Esta seção inclui as seguintes etapas para configurar o SSL com seu IBM WebSphere Application Server.
Para habilitar o SSL, o WebSphere precisa de acesso a uma conta de usuário no registro de usuário local do SO que tenha permissão para administrar o sistema:
Faça logon como o usuário raiz.
Crie um usuário inserindo o seguinte comando em um prompt de comando:
useradd
mkuser
Defina a senha do novo usuário digitando passwd
no prompt de comando.
(Linux e Solaris) Crie um arquivo de senha de sombra digitando pwconv
(sem parâmetros) no prompt de comando.
(Linux e Solaris) Para que o registro de segurança do SO local do WebSphere Application Server funcione, um arquivo de senha de sombra deve existir. O arquivo de senha de sombra geralmente é chamado de /etc/shadow e é baseado no arquivo /etc/passwd. Se o arquivo de senha de sombra não existir, ocorrerá um erro após habilitar a segurança global e configurar o registro do usuário como SO local.
Abra o arquivo de grupo do diretório /etc em um editor de texto.
Adicione o usuário que você criou na etapa 2 ao grupo root
.
Salve e feche o arquivo.
(UNIX com SSL habilitado) Start e parado o WebSphere como o usuário raiz.
Administrators
, clique em Verificar nomes para garantir que o nome do grupo esteja correto.Verifique se o WebSphere está em execução.
No Console administrativo do WebSphere, selecione Segurança > Segurança global.
Em Segurança administrativa, selecione Funções administrativas de usuário.
Clique em Adicionar e faça o seguinte:
Clique em OK e salve as alterações.
Reinicie o perfil WebSphere.
No Console administrativo do WebSphere, selecione Segurança > Segurança global.
Clique em Assistente de Configuração de Segurança.
Verifique se a caixa de seleção Ativar segurança do aplicativo está ativada. Clique em Avançar.
Selecione Repositórios Federados e clique em Próximo.
Especifique as credenciais que deseja definir e clique em Próximo.
Clique em Concluir.
Reinicie o perfil WebSphere.
O WebSphere será start usando o armazenamento de chaves padrão e o armazenamento de confiança.
Truststores e keystores podem ser criados usando o utilitário ikeyman ou o console de administração. Para que o teclado funcione corretamente, verifique se o caminho de instalação do WebSphere não contém parênteses.
No Console administrativo do WebSphere, selecione Segurança > certificado SSL e gerenciamento de chaves.
Clique em Armazenamento de chaves e certificados em Itens relacionados.
Na lista suspensa O armazenamento de chaves usa, verifique se Repositórios de chaves SSL está selecionado. Clique em Novo.
Digite um nome lógico e uma descrição.
Especifique o caminho onde deseja que o armazenamento de chaves seja criado. Se você já tiver criado um armazenamento de chaves por meio do teclado, especifique o caminho para o arquivo de armazenamento de chaves.
Especifique e confirme a senha.
Escolha o tipo de armazenamento de chaves e clique em Aplicar.
Salve a configuração principal.
Clique em Certificado Pessoal.
Se você já tiver adicionado um armazenamento de chaves usando o teclado, seu certificado será exibido. Caso contrário, é necessário adicionar um novo certificado autoassinado executando as seguintes etapas:
Repita as etapas de 2 a 10 para criar uma loja confiável.
No Console administrativo do WebSphere, selecione Segurança > certificado SSL e gerenciamento de chaves.
Clique em Gerenciar a configuração de segurança do ponto de extremidade. O mapa de topologia local é aberto.
Em Entrada, selecione filho direto de nós.
Em Itens relacionados, selecione Configurações SSL.
Selecione NodeDeafultSSLSetting.
Nas listas suspensas nome da Truststore e nome da keystore, selecione a Truststore personalizada e a keystore que criou.
Clique em Aplicar.
Salve a configuração principal.
Reinicie o perfil WebSphere.
Seu perfil agora é executado com configurações SSL personalizadas e seu certificado.
Para converter um URL que comece com https, adicione um certificado de assinante para esse URL ao servidor WebSphere.
Criar um certificado de signatário para um site habilitado para https
Verifique se o WebSphere está em execução.
No Console administrativo do WebSphere, navegue até Certificados do assinante e clique em Segurança > Certificado SSL e Gerenciamento de chaves > Repositórios de chaves e certificados > NodeDefaultTrustStore > Certificados do assinante.
Clique em Recuperar da porta e execute estas tarefas:
www.paypal.com
.443
. Esta porta é a porta SSL padrão.Clique em Recuperar informações do assinante e verifique se as informações foram recuperadas.
Clique em Aplicar e em Salvar.
A conversão de HTML em PDF do site cujo certificado é adicionado agora funcionará a partir do serviço Gerar PDF.
Para que um aplicativo se conecte a sites SSL de dentro do WebSphere, é necessário um certificado de assinante. Ele é usado pelo Java Secure Socket Extensions (JSSE) para validar certificados que o lado remoto da conexão enviado durante um handshake SSL.
O IBM WebSphere não permite várias chamadas para ORB.init() quando o Global Security está ativado. Você pode ler sobre a restrição permanente em https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Execute as seguintes etapas para definir a porta como dinâmica e resolver o problema:
No Console administrativo do WebSphere, selecione Servidores > Tipos de servidor > Servidor de aplicativos do WebSphere.
Na seção Preferências, selecione o servidor.
Na guia Configuração, na seção Comunicações, expanda Portas e clique em Detalhes.
Clique nos seguintes nomes de porta, altere o número de porta para 0 e clique em OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Abra [aem-forms_root]
\crx-repository\launchpad\sling.properties arquivo para edição.
Localize a propriedade sling.bootdelegation.ibm
e adicione com.ibm.websphere.ssl.*
ao seu campo de valor. O campo atualizado tem a seguinte aparência:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Salve o arquivo e reinicie o servidor.