为WebSphere应用程序服务器配置SSL

本节包括使用您的IBM WebSphere应用程序服务器配置SSL的以下步骤。

在WebSphere上创建本地用户帐户

要启用SSL,WebSphere需要访问本地操作系统用户注册表中有权管理系统的用户帐户:

  • (Windows)创建新的Windows用户,该用户属于管理员组,并有权作为操作系统的一部分。 (请参阅 为WebSphere创建Windows用户.)
  • (Linux、UNIX)用户可以是根用户,也可以是具有根权限的其他用户。 在WebSphere上启用SSL时,请使用此用户的服务器标识和密码。

为WebSphere创建Linux或UNIX用户

  1. 以根用户身份登录。

  2. 在命令提示符下输入以下命令以创建用户:

    • (Linux和Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. 通过输入 passwd 在命令提示符下。

  4. (Linux和Solaris)通过输入 pwconv (无参数)。

    注意

    (Linux和Solaris)要使WebSphere应用程序服务器本地操作系统安全注册表正常工作,必须存在卷影密码文件。 卷影密码文件通常名为 /etc/shadow 和基于/etc/passwd文件。 如果卷影密码文件不存在,则在启用全局安全性并将用户注册表配置为本地操作系统后,会发生错误。

  5. 在文本编辑器中从/etc目录打开组文件。

  6. 将您在步骤2中创建的用户添加到 root 群组。

  7. 保存并关闭文件。

  8. (启用SSL的UNIX)以根用户身份启动和停止WebSphere。

为WebSphere创建Windows用户

  1. 使用管理员用户帐户登录到Windows。
  2. 选择 开始>控制面板>管理工具>计算机管理>本地用户和组.
  3. 右键单击用户,然后选择 新用户.
  4. 在相应的框中键入用户名和密码,然后在其余的框中键入您需要的任何其他信息。
  5. 取消选择 用户在下次登录时必须更改密码,单击 创建,然后单击 关闭.
  6. 单击 用户,右键单击之前创建的用户并选择 属性.
  7. 单击 成员 ,然后单击 添加.
  8. 在“输入要选择的对象名称”(Enter The Object Names To Select)框中,键入 Administrators,请单击检查名称以确保组名称正确无误。
  9. 单击 确定 然后单击 确定 再次。
  10. 选择 开始>控制面板>管理工具>本地安全策略>本地策略.
  11. 单击“用户权限分配”,然后右键单击“作为操作系统的一部分”,然后选择“属性”。
  12. 单击 添加用户或群组.
  13. 在输入要选择的对象名称框中,键入您在步骤4中创建的用户的名称,单击 检查名称 以确保名称正确,然后单击 确定.
  14. 单击 确定 关闭“作为操作系统属性”对话框的一部分。

配置WebSphere以使用新创建的用户作为管理员

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,选择 安全>全球安全.

  3. 在“管理安全”下,选择 管理用户角色.

  4. 单击添加,然后执行以下操作:

    1. 类型 * 在搜索框中,单击搜索。
    2. 单击 管理员 下。
    3. 将新创建的用户添加到映射到角色,然后将其映射到管理员。
  5. 单击 确定 并保存更改。

  6. 重新启动WebSphere配置文件。

启用管理安全性

  1. 在WebSphere管理控制台中,选择 安全>全球安全.

  2. 单击 安全配置向导.

  3. 确保 启用应用程序安全性 复选框。 单击​下一步

  4. 选择 联合存储库 单击 下一个.

  5. 指定要设置的凭据,然后单击 下一个.

  6. 单击 完成.

  7. 重新启动WebSphere配置文件。

    WebSphere将开始使用默认密钥库和truststore。

启用SSL(自定义密钥和信任存储)

可以使用ikeyman实用程序或管理控制台创建信任库和密钥库。 要使键盘正常工作,请确保WebSphere安装路径不包含圆括号。

  1. 在WebSphere管理控制台中,选择 安全> SSL证书和密钥管理.

  2. 单击 密钥库和证书 下。

  3. 关键存储用法 下拉列表,确保 SSL密钥库 中。 单击​新建

  4. 键入逻辑名称和描述。

  5. 指定希望创建密钥库的路径。 如果已通过ikeyman创建密钥库,请指定密钥库文件的路径。

  6. 指定并确认密码。

  7. 选择密钥库类型并单击 应用.

  8. 保存主控配置。

  9. 单击 个人证书.

  10. 如果您已使用ikeyman添加了已创建密钥库的内容,则将显示您的证书。 否则,您需要执行以下步骤来添加新的自签名证书:

    1. 选择 创建>自签名证书.
    2. 在证书表单上指定适当的值。 确保将别名和通用名称保留为计算机的完全限定的域名。
    3. 单击 应用.
  11. 重复步骤2至10以创建信任存储。

将自定义密钥库和truststore应用到服务器

  1. 在WebSphere管理控制台中,选择 安全> SSL证书和密钥管理.

  2. 单击 管理端点安全配置. 将打开本地拓扑图。

  3. 在“入站”下,选择节点的直接子项。

  4. 在“相关项目”下,选择 SSL配置.

  5. 选择 NodeDefaultSSLSetting.

  6. 从truststore名称和KeyStore名称下拉列表中,选择您创建的自定义truststore和KeyStore。

  7. 单击 应用.

  8. 保存主控配置。

  9. 重新启动WebSphere配置文件。

    您的配置文件现在在自定义SSL设置和证书上运行。

启用对AEM表单本机的支持

  1. 在WebSphere管理控制台中,选择 安全>全球安全.
  2. 在身份验证部分中,展开 RMI/IIOP安全 单击 CSIv2入站通信.
  3. 确保 支持SSL 已在“传输”下拉列表中选择。
  4. 重新启动WebSphere配置文件。

配置WebSphere以转换以https开头的URL

要转换以https开头的URL,请为该URL添加签名者证书至WebSphere服务器。

为启用https的站点创建签名者证书

  1. 确保WebSphere正在运行。

  2. 在WebSphere管理控制台中,导航到签名者证书,然后单击安全> SSL证书和密钥管理>密钥存储和证书> NodeDefaultTrustStore >签名者证书。

  3. 单击从端口检索并执行以下任务:

    • 在“主机”框中,键入URL。 例如,类型 www.paypal.com.
    • 在“Port(端口)”框中,键入 443. 此端口是默认的SSL端口。
    • 在“别名”框中,键入别名。
  4. 单击检索签名者信息,然后验证该信息是否已检索到。

  5. 单击“应用”,然后单击“保存”。

现在,从添加了证书的网站进行HTML到PDF的转换,将可从“生成PDF”服务中正常工作。

注意

要使应用程序从WebSphere内部连接到SSL站点,需要签名者证书。 Java安全套接字扩展(JSSE)使用它来验证在SSL握手期间发送的连接远程端的证书。

配置动态端口

IBM WebSphere在启用全局安全时不允许对ORB.init()进行多次调用。 有关永久限制的信息,请访问https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704。

执行以下步骤以将端口设置为动态并解决此问题:

  1. 在WebSphere管理控制台中,选择 服务器 > 服务器类型 > WebSphere应用程序服务器.

  2. 在“首选项”部分,选择您的服务器。

  3. 配置 选项卡,在 通信 部分,展开 端口,然后单击 详细信息.

  4. 单击以下端口名称,更改 端口号 设置为0,然后单击 确定.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

配置sling.properties文件

  1. 打开