Configurando SSL para WebSphere Application Server

Esta seção inclui as seguintes etapas para configurar o SSL com seu IBM WebSphere Application Server.

Criando uma conta de usuário local no WebSphere

Para habilitar o SSL, o WebSphere precisa de acesso a uma conta de usuário no registro de usuário do SO local que tenha permissão para administrar o sistema:

  • (Windows) Crie um novo usuário do Windows que faça parte do grupo Administradores e tenha o privilégio de agir como parte do sistema operacional. (Consulte Criar um usuário do Windows para WebSphere.)
  • (Linux, UNIX) O usuário pode ser um usuário raiz ou outro usuário que tenha privilégios de raiz. Ao habilitar o SSL no WebSphere, use a identificação do servidor e a senha desse usuário.

Criar um usuário Linux ou UNIX para WebSphere

  1. Faça logon como o usuário raiz.

  2. Crie um usuário inserindo o seguinte comando em um prompt de comando:

    • (Linux e Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Defina a senha do novo usuário inserindo passwd no prompt de comando.

  4. (Linux e Solaris) Crie um arquivo de senha de sombra inserindo pwconv (sem parâmetros) no prompt de comando.

    OBSERVAÇÃO

    (Linux e Solaris) Para que o registro de segurança do SO local do WebSphere Application Server funcione, é necessário que exista um arquivo de senha de sombra. O arquivo de senha de sombra geralmente é nomeado /etc/shadow e se baseia no arquivo /etc/passwd. Se o arquivo de senha de sombra não existir, ocorrerá um erro após habilitar a segurança global e configurar o registro do usuário como SO Local.

  5. Abra o arquivo de grupo do diretório /etc em um editor de texto.

  6. Adicione o usuário que você criou na etapa 2 à root grupo.

  7. Salve e feche o arquivo.

  8. (UNIX com SSL habilitado) Inicie e pare o WebSphere como o usuário raiz.

Criar um usuário do Windows para WebSphere

  1. Faça logon no Windows usando uma conta de usuário do administrador.
  2. Selecionar Iniciar > Painel de controle > Ferramentas administrativas > Gerenciamento do computador > Usuários e grupos locais.
  3. Clique com o botão direito do mouse em Usuários e selecione Novo usuário.
  4. Digite um nome de usuário e senha nas caixas apropriadas e digite quaisquer outras informações necessárias nas caixas restantes.
  5. Desmarcar O Usuário Deve Alterar A Senha No Próximo Logon, clique em Criar e, em seguida, clique em Fechar.
  6. Clique em Usuários, clique com o botão direito do mouse no usuário que acabou de criar e selecione Propriedades.
  7. Clique no botão Membro de e clique em Adicionar.
  8. Na caixa Inserir os nomes de objetos a serem selecionados, digite Administrators, clique em Verificar nomes para garantir que o nome do grupo esteja correto.
  9. Clique em OK e, em seguida, clique em OK novamente.
  10. Selecionar Iniciar > Painel de controle > Ferramentas administrativas > Política de segurança local > Políticas locais.
  11. Clique em Atribuição de direitos de usuário, clique com o botão direito do mouse em Agir como parte do sistema operacional e selecione Propriedades.
  12. Clique em Adicionar usuário ou grupo.
  13. Na caixa Inserir os nomes dos objetos a serem selecionados, digite o nome do usuário criado na etapa 4 e clique em Verificar nomes para garantir que o nome esteja correto, e clique em OK.
  14. Clique em OK para fechar a caixa de diálogo Agir como parte das propriedades do sistema operacional.

Configurar o WebSphere para usar o usuário recém-criado como Administrador

  1. Certifique-se de que o WebSphere esteja em execução.

  2. No Console Administrativo do WebSphere, selecione Segurança > Segurança global.

  3. Em Segurança administrativa, selecione Funções administrativas de usuário.

  4. Clique em Adicionar e faça o seguinte:

    1. Tipo * na caixa de pesquisa e clique em pesquisar.
    2. Clique em Administrador em funções.
    3. Adicione o usuário recém-criado à função Mapeado para e mapeie-o para Administrador.
  5. Clique em OK e salve as alterações.

  6. Reinicie o perfil do WebSphere.

Habilitar segurança administrativa

  1. No Console Administrativo do WebSphere, selecione Segurança > Segurança global.

  2. Clique em Assistente de configuração de segurança.

  3. Garantir Habilitar Segurança de Aplicativo a caixa de seleção está ativada. Clique em Avançar.

  4. Selecionar Repositórios federados e clique em Próximo.

  5. Especifique as credenciais que deseja definir e clique em Próximo.

  6. Clique em Concluir.

  7. Reinicie o perfil do WebSphere.

    O WebSphere começará a usar o armazenamento de chaves padrão e o armazenamento de confiança.

Habilitar SSL (chave personalizada e truststore)

Truststores e keystores podem ser criados usando o utilitário ikeyman ou o console de administração. Para que o keyman funcione corretamente, certifique-se de que o caminho de instalação do WebSphere não contenha parênteses.

