为WebSphere应用程序服务器配置SSL

此部分包含使用IBM WebSphere应用程序服务器配置SSL的以下步骤。

在WebSphere中创建本地用户帐户

要启用SSL,WebSphere需要访问本地操作系统用户注册表中有权管理系统的用户帐户:

  • (Windows)创建新的Windows用户,该用户属于管理员组,并且有权作为操作系统的一部分进行操作。 (请参阅 为WebSphere创建Windows用户.)
  • (Linux、UNIX)用户可以是超级用户或具有root权限的其他用户。 在WebSphere上启用SSL时,请使用此用户的服务器标识和密码。

为WebSphere创建Linux或UNIX用户

  1. 以root用户身份登录。

  2. 通过在命令提示符中输入以下命令来创建用户:

    • (Linux和Sun Solaris) useradd
    • (IBM AIX) mkuser

  3. 通过输入来设置新用户的密码 passwd 在命令提示符下。

  4. (Linux和Solaris)通过输入 pwconv (不带参数)。

    注意

    (Linux和Solaris)要使WebSphere Application Server本地OS安全注册表正常工作,必须存在卷影密码文件。 卷影密码文件通常名为 /etc/shadow 和基于/etc/passwd文件。 如果卷影密码文件不存在,则在启用全局安全性并将用户注册表配置为本地操作系统后会发生错误。

  5. 在文本编辑器中从/etc目录打开组文件。

  6. 将您在步骤2中创建的用户添加到 root 组。

  7. 保存并关闭文件。

  8. (启用SSL的UNIX)以root用户身份启动和停止WebSphere。

为WebSphere创建Windows用户

  1. 使用管理员用户帐户登录到Windows。
  2. 选择 “开始” > “控制面板” > “管理工具” > “计算机管理” > “本地用户和组”.
  3. 右键单击“用户”并选择 新用户.
  4. 在相应的框中键入用户名和密码,并在其余框中键入所需的任何其他信息。
  5. 取消选择 用户必须在下次登录时更改密码,单击 创建,然后单击 关闭.
  6. 单击 用户,右键单击刚刚创建的用户并选择 属性.
  7. 单击 成员 选项卡,然后单击 添加.
  8. 在“输入要选择的对象名称”框中,键入 Administrators,单击检查名称以确保组名称正确。
  9. 单击 确定 然后单击 确定 再来一次。
  10. 选择 “开始” > “控制面板” > “管理工具” > “本地安全策略” > “本地策略”.
  11. 单击用户权限分配,然后右键单击作为操作系统的一部分操作,并选择属性。
  12. 单击 添加用户或组.
  13. 在输入要选择的对象名称框中,键入您在步骤4中创建的用户的名称,然后单击 检查名称 以确保名称正确,然后单击 确定.
  14. 单击 确定 关闭Act As A Operating System属性对话框。

配置WebSphere以使用新创建的用户作为管理员

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,选择 安全>全局安全.

  3. 在管理安全下,选择 管理用户角色.

  4. 单击添加,然后执行以下操作:

    1. 类型 * ,然后单击搜索。
    2. 单击 管理员 在“角色”下。
    3. 将新创建的用户添加到映射到角色,并将其映射到管理员。

  5. 单击 确定 并保存更改。

  6. 重新启动WebSphere配置文件。

启用管理安全性

  1. 在WebSphere管理控制台中,选择 安全>全局安全.

  2. 单击 安全配置向导.

  3. 确保 启用应用程序安全性 复选框已启用。 单击​下一步

  4. 选择 联合存储库 并单击 下一个.

  5. 指定要设置的凭据,然后单击 下一个.

  6. 单击 完成.

  7. 重新启动WebSphere配置文件。

    WebSphere将开始使用默认的keystore和truststore。

启用SSL(自定义密钥和信任库)

可以使用ikeyman实用程序或Admin Console创建信任库和密钥库。 要使ikeyman正常工作,请确保WebSphere安装路径不包含括号。

  1. 在WebSphere管理控制台中,选择 安全> SSL证书和密钥管理.

