Configurazione di SSL per WebSphere Application Server

Questa sezione include i passaggi seguenti per configurare SSL con il server applicazioni IBM WebSphere.

Creazione di un account utente locale su WebSphere

Per abilitare SSL, WebSphere richiede l'accesso a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:

  • (Windows) Crea un nuovo utente Windows che fa parte del gruppo Administrators e ha il privilegio di agire come parte del sistema operativo. (Vedi Creare un utente Windows per WebSphere.)
  • (Linux, UNIX) L'utente può essere un utente root o un altro utente con privilegi root. Quando si abilita SSL su WebSphere, utilizzare l'identificazione del server e la password di questo utente.

Creare un utente Linux o UNIX per WebSphere

  1. Accedi come utente principale.

  2. Crea un utente immettendo il seguente comando in un prompt dei comandi:

    • (Linux e Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Impostare la password del nuovo utente immettendo passwd nel prompt dei comandi.

  4. (Linux e Solaris) Crea un file di password shadow immettendo pwconv (senza parametri) nel prompt dei comandi.

    NOTA

    (Linux e Solaris) Affinché il Registro di sistema di sicurezza locale del sistema operativo del sistema operativo WebSphere Application Server funzioni, deve esistere un file di password shadow. Il nome del file della password shadow è in genere /etc/shadow e si basa sul file /etc/passwd. Se il file di password shadow non esiste, si verifica un errore dopo aver abilitato la sicurezza globale e configurato il registro utente come sistema operativo locale.

  5. Apri il file di gruppo dalla directory /etc in un editor di testo.

  6. Aggiungi l'utente creato al passaggio 2 al root gruppo.

  7. Salva e chiudi il file

  8. (UNIX con SSL abilitato) Avvia e arresta WebSphere come utente principale.

Creare un utente Windows per WebSphere

  1. Accedi a Windows utilizzando un account utente amministratore.
  2. Seleziona Start > Pannello di controllo Campaign > Strumenti di amministrazione > Gestione computer > Utenti e gruppi locali.
  3. Fai clic con il pulsante destro del mouse su Utenti e seleziona Nuovo utente.
  4. Digitare un nome utente e una password nelle caselle appropriate e digitare tutte le altre informazioni necessarie nelle caselle rimanenti.
  5. Deseleziona L'Utente Deve Cambiare Password Al Successivo Accesso, fai clic su Crea, quindi fai clic su Chiudi.
  6. Fai clic su Utenti, fai clic con il pulsante destro del mouse sull’utente appena creato e seleziona Proprietà.
  7. Fai clic sul pulsante Membro di , quindi fai clic su Aggiungi.
  8. Nella casella Immettere i nomi degli oggetti da selezionare digitare Administrators, fai clic su Controlla nomi per verificare che il nome del gruppo sia corretto.
  9. Fai clic su OK quindi fai clic su OK di nuovo.
  10. Seleziona Start > Pannello di controllo Campaign > Strumenti di amministrazione > Criteri di sicurezza locali > Criteri locali.
  11. Fare clic su Assegnazione diritti utente, quindi fare clic con il pulsante destro del mouse su Agisci come parte del sistema operativo e selezionare Proprietà.
  12. Fai clic su Aggiungi utente o gruppo.
  13. Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome dell'utente creato al punto 4, fare clic su Controlla nomi per verificare che il nome sia corretto, quindi fare clic su OK.
  14. Fai clic su OK per chiudere la funzione Agisci come parte della finestra di dialogo Proprietà sistema operativo.

Configura WebSphere per utilizzare l'utente appena creato come amministratore

  1. Assicurati che WebSphere sia in esecuzione.

  2. Nella console amministrativa di WebSphere, selezionare Sicurezza > Sicurezza globale.

  3. In Sicurezza amministrativa, selezionare Ruoli utente amministrativi.

  4. Fai clic su Aggiungi ed effettua le seguenti operazioni:

    1. Tipo * nella casella di ricerca e fare clic su ricerca.
    2. Fai clic su Amministratore in ruoli.
    3. Aggiungi l’utente appena creato a Mapped (Mappato) al ruolo e mappalo all’amministratore.
  5. Fai clic su OK e salva le modifiche.

  6. Riavvia il profilo WebSphere.

Abilita protezione amministrativa

  1. Nella console amministrativa di WebSphere, selezionare Sicurezza > Sicurezza globale.

  2. Fai clic su Configurazione guidata sicurezza.

  3. Assicurati Abilita protezione applicazione la casella di controllo è abilitata. Fai clic su Avanti.

  4. Seleziona Repository federati e fai clic su Successivo.

  5. Specificare le credenziali da impostare e fare clic su Successivo.

  6. Fai clic su Fine.

  7. Riavvia il profilo WebSphere.

    WebSphere inizierà a utilizzare il keystore e il truststore predefiniti.

Abilita SSL (chiave personalizzata e truststore)

Puoi creare TrustStore e keystores utilizzando l'utility ikeyman o admin console. Per il corretto funzionamento di ikeyman, assicurarsi che il percorso di installazione di WebSphere non contenga parentesi.