  1. No Console Administrativo do WebSphere, selecione Segurança > Certificado SSL e gerenciamento de chaves.

  2. Clique em Armazenamento de chaves e certificados em Itens relacionados.

  3. No Uso do repositório de chaves , certifique-se de Armazenamento de chaves SSL está selecionada. Clique em Novo.

  4. Digite um nome lógico e uma descrição.

  5. Especifique o caminho onde deseja criar o armazenamento de chaves. Se você já criou um armazenamento de chaves por meio do keyman, especifique o caminho para o arquivo do armazenamento de chaves.

  6. Especifique e confirme a senha.

  7. Escolha o tipo de armazenamento de chaves e clique em Aplicar.

  8. Salve a configuração principal.

  9. Clique em Certificado pessoal.

  10. Se você adicionou um armazenamento de chaves já criado usando o keyman, seu certificado será exibido. Caso contrário, é necessário adicionar um novo certificado autoassinado executando as seguintes etapas:

    1. Selecionar Criar > Certificado autoassinado.
    2. Especifique os valores apropriados no formulário de certificado. Certifique-se de manter o Alias e o nome comum como nome de domínio totalmente qualificado da máquina.
    3. Clique em Aplicar.
  11. Repita as etapas de 2 a 10 para criar um truststore.

Aplicar armazenamento de chaves e confiabilidade personalizados ao servidor

  1. No Console Administrativo do WebSphere, selecione Segurança > Certificado SSL e gerenciamento de chaves.

  2. Clique em Gerenciar a configuração de segurança do ponto de extremidade. O mapa de topologia local é aberto.

  3. Em Entrada, selecione filho direto de nós.

  4. Em Itens relacionados, selecione Configurações de SSL.

  5. Selecionar NodeDeafultSSLSetting.

  6. Nas listas suspensas nome do armazenamento confiável e nome do armazenamento de chaves , selecione o armazenamento confiável personalizado e o armazenamento de chaves que você criou.

  7. Clique em Aplicar.

  8. Salve a configuração principal.

  9. Reinicie o perfil do WebSphere.

    Seu perfil agora é executado em configurações SSL personalizadas e seu certificado.

Ativação do suporte para nativos de formulários AEM

  1. No Console Administrativo do WebSphere, selecione Segurança > Segurança global.
  2. Na seção Autenticação , expanda Segurança RMI/IIOP e clique em Comunicações de entrada CSIv2.
  3. Certifique-se de que Suporte a SSL está selecionada na lista suspensa Transporte .
  4. Reinicie o perfil do WebSphere.

Configuração do WebSphere para converter URLs que começam com https

Para converter um URL que comece com https, adicione um certificado de assinante para esse URL ao servidor WebSphere.

Criar um certificado de assinante para um site habilitado para https

  1. Certifique-se de que o WebSphere esteja em execução.

  2. No Console Administrativo do WebSphere, navegue até Certificados do Assinante e clique em Segurança > Certificado SSL e Gerenciamento de Chave > Repositórios e Certificados de Chave > NodeDefaultTrustStore > Certificados do Assinante.

  3. Clique em Recuperar da porta e execute estas tarefas:

    • Na caixa Host , digite o URL. Por exemplo, digite www.paypal.com.
    • Na caixa Porta, digite 443. Essa porta é a porta SSL padrão.
    • Na caixa Alias, digite um alias.
  4. Clique em Recuperar informações do assinante e verifique se as informações foram recuperadas.

  5. Clique em Aplicar e em Salvar.

A conversão de HTML para PDF do site cujo certificado foi adicionado agora funcionará pelo serviço Gerar PDF.

OBSERVAÇÃO

Para um aplicativo se conectar a sites SSL de dentro do WebSphere, é necessário um certificado de Assinante. Ele é usado pelo Java Secure Socket Extensions (JSSE) para validar certificados que o lado remoto da conexão enviou durante um handshake SSL.

Configuração de portas dinâmicas

O IBM WebSphere não permite várias chamadas para ORB.init() quando o Global Security está ativado. Você pode ler sobre a restrição permanente em https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Execute as seguintes etapas para definir a porta como dinâmica e resolver o problema:

  1. No Console Administrativo do WebSphere, selecione Servidores > Tipos de servidor > Servidor de aplicativos WebSphere.

  2. Na seção Preferências , selecione o servidor.

  3. No Configuração guia , em Comunicações seção, expandir Portas e clique em Detalhes.

  4. Clique nos seguintes nomes de porta, altere a variável número da porta para 0 e clique em OK.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Configurar o arquivo sling.properties

  1. Abrir [aem-forms_root]\crx-repository\launchpad\sling.properties para edição.

  2. Localize a variável sling.bootdelegation.ibm e adicionar com.ibm.websphere.ssl.*ao seu campo de valor. O campo atualizado tem a seguinte aparência:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. Salve o arquivo e reinicie o servidor.

Nesta página