  2. 单击 密钥库和证书 在“相关项目”下。

  3. 密钥存储使用情况 下拉列表,确保 SSL密钥库 已选中。 单击 .

  4. 键入逻辑名称和描述。

  5. 指定要创建密钥库的路径。 如果已通过ikeyman创建密钥库,请指定密钥库文件的路径。

  6. 指定并确认密码。

  7. 选择密钥库类型并单击 应用.

  8. 保存主控配置。

  9. 单击 个人证书.

  10. 如果您添加了已使用ikeyman创建的密钥库,则会显示您的证书。 否则,您需要通过执行以下步骤来添加新的自签名证书:

    1. 选择 创建>自签名证书.
    2. 在证书表单上指定适当的值。 确保将别名和公用名保留为计算机的完全限定域名。
    3. 单击 应用.

  11. 重复步骤2至10以创建信任库。

将自定义密钥库和信任库应用到服务器

  1. 在WebSphere管理控制台中,选择 安全> SSL证书和密钥管理.

  2. 单击 管理端点安全配置. 本地拓扑图打开。

  3. 在入站下,选择节点的直接子节点。

  4. 在相关项目下,选择 SSL配置.

  5. 选择 NodeDefaultSSLSetting.

  6. 从信任库名称和密钥库名称下拉列表中,选择您创建的自定义信任库和密钥库。

  7. 单击 应用.

  8. 保存主控配置。

  9. 重新启动WebSphere配置文件。

    现在,您的配置文件会在自定义SSL设置和证书上运行。

启用对AEM表单本地语的支持

  1. 在WebSphere管理控制台中,选择 安全>全局安全.
  2. 在身份验证部分,展开 RMI/IIOP安全 并单击 CSIv2入站通信.
  3. 确保 支持SSL 在传输下拉列表中选择。
  4. 重新启动WebSphere配置文件。

配置WebSphere以转换以https开头的URL

要转换以https开头的URL,请将该URL的签名者证书添加到WebSphere服务器。

为启用https的站点创建签名者证书

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,导航到签名者证书,然后单击安全> SSL证书和密钥管理>密钥存储和证书> NodeDefaultTrustStore >签名者证书。

  3. 单击从端口检索并执行以下任务:

    • 在主机框中,键入URL。 例如,键入 www.paypal.com.
    • 在“端口”框中,键入 443. 此端口是默认的SSL端口。
    • 在“别名”框中,键入别名。

  4. 单击“检索签名者信息”,然后验证是否检索了信息。

  5. 单击应用,然后单击保存。

现在,从已添加其证书的站点HTML到PDF的转换将在生成PDF服务中起作用。

注意

对于从WebSphere内部连接到SSL站点的应用程序,需要签名者证书。 它由Java安全套接字扩展(JSSE)用来验证在SSL握手期间发送的连接的远程端的证书。

配置动态端口

启用全局安全后,IBM WebSphere不允许对ORB.init()进行多次调用。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704上阅读有关永久限制的信息。

执行以下步骤以将端口设置为动态并解决此问题:

  1. 在WebSphere管理控制台中,选择 服务器 > 服务器类型 > WebSphere应用程序服务器.

  2. 在“首选项”部分,选择您的服务器。

  3. 配置 选项卡,下 通信 部分,展开 端口,然后单击 详细信息.

  4. 单击以下端口名称,更改 端口号 更改为0,然后单击 确定.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

配置sling.properties文件

  1. 打开 [aem-forms_root]\crx-repository\launchpad\sling.properties文件进行编辑。

  2. 找到 sling.bootdelegation.ibm 属性和添加 com.ibm.websphere.ssl.*到其值字段。 更新的字段如下所示:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*

  3. 保存文件并重新启动服务器。

在此页面上