Konfigurera SSL för WebSphere Application Server configuring-ssl-for-websphere-application-server
I det här avsnittet beskrivs följande steg för att konfigurera SSL med IBM WebSphere Application Server.
Skapa ett lokalt användarkonto i WebSphere creating-a-local-user-account-on-websphere
För att aktivera SSL behöver WebSphere åtkomst till ett användarkonto i det lokala operativsystemets användarregister som har behörighet att administrera systemet:
- (Windows) Skapa en Windows-användare som ingår i gruppen Administratörer och har behörighet att fungera som en del av operativsystemet. (Se Skapa en Windows-användare för WebSphere.)
- (Linux, UNIX) Användaren kan vara en rotanvändare eller en annan användare som har rotbehörighet. När du aktiverar SSL på WebSphere använder du den här användarens server-ID och lösenord.
Skapa en Linux- eller UNIX-användare för WebSphere create-a-linux-or-unix-user-for-websphere
-
Logga in som root-användare.
-
Skapa en användare genom att ange följande kommando i en kommandotolk:
- (Linux och Sun Solaris)
useradd
- (IBM AIX)
mkuser
- (Linux och Sun Solaris)
-
Ställ in lösenordet för den nya användaren genom att ange
passwd
i kommandotolken. -
(Linux och Solaris) Skapa en skugglösenordsfil genom att ange
pwconv
(utan parametrar) i kommandotolken.note note NOTE (Linux och Solaris) För att säkerhetsregistret för det lokala operativsystemet WebSphere Application Server ska fungera måste det finnas en skugglösenordsfil. Skugglösenordsfilen heter vanligtvis /etc/shadow och baseras på filen /etc/passwd. Om skugglösenordsfilen inte finns uppstår ett fel när du har aktiverat global säkerhet och konfigurerat användarregistret som lokalt operativsystem. -
Öppna gruppfilen från katalogen /etc i en textredigerare.
-
Lägg till användaren som du skapade i steg 2 i
root
gruppen. -
Spara och stäng filen.
-
(UNIX med SSL aktiverat) Starta och stoppa WebSphere som rotanvändare.
Skapa en Windows-användare för WebSphere create-a-windows-user-for-websphere
- Logga in i Windows med ett administratörsanvändarkonto.
- Välj Start > Control Panel > Administrative Tools > Computer Management > Local Users and Groups.
- Högerklicka på Användare och välj Ny användare.
- Skriv ett användarnamn och lösenord i rutorna och ange eventuell annan information som du vill ha i de övriga rutorna.
- Avmarkera Användaren måste ändra lösenordet vid nästa inloggning, klicka Skapa och klicka sedan på Stäng.
- Klicka Användare, högerklicka på den användare du skapade och välj Egenskaper.
- Klicka på medlem i och sedan klicka på Lägg till.
- Skriv i rutan Ange de objektnamn du vill markera
Administrators
klickar du på Kontrollera namn för att se till att gruppnamnet är korrekt. - Klicka OK och sedan klicka OK igen.
- Välj Start > Kontrollpanelen > Administrationsverktyg > Lokal säkerhetsprincip > Lokala profiler.
- Klicka på Tilldelning av användarrättigheter, högerklicka sedan på Agera som en del av operativsystemet och välj Egenskaper.
- Klicka Lägg till användare eller grupp.
- Skriv namnet på den användare som du skapade i steg 4 i rutan Ange de objektnamn som ska väljas. Klicka sedan på Kontrollera namn för att säkerställa att namnet är korrekt, och klicka sedan på OK.
- Klicka OK för att stänga funktionsmakrot som en del av dialogrutan för operativsystemsegenskaper.
Konfigurera WebSphere för att använda den nyskapade användaren som administratör configure-websphere-to-use-the-newly-created-user-as-administrator
-
Kontrollera att WebSphere körs.
-
I administrationskonsolen för WebSphere väljer du Säkerhet > Global säkerhet.
-
Under Administrativ säkerhet väljer du Administrativa användarroller.
-
Klicka på Lägg till och gör följande:
- Typ * i sökrutan och klicka på Sök.
- Klicka Administratör under roller.
- Lägg till den nyskapade användaren i Mappad till roll och mappa den till Administratör.
-
Klicka OK och spara ändringarna.
-
Starta om WebSphere-profilen.
Aktivera administrativ säkerhet enable-administrative-security
-
I administrationskonsolen för WebSphere väljer du Säkerhet > Global säkerhet.
-
Klicka Guiden Konfigurera säkerhet.
-
Säkerställ Aktivera programsäkerhet kryssrutan är aktiverad. Klicka på Nästa.
-
Välj Federerade databaser och klicka Nästa.
-
Ange de autentiseringsuppgifter som du vill ange och klicka på Nästa.
-
Klicka Slutför.
-
Starta om WebSphere-profilen.
WebSphere börjar använda standardnyckelbehållaren och förtrostore.
