In diesem Abschnitt werden die folgenden Schritte zum Konfigurieren von SSL für IBM WebSphere Application Server beschrieben.
Zum Aktivieren von SSL muss WebSphere in der Benutzerregistrierung des lokalen Betriebssystems Zugriff auf ein Benutzerkonto mit Administratorrechten haben:
Melden Sie sich als Root-Benutzer an.
Erstellen Sie einen Benutzer, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:
useradd
mkuser
Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd
eingeben.
(Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv
(ohne Parameter) eingeben.
(Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen /etc/shadow und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.
Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.
Fügen Sie der Gruppe root
den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.
Speichern und schließen Sie die Datei.
(UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.
Administrators
. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.Vergewissern Sie sich, dass WebSphere ausgeführt wird.
Wählen Sie in der WebSphere Administrative Console Security > Global Security.
Wählen Sie unter „Administrative security“ Administrative user roles.
Klicken Sie auf „Add“ und führen Sie folgende Schritte aus:
Klicken Sie auf OK und speichern Sie die Änderungen.
Starten Sie das WebSphere-Profil erneut.
Wählen Sie in der WebSphere Administrative Console Security > Global Security.
Klicken Sie auf Security Configuration Wizard.
Stellen Sie sicher, dass das Kontrollkästchen Enable Application Security aktiviert ist. Klicken Sie auf Weiter.
Wählen Sie Federated Repositories und klicken Sie auf Next.
Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf Next.
Klicken Sie auf Beenden.
Starten Sie das WebSphere-Profil erneut.
WebSphere startet unter Verwendung des standardmäßigen Keystore und Truststore.
Truststores und Keystores können mithilfe ides Dienstprogramms „ikeyman“ oder über die Admin Console erstellt werden. Vergewissern Sie sich, dass der WebSphere-Installationspfad keine Klammern enthält, damit „ikeyman“ ordnungsgemäß funtkioniert.
Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.
Klicken Sie unter „Related items“ auf Keystores and certificates.
Vergewissern Sie sich, dass in der Dropdown-Liste Key store usages SSL Keystores ausgewählt ist. Klicken Sie auf Neu.
Geben Sie einen logischen Namen und eine Beschreibung ein.
Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits ein Keystore mit „ikeyman“ erstellt haben, geben Sie den Pfad zur Keystore-Datei an.
Geben Sie ein Kennwort an und bestätigen Sie es.
Wählen Sie den Keystore-Typ aus und klicken Sie auf Apply.
Speichern Sie die Master-Konfiguration.
Klicken Sie auf Personal Certificate.
Wenn Sie bereits einen mithilfe von „ikeyman“ erstellten Keystore hinzugefügt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbst-unterzeichnetes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:
Wiederholen Sie die Schritte 2 bis 10 zum Erstellen eines Truststore.
Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.
Klicken Sie auf Manage endpoint security configuration. Die lokale Topologiezuordnung wird geöffnet.
Wählen Sie unter „Inbound“ das direkt untergeordnete Element der Knoten.
Wählen Sie unter „Related items“ SSL configurations.
Wählen Sie NodeDeafultSSLSetting.
Wählen Sie aus den Dropdown-Listen „Truststore Name“ und „Keystore Name“ die benutzerdefinierten Truststore und Keystore aus, die Sie erstellt haben.
Klicken Sie auf Übernehmen.
Speichern Sie die Master-Konfiguration.
Starten Sie das WebSphere-Profil erneut.
Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.
Um mit HTTPS beginnende URLs zu konvertieren, fügen Sie ein Signiererzertifikat für die URL zum WebSphere-Server hinzu.
Signiererzertifikat für eine HTTPS-Site erstellen
Vergewissern Sie sich, dass WebSphere ausgeführt wird.
Wechseln Sie in der WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie auf „Security“ > „SSL Certificate and Key Management“ > „Key Stores and Certificates“ > „NodeDefaultTrustStore“ > „Signer certificates“.
Klicken Sie auf „Retrieve from port“ und führen Sie die folgenden Aufgaben aus:
www.paypal.com
.443
ein. Dieser Anschluss ist der SSL-Standardanschluss.Klicken Sie auf „Retrieve Signer Information“ und prüfen Sie, ob die Informationen abgerufen werden.
Klicken Sie auf „Apply“ und dann auf „Save“.
Die Konvertierung von HTML in PDF von der Site, deren Zertifikat hinzugefügt wurde, erfolgt nun über den Generate PDF-Dienst.
Es ist ein Signiererzertifikat erforderlich, damit eine Anwendung von WebSphere aus eine Verbindung zu SSL-Sites herstellen kann. Dieses wird von Java Secure Socket Extensions (JSSE) dazu verwendet, die Zertifikate zu prüfen, die die Remote-Seite der Verbindung bei einem SSL-Handshake sendet.
IBM WebSphere erlaubt nicht mehrere Aufrufe von ORB.init (), wenn die globale Sicherheit aktiviert wurde. Informationen über die dauerhafte Einschränkung finden Sie unter https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Führen Sie die folgenden Schritte aus, um den Port als dynamisch festzulegen und das Problem zu lösen:
Wählen Sie in WebSphere Administrative Console Servers >Server Types >WebSphere application servers.
Wählen Sie bei den Voreinstellungen Ihren Server aus.
Erweitern Sie auf der Registerkarte Configuration unter Communications den Abschnitt Ports und klicken Sie auf Details.
Klicken Sie auf die folgenden Portnamen, ändern Sie nach Bedarf die Portnummer auf 0 und klicken Sie auf OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Öffnen Sie die Datei „[aem-forms_root]
\crx-repository\launchpad\sling.properties“ zur Bearbeitung.
Suchen Sie die Eigenschaft sling.bootdelegation.ibm
und fügen Sie com.ibm.websphere.ssl.*
zu ihrem Wertfeld hinzu. Das aktualisierte Feld sieht wie folgt aus:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Speichern Sie die Datei und starten Sie den Server neu.