Esta seção inclui as seguintes etapas para configurar o SSL com seu IBM WebSphere Application Server.
Para habilitar o SSL, o WebSphere precisa acessar uma conta de usuário no registro de usuário do SO local que tenha permissão para administrar o sistema:
Faça logon como o usuário raiz.
Crie um usuário digitando o seguinte comando em um prompt de comando:
useradd
mkuser
Defina a senha do novo usuário digitando passwd
no prompt de comando.
(Linux e Solaris) Crie um arquivo de senha shadow digitando pwconv
(sem parâmetros) no prompt de comando.
(Linux e Solaris) Para que o registro de segurança do SO local do WebSphere Application Server funcione, um arquivo de senha de sombra deve existir. O nome do arquivo de senhas ocultas geralmente é /etc/shadow e é baseado no arquivo /etc/passwd. Se o arquivo de senhas ocultas não existir, ocorrerá um erro depois de ativar a segurança global e configurar o registro do usuário como SO local.
Abra o arquivo de grupo no diretório /etc em um editor de texto.
Adicione o usuário criado na etapa 2 à root
grupo.
Salvar e fechar o arquivo.
(UNIX com SSL ativado) Inicie e interrompa o WebSphere como o usuário raiz.
Administrators
, clique em Verificar nomes para garantir que o nome do grupo esteja correto.Certifique-se de que o WebSphere esteja em execução.
No Console administrativo do WebSphere, selecione Segurança > Segurança global.
Em Segurança administrativa, selecione Funções de usuário administrativo.
Clique em Adicionar e faça o seguinte:
Clique em OK e salve as alterações.
Reinicie o perfil do WebSphere.
No Console administrativo do WebSphere, selecione Segurança > Segurança global.
Clique em Assistente de configuração de segurança.
Assegurar Habilitar Segurança de Aplicativo está ativada. Clique em Avançar.
Selecionar Repositórios federados e clique em Próxima.
Especifique as credenciais que deseja definir e clique em Próxima.
Clique em Concluir.
Reinicie o perfil do WebSphere.
O WebSphere começará a usar o keystore e o truststore padrão.
Truststores e keystores podem ser criados usando o utilitário ikeyman ou o Admin Console. Para fazer o ikeyman funcionar corretamente, certifique-se de que o caminho de instalação do WebSphere não contenha parênteses.
No Console administrativo do WebSphere, selecione Segurança > Gerenciamento de chaves e certificados SSL.
Clique em Armazenamento de chaves e certificados em Itens relacionados.
No Principais usos do armazenamento , verifique se Armazenamento de chaves SSL está selecionada. Clique em Novo.
Digite um nome lógico e uma descrição.
Especifique o caminho onde deseja que o armazenamento de chaves seja criado. Se você já criou um armazenamento de chaves por meio do ikeyman, especifique o caminho para o arquivo de armazenamento de chaves.
Especifique e confirme a senha.
Escolha o tipo de armazenamento de chaves e clique em Aplicar.
Salve a configuração principal.
Clique em Certificado pessoal.
Se você tiver adicionado um armazenamento de chaves já criado usando ikeyman, seu certificado será exibido. Caso contrário, você precisará adicionar um novo certificado autoassinado executando as seguintes etapas:
Repita as etapas de 2 a 10 para criar uma truststore.
No Console administrativo do WebSphere, selecione Segurança > Gerenciamento de chaves e certificados SSL.
Clique em Gerenciar configuração de segurança do ponto de extremidade. O mapa de topologia local é aberto.
Em Entrada, selecione filho direto dos nós.
Em Itens relacionados, selecione Configurações de SSL.
Selecionar NodeDefaultSSLSetting.
Nas listas suspensas nome da truststore e nome da keystore, selecione a truststore e a keystore personalizadas que você criou.
Clique em Aplicar.
Salve a configuração principal.
Reinicie o perfil do WebSphere.
Seu perfil agora é executado nas configurações personalizadas de SSL e em seu certificado.
Para converter um URL que comece com https, adicione um certificado de Signatário para esse URL ao servidor WebSphere.
Criar um certificado de signatário para um site habilitado para https
Certifique-se de que o WebSphere esteja em execução.
No Console administrativo do WebSphere, navegue até Certificados do assinante e clique em Segurança > Certificado SSL e gerenciamento de chaves > Armazenamentos e certificados de chaves > NodeDefaultTrustStore > Certificados do assinante.
Clique em Recuperar da Porta e execute estas tarefas:
www.paypal.com
.443
. Essa é a porta SSL padrão.Clique em Recuperar informações do assinante e verifique se as informações foram recuperadas.
Clique em Aplicar e em Salvar.
A conversão de HTML para PDF do site cujo certificado foi adicionado agora funcionará no serviço Gerar PDF.
Para que um aplicativo se conecte a sites SSL de dentro do WebSphere, é necessário um certificado Signatário. Ele é usado pelo Java Secure Socket Extensions (JSSE) para validar certificados que o lado remoto da conexão enviada durante um handshake SSL.
O IBM WebSphere não permite várias chamadas para ORB.init() quando a Segurança global está ativada. Você pode ler sobre a restrição permanente em https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Execute as seguintes etapas para definir a porta como dinâmica e resolver o problema:
No Console administrativo do WebSphere, selecione Servidores > Tipos de servidor > Servidor de aplicativos WebSphere.
Na seção Preferências, selecione o servidor.
No Configuração guia, em Comunicações seção, expandir Portas e clique em Detalhes.
Clique nos seguintes nomes de porta e altere o número da porta para 0 e clique em OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Abertura [aem-forms_root]
arquivo \crx-repository\launchpad\sling.properties para edição.
Localize o sling.bootdelegation.ibm
propriedade e adicionar com.ibm.websphere.ssl.*
ao seu campo de valor. O campo atualizado tem a seguinte aparência:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Salve o arquivo e reinicie o servidor.