In questa sezione sono descritti i passaggi seguenti per configurare SSL con l'Application Server IBM WebSphere.
Per abilitare SSL, WebSphere deve accedere a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:
Accedi come utente root.
Creare un utente immettendo il comando seguente in un prompt dei comandi:
useradd
mkuser
Impostare la password del nuovo utente immettendo passwd
al prompt dei comandi.
(Linux e Solaris) Creare un file di password shadow immettendo pwconv
(senza parametri) nel prompt dei comandi.
(Linux e Solaris) Affinché il Registro di sistema del sistema operativo locale dell'Application Server WebSphere funzioni correttamente, è necessario che esista un file di password shadow. Il nome del file della password shadow è in genere /etc/shadow e si basa sul file /etc/passwd. Se il file della password shadow non esiste, si verificherà un errore dopo l'abilitazione della protezione globale e la configurazione del Registro di sistema come sistema operativo locale.
Aprire il file di gruppo dalla directory /etc in un editor di testo.
Aggiungere l'utente creato nel passaggio 2 al root
gruppo.
Salva e chiudi il file
(UNIX con SSL abilitato) Avviare e arrestare WebSphere come utente root.
Administrators
, fare clic su Controlla nomi per verificare che il nome del gruppo sia corretto.Verificare che WebSphere sia in esecuzione.
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
In Protezione amministrativa, selezionare Ruoli utente amministrativi.
Fai clic su Aggiungi ed effettua le seguenti operazioni:
Clic OK e salvare le modifiche.
Riavviare il profilo WebSphere.
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
Clic Configurazione guidata sicurezza.
Assicurare Abilita sicurezza applicazione la casella di controllo è attivata. Fai clic su Avanti.
Seleziona Archivi federati e fai clic su Successivo.
Specifica le credenziali da impostare e fai clic su Successivo.
Clic Fine.
Riavviare il profilo WebSphere.
WebSphere inizierà a utilizzare il keystore e il truststore predefiniti.
I TrustStore e i keystore possono essere creati utilizzando l'utilità ikeyman o Admin Console. Per il corretto funzionamento di ikeyman, verificare che il percorso di installazione di WebSphere non contenga parentesi.
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Certificato SSL e gestione delle chiavi.
Clic Key store e certificati in Elementi correlati.
In Utilizzi del registro chiavi , assicurati che Key store SSL è selezionato. Clic Nuovo.
Digitare un nome logico e una descrizione.
Specifica il percorso in cui desideri creare il keystore. Se avete già creato un keystore tramite ikeyman, specificate il percorso del file keystore.
Specifica e conferma la password.
Scegli il tipo di registro chiavi e fai clic su Applica.
Salva la configurazione principale.
Clic Certificato personale.
Se hai già aggiunto un keystore utilizzando ikeyman, verrà visualizzato il certificato. In caso contrario, devi aggiungere un nuovo certificato autofirmato eseguendo i seguenti passaggi:
Ripeti i passaggi da 2 a 10 per creare un truststore.
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Certificato SSL e gestione delle chiavi.
Clic Gestisci configurazione di sicurezza endpoint. Viene visualizzata la mappa topologica locale.
In In entrata, seleziona l’elemento figlio diretto dei nodi.
In Elementi correlati, selezionare Configurazioni SSL.
Seleziona NodeDefaultSSLSetting.
Dall'elenco a discesa nome truststore e nome keystore, selezionare il truststore personalizzato e il keystore creato.
Clic Applica.
Salva la configurazione principale.
Riavviare il profilo WebSphere.
Il profilo ora viene eseguito con impostazioni SSL personalizzate e il certificato.
Per convertire un URL che inizia con https, aggiungere un certificato Firmatario per tale URL al server WebSphere.
Creare un certificato del firmatario per un sito abilitato per https
Verificare che WebSphere sia in esecuzione.
In WebSphere Administrative Console passare a Certificati firmatario e quindi fare clic su Protezione > Certificato SSL e gestione chiavi > Archivi chiavi e certificati > NodeDefaultTrustStore > Certificati firmatari.
Fare clic su Recupera dalla porta ed eseguire le operazioni seguenti:
www.paypal.com
.443
. Questa porta è la porta SSL predefinita.Fare clic su Recupera informazioni firmatario, quindi verificare che le informazioni vengano recuperate.
Fare clic su Applica e quindi su Salva.
La conversione da HTML a PDF dal sito di cui è stato aggiunto il certificato ora funziona dal servizio Genera PDF.
Affinché un'applicazione possa connettersi ai siti SSL dall'interno di WebSphere, è necessario un certificato del firmatario. Viene utilizzato da Java Secure Socket Extensions (JSSE) per convalidare i certificati inviati dal lato remoto della connessione durante un handshake SSL.
IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per maggiori informazioni sulla restrizione permanente, consulta https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Per impostare la porta come dinamica e risolvere il problema, effettuare le seguenti operazioni:
Nella console di amministrazione di WebSphere, selezionare Server > Tipi di server > Server applicazioni WebSphere.
Nella sezione Preferenze, seleziona il server.
In Configurazione scheda, sotto Comunicazioni , espandere Porte e fai clic su Dettagli.
Fare clic sui seguenti nomi di porta, modificare numero di porta a 0 e fare clic su OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Apri [aem-forms_root]
File \crx-repository\launchpad\sling.properties per la modifica.
Individua il sling.bootdelegation.ibm
proprietà e aggiungi com.ibm.websphere.ssl.*
nel relativo campo di valore. Il campo aggiornato è simile al seguente:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Salva il file e riavvia il server.