie sich als Root-Benutzer an.

  2. Erstellen Sie einen Benutzer, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

    • (Linux und Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd eingeben.

  4. (Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv (ohne Parameter) eingeben.

    HINWEIS

    (Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen /etc/shadow und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.

  5. Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.

  6. Fügen Sie der Gruppe root den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.

  7. Speichern und schließen Sie die Datei.

  8. (UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.

Windows-Benutzer für WebSphere erstellen

  1. Melden Sie sich über ein Administrator-Benutzerkonto bei Windows an.
  2. Wählen Sie Start > Systemsteuerung > Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen aus.
  3. Klicken Sie mit der rechten Maustaste auf Benutzer und wählen Sie Neuer Benutzer aus.
  4. Geben Sie in die entsprechenden Felder einen Benutzernamen und ein Kennwort ein und geben Sie weitere wichtige Informationen in die übrigen Felder ein.
  5. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern, klicken Sie auf Erstellen und dann auf Schließen.
  6. Klicken Sie auf Benutzer, klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie gerade erstellt haben, und wählen Sie dann Eigenschaften aus.
  7. Klicken Sie auf die Registerkarte Mitgliedschaft und dann auf Hinzufügen.
  8. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen Administrators. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.
  9. Klicken Sie auf OK und dann erneut auf OK.
  10. Wählen Sie Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie > Lokale Richtlinien.
  11. Klicken Sie auf „Zuweisen von Benutzerrechten“ und anschließend mit der rechten Maustaste auf „Einsetzen als Teil des Betriebssystems“. Wählen Sie dann „Eigenschaften“.
  12. Klicken Sie auf Benutzer oder Gruppe hinzufügen.
  13. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen des von Ihnen in Schritt 4 erstellten Benutzers ein und klicken Sie auf Namen überprüfen, um sicherzustellen, dass der Name richtig ist. Klicken Sie dann auf OK.
  14. Klicken Sie auf OK, um das Dialogfeld „Eigenschaften von Einsetzen als Teil des Betriebssystems“ zu schließen.

Konfigurieren Sie WebSphere, um den neu erstellten Benutzer als Administrator festzulegen.

  1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

  2. Wählen Sie in der WebSphere Administrative Console Security > Global Security.

  3. Wählen Sie unter „Administrative security“ Administrative user roles.

  4. Klicken Sie auf „Add“ und führen Sie folgende Schritte aus:

    1. Geben Sie im Suchfeld ***** ein und klicken Sie auf „Suchen“.
    2. Klicken Sie unter „Roles“ auf Administrator.
    3. Fügen Sie den neu erstellten Benutzer zu „Mapped to role“ hinzu und ordnen Sie ihn zu „Administrator“ zu.
  5. Klicken Sie auf OK und speichern Sie die Änderungen.

  6. Starten Sie das WebSphere-Profil erneut.

Administrative Sicherheit aktivieren

  1. Wählen Sie in der WebSphere Administrative Console Security > Global Security.

  2. Klicken Sie auf Security Configuration Wizard.

  3. Stellen Sie sicher, dass das Kontrollkästchen Enable Application Security aktiviert ist. Klicken Sie auf Weiter.

  4. Wählen Sie Federated Repositories und klicken Sie auf Next.

  5. Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf Next.

  6. Klicken Sie auf Beenden.

  7. Starten Sie das WebSphere-Profil erneut.

    WebSphere startet unter Verwendung des standardmäßigen Keystore und Truststore.

Aktivieren Sie SSL (Custom Key und Truststore)

Truststores und Keystores können mithilfe ides Dienstprogramms „ikeyman“ oder über die Admin Console erstellt werden. Vergewissern Sie sich, dass der WebSphere-Installationspfad keine Klammern enthält, damit „ikeyman“ ordnungsgemäß funtkioniert.

  1. Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.

  2. Klicken Sie unter „Related items“ auf Keystores and certificates.

  3. Vergewissern Sie sich, dass in der Dropdown-Liste Key store usages SSL Keystores ausgewählt ist. Klicken Sie auf Neu.

  4. Geben Sie einen logischen Namen und eine Beschreibung ein.

  5. Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits ein Keystore mit „ikeyman“ erstellt haben, geben Sie den Pfad zur Keystore-Datei an.

  6. Geben Sie ein Kennwort an und bestätigen Sie es.

  7. Wählen Sie den Keystore-Typ aus und klicken Sie auf Apply.

  8. Speichern Sie die Master-Konfiguration.

  9. Klicken Sie auf Personal Certificate.

  10. Wenn Sie bereits einen mithilfe von „ikeyman“ erstellten Keystore hinzugefügt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbst-unterzeichnetes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie Create > Self-signed Certificate.
    2. Geben Sie entsprechende Werte im Zertifikatsformular an. Behalten Sie den Alias und den allgemeinen Namen als vollständig qualifizierten Domain-Namen des Computers bei.
    3. Klicken Sie auf Übernehmen.
  11. Wiederholen Sie die Schritte 2 bis 10 zum Erstellen eines Truststore.