  1. Nella console amministrativa di WebSphere, selezionare Sicurezza > Certificato SSL e gestione delle chiavi.

  2. Fai clic su Registro chiavi e certificati alla voce Articoli correlati.

  3. In Uso chiave dell'archivio a discesa, assicurati che Keyshop SSL è selezionato. Fai clic su Nuovo.

  4. Digitare un nome logico e una descrizione.

  5. Specifica il percorso in cui desideri creare il tuo keystore. Se hai già creato un keystore tramite ikeyman, specifica il percorso del file keystore.

  6. Specifica e conferma la password.

  7. Scegli il tipo di archivio chiavi e fai clic su Applica.

  8. Salva la configurazione master.

  9. Fai clic su Certificato personale.

  10. Se hai aggiunto un keystore già creato utilizzando ikeyman, verrà visualizzato il certificato. In caso contrario, è necessario aggiungere un nuovo certificato autofirmato eseguendo i seguenti passaggi:

    1. Seleziona Crea > Certificato autofirmato.
    2. Specificare i valori appropriati nel modulo del certificato. Assicurati di mantenere l'alias e il nome comune come nome di dominio completo del computer.
    3. Fai clic su Applica.
  11. Ripetere i passaggi da 2 a 10 per creare un truststore.

Applica il keystore personalizzato e il truststore al server

  1. Nella console amministrativa di WebSphere, selezionare Sicurezza > Certificato SSL e gestione delle chiavi.

  2. Fai clic su Gestione della configurazione di sicurezza dell’endpoint. Viene visualizzata la mappa della topologia locale.

  3. In Inbound, seleziona figlio diretto dei nodi.

  4. In Articoli correlati, selezionare Configurazioni SSL.

  5. Seleziona NodeDefaultSSLSetting.

  6. Dall’elenco a discesa nome e nome dell’archivio chiavi, seleziona l’archivio dati e l’archivio chiavi personalizzati che hai creato.

  7. Fai clic su Applica.

  8. Salva la configurazione master.

  9. Riavvia il profilo WebSphere.

    Il tuo profilo ora viene eseguito sulle impostazioni SSL personalizzate e sul certificato.

Abilitazione del supporto per gli elementi nativi dei moduli AEM

  1. Nella console amministrativa di WebSphere, selezionare Sicurezza > Sicurezza globale.
  2. Nella sezione Autenticazione , espandi Sicurezza RMI/IIOP e fai clic su Comunicazioni in entrata CSIv2.
  3. Assicurati che Supportato da SSL è selezionato nell’elenco a discesa Trasporto .
  4. Riavvia il profilo WebSphere.

Configurazione di WebSphere per convertire gli URL che iniziano con https

Per convertire un URL che inizia con https, aggiungi un certificato Signer per tale URL al server WebSphere.

Creare un certificato del firmatario per un sito abilitato https

  1. Assicurati che WebSphere sia in esecuzione.

  2. Nella console di amministrazione di WebSphere, passa ai certificati del firmatario, quindi fai clic su Protezione > Certificato SSL e gestione chiavi > Archivio chiavi e certificati > NodeDefaultTrustStore > Certificati del firmatario.

  3. Fai clic su Recupera da porta ed esegui le seguenti attività:

    • Nella casella Host , digita l’URL. Ad esempio, digitare www.paypal.com.
    • Nella casella Porta digitare 443. Questa porta è la porta SSL predefinita.
    • Nella casella Alias, digitare un alias.
  4. Fai clic su Recupera informazioni firmatario e verifica che le informazioni siano recuperate.

  5. Fare clic su Applica e quindi su Salva.

La conversione da HTML a PDF dal sito di cui viene aggiunto il certificato ora funziona dal servizio Generate PDF .

NOTA

Affinché un'applicazione possa connettersi a siti SSL dall'interno di WebSphere, è necessario un certificato Signer. Viene utilizzato da Java Secure Socket Extensions (JSSE) per convalidare i certificati inviati dal lato remoto durante un handshake SSL.

Configurazione delle porte dinamiche

IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per informazioni sulla restrizione permanente, consulta https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Esegui i seguenti passaggi per impostare la porta come dinamica e risolvere il problema:

  1. Nella console amministrativa di WebSphere, selezionare Server > Tipi di server > Server applicazioni WebSphere.

  2. Nella sezione Preferenze, seleziona il server.

  3. In Configurazione sotto Comunicazioni sezione, espandi Porte e fai clic su Dettagli.

  4. Fare clic sui seguenti nomi di porta, modificare il numero di porta a 0, quindi fai clic su OK.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Configura il file sling.properties

  1. Apri [aem-forms_root]\crx-repository\launchpad\sling.properties file per la modifica.

  2. Individua il sling.bootdelegation.ibm e aggiungi com.ibm.websphere.ssl.*al relativo campo valore. Il campo aggiornato ha un aspetto simile al seguente:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. Salva il file e riavvia il server.

In questa pagina