Aktivera SSL (anpassad nyckel och förvaltararkiv) enable-ssl-custom-key-and-truststore
Du kan skapa förtroendelager och nyckelbehållare med hjälp av nyckelverktyget eller Admin Console. Se till att installationssökvägen för WebSphere inte innehåller parenteser så att nyckelmannen fungerar som den ska.
-
I administrationskonsolen för WebSphere väljer du Säkerhet > SSL-certifikat och nyckelhantering.
-
Klicka Nyckelbehållare och certifikat under Relaterade artiklar.
-
I Användning av nyckelbehållare listruta, kontrollera att SSL-nyckelbehållare är markerat. Klicka Nytt.
-
Ange ett logiskt namn och en beskrivning.
-
Ange sökvägen där du vill att nyckelbehållaren ska skapas. Om du redan har skapat en nyckelbehållare via ikeyman anger du sökvägen till nyckelbehållaren.
-
Ange och bekräfta lösenordet.
-
Välj typ av nyckelbehållare och klicka på Använd.
-
Spara huvudkonfigurationen.
-
Klicka Personligt certifikat.
-
Om du redan har skapat en nyckelbehållare med nyckelhanteraren visas ditt certifikat. Annars måste du lägga till ett nytt självsignerat certifikat genom att utföra följande steg:
- Välj Skapa > självsignerat certifikat.
- Ange lämpliga värden i certifikatformuläret. Se till att du behåller Alias och eget namn som fullständigt kvalificerat domännamn för datorn.
- Klicka på Använd.
-
Upprepa steg 2 till 10 för att skapa en truststore.
Tillämpa anpassad keystore och truststore på servern apply-custom-keystore-and-truststore-to-the-server
-
I WebSphere-administrationskonsolen väljer du Säkerhet > SSL-certifikat och nyckelhantering.
-
Klicka på Hantera konfiguration av slutpunktssäkerhet. Den lokala topologikartan öppnas.
-
Under Inkommande väljer du direkt underordnad noder.
-
Under Relaterade objekt väljer du SSL-konfigurationer.
-
Välj NodeDeafultSSLSetting.
-
I listrutorna för förvaltararkivnamn och nyckelbehållarnamn väljer du det anpassade förvaltararkivet och nyckelbehållaren som du skapade.
-
Klicka Använd.
-
Spara huvudkonfigurationen.
-
Starta om WebSphere-profilen.
Din profil kan nu köras med anpassade SSL-inställningar och ditt certifikat.
Aktivera stöd för AEM enabling-support-for-aem-forms-natives
- I administrationskonsolen för WebSphere väljer du Säkerhet > Global säkerhet.
- Expandera i avsnittet Autentisering RMI/IP-säkerhet och klicka CSIv2 inkommande kommunikation.
- Se till att SSL-stöd väljs i listrutan Transport.
- Starta om WebSphere-profilen.
Konfigurera WebSphere för att konvertera URL:er som börjar med https configuring-websphere-to-convert-urls-that-begins-with-https
Om du vill konvertera en URL som börjar med https lägger du till ett signerarcertifikat för den URL:en på WebSphere-servern.
Skapa ett signerarcertifikat för en https-aktiverad webbplats
-
Kontrollera att WebSphere körs.
-
I administrationskonsolen för WebSphere navigerar du till signerarcertifikat och klickar sedan på Säkerhet > SSL-certifikat och nyckelhantering > Nyckelarkiv och certifikat > NodeDefaultTrustStore > Signerarcertifikat.
-
Klicka på Hämta från port och utför följande åtgärder:
- Skriv URL-adressen i rutan Värd. Skriv till exempel
www.paypal.com
. - I rutan Port skriver du
443
. Den här porten är standardport för SSL. - Skriv ett alias i rutan Alias.
- Skriv URL-adressen i rutan Värd. Skriv till exempel
-
Klicka på Hämta signerarinformation och kontrollera sedan att informationen har hämtats.
-
Klicka på Använd och sedan på Spara.
Konvertering från HTML till PDF från den webbplats vars certifikat läggs till fungerar nu från tjänsten Generate PDF.
Konfigurera dynamiska portar configuring-dynamic-ports
IBM WebSphere tillåter inte flera anrop till ORB.init() när Global Security är aktiverat. Du kan läsa om permanent begränsning på https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Utför följande steg för att ange att porten ska vara dynamisk och för att lösa problemet:
-
I administrationskonsolen för WebSphere väljer du Servrar > Servertyper > WebSphere-programserver.
-
Välj servern i avsnittet Inställningar.
-
I Konfiguration flik, under Kommunikation sektion, expandera Portar och klicka Information.
-
Klicka på följande portnamn och ändra portnummer till 0 och klicka på OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Konfigurera filen sling.properties configure-the-sling-properties-file
-
Öppna
[aem-forms_root]
\crx-repository\launchpad\sling.properties fil för redigering. -
Leta reda på
sling.bootdelegation.ibm
egenskap och lägg tillcom.ibm.websphere.ssl.*
till värdefältet. Det uppdaterade fältet ser ut så här:code language-shell sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
-
Spara filen och starta om servern.