Verwenden benutzerdefinierter Keystore und Truststore auf dem Server

  1. Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.

  2. Klicken Sie auf Manage endpoint security configuration. Die lokale Topologiezuordnung wird geöffnet.

  3. Wählen Sie unter „Inbound“ das direkt untergeordnete Element der Knoten.

  4. Wählen Sie unter „Related items“ SSL configurations.

  5. Wählen Sie NodeDeafultSSLSetting.

  6. Wählen Sie aus den Dropdown-Listen „Truststore Name“ und „Keystore Name“ die benutzerdefinierten Truststore und Keystore aus, die Sie erstellt haben.

  7. Klicken Sie auf Übernehmen.

  8. Speichern Sie die Master-Konfiguration.

  9. Starten Sie das WebSphere-Profil erneut.

    Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.

Aktivieren der Unterstützung für native AEM Forms-Anwendungen

  1. Wählen Sie in der WebSphere Administrative Console Security > Global Security.
  2. Erweitern Sie im Abschnitt „Authentication“ RMI/IIOP Security und klicken Sie auf CSIv2 Inbound Communications.
  3. Vergewissern Sie sich, dass SSL-supported in der Dropdown-Liste „Transport“ ausgewählt ist.
  4. Starten Sie das WebSphere-Profil erneut.

WebSphere für die Konvertierung von mit HTTPS beginnenden URLs konfigurieren

Um mit HTTPS beginnende URLs zu konvertieren, fügen Sie ein Signiererzertifikat für die URL zum WebSphere-Server hinzu.

Signiererzertifikat für eine HTTPS-Site erstellen

  1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

  2. Wechseln Sie in der WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie auf „Security“ > „SSL Certificate and Key Management“ > „Key Stores and Certificates“ > „NodeDefaultTrustStore“ > „Signer certificates“.

  3. Klicken Sie auf „Retrieve from port“ und führen Sie die folgenden Aufgaben aus:

    • Geben Sie in das Feld „Host“ die URL ein. Geben Sie beispielsweise www.paypal.com.
    • Geben Sie in das Feld „Port“ den Wert 443 ein. Dieser Anschluss ist der SSL-Standardanschluss.
    • Geben Sie in das Feld „Alias“ einen Alias ein.
  4. Klicken Sie auf „Retrieve Signer Information“ und prüfen Sie, ob die Informationen abgerufen werden.

  5. Klicken Sie auf „Apply“ und dann auf „Save“.

Die Konvertierung von HTML in PDF von der Site, deren Zertifikat hinzugefügt wurde, erfolgt nun über den Generate PDF-Dienst.

HINWEIS

Es ist ein Signiererzertifikat erforderlich, damit eine Anwendung von WebSphere aus eine Verbindung zu SSL-Sites herstellen kann. Dieses wird von Java Secure Socket Extensions (JSSE) dazu verwendet, die Zertifikate zu prüfen, die die Remote-Seite der Verbindung bei einem SSL-Handshake sendet.

Konfigurieren von dynamischen Ports

IBM WebSphere erlaubt nicht mehrere Aufrufe von ORB.init (), wenn die globale Sicherheit aktiviert wurde. Informationen über die dauerhafte Einschränkung finden Sie unter https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Führen Sie die folgenden Schritte aus, um den Port als dynamisch festzulegen und das Problem zu lösen:

  1. Wählen Sie in WebSphere Administrative Console Servers >Server Types >WebSphere application servers.

  2. Wählen Sie bei den Voreinstellungen Ihren Server aus.

  3. Erweitern Sie auf der Registerkarte Configuration unter Communications den Abschnitt Ports und klicken Sie auf Details.

  4. Klicken Sie auf die folgenden Portnamen, ändern Sie nach Bedarf die Portnummer auf 0 und klicken Sie auf OK.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Konfigurieren der sling.properties-Datei

  1. Öffnen Sie die Datei „[aem-forms_root]\crx-repository\launchpad\sling.properties“ zur Bearbeitung.

  2. Suchen Sie die Eigenschaft sling.bootdelegation.ibm und fügen Sie com.ibm.websphere.ssl.* zu ihrem Wertfeld hinzu. Das aktualisierte Feld sieht wie folgt aus:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. Speichern Sie die Datei und starten Sie den Server neu.

Auf dieser Seite