本节包括通过IBM WebSphere Application Server配置SSL的以下步骤。
要启用SSL,WebSphere需要访问本地操作系统用户注册表中具有管理系统权限的用户帐户:
以根用户身份登录。
通过在命令提示符下输入以下命令创建用户:
useradd
mkuser
通过在命令提示符下输入passwd
设置新用户的口令。
(Linux和Solaris)通过在命令提示符下输入pwconv
(无参数),创建卷影密码文件。
(Linux和Solaris)要使WebSphere Application Server本地OS安全注册表正常工作,必须存在卷影密码文件。 卷影密码文件通常名为**/etc/shadow**,基于/etc/passwd文件。 如果卷影密码文件不存在,则在启用全局安全性并将用户注册表配置为本地操作系统后,将发生错误。
在文本编辑器中从/etc目录打开组文件。
将您在步骤2中创建的用户添加到root
组。
保存并关闭文件。
(启用SSL的UNIX)开始并停止WebSphere作为根用户。
Administrators
,单击“检查名称”以确保组名称正确。确保WebSphere正在运行。
在WebSphere管理控制台中,选择安全>全局安全。
在“管理安全”下,选择“管理用户角色”。
单击“添加”并执行以下操作:
单击确定并保存更改。
重新启动WebSphere用户档案。
在WebSphere管理控制台中,选择安全>全局安全。
单击安全配置向导。
确保启用应用程序安全复选框已启用。 单击下一步。
选择联合资料库并单击下一步。
指定要设置的凭据,然后单击下一步。
单击完成。
重新启动WebSphere用户档案。
WebSphere将使用默认密钥库和信任存储进行开始。
可以使用ikeyman实用程序或管理控制台创建信任存储和密钥存储。 要使ikeyman正常工作,请确保WebSphere安装路径不包含括号。
在WebSphere管理控制台中,选择安全> SSL证书和密钥管理。
单击“相关项目”下的密钥库和证书。
在密钥存储用法下拉框中,确保选择SSL密钥存储。 单击新建.
键入逻辑名称和说明。
指定要创建密钥库的路径。 如果已通过ikeyman创建密钥库,请指定密钥库文件的路径。
指定并确认密码。
选择密钥库类型,然后单击应用。
保存主控配置。
单击个人证书。
如果已使用ikeyman添加已创建密钥库,则将显示您的证书。 否则,您需要通过执行以下步骤来添加新的自签名证书:
重复步骤2到10以创建信任存储。
在WebSphere管理控制台中,选择安全> SSL证书和密钥管理。
单击管理端点安全配置。 本地拓扑图打开。
在“入站”下,选择节点的直接子项。
在“相关项目”下,选择SSL配置。
选择NodeDefaultSSLSetting。
从truststore名称和keystore名称下拉列表中,选择您创建的自定义truststore和keystore。
单击应用。
保存主控配置。
重新启动WebSphere用户档案。
您的用户档案现在可在自定义SSL设置和证书上运行。
要转换以https开头的URL,请为该URL添加一个签名者证书至WebSphere服务器。
为启用https的站点创建签名者证书
确保WebSphere正在运行。
在WebSphere管理控制台中,导航到签署者证书,然后单击“安全”>“SSL证书和密钥管理”>“密钥存储和证书”>“NodeDefaultTrustStore”>“签署者证书”。
单击“从端口检索”并执行以下任务:
www.paypal.com
。443
。 此端口是默认的SSL端口。单击“检索签署方信息”,然后验证是否检索到该信息。
单击“应用”,然后单击“保存”。
现在,从添加证书的站点进行HTML到PDF的转换将通过“生成PDF”服务工作。
要使应用程序从WebSphere内连接到SSL站点,需要签署者证书。 Java安全套接字扩展(JSSE)使用它验证在SSL握手期间发送的连接远程端的证书。
启用全局安全时,IBM WebSphere不允许对ORB.init()进行多次调用。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704上阅读有关永久限制的信息。
请执行以下步骤将端口设置为动态并解决问题:
在WebSphere管理控制台中,选择服务器 > 服务器类型 > WebSphere应用程序服务器。
在“首选项”部分,选择您的服务器。
在配置选项卡的通信部分下,展开端口,然后单击详细信息。
单击以下端口名称,将端口号更改为0,然后单击确定。
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
打开[aem-forms_root]
\crx-repository\launchpad\sling.properties文件进行编辑。
找到sling.bootdelegation.ibm
属性,并将com.ibm.websphere.ssl.*
添加到其值字段。 更新后的字段如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
保存文件并重新启动服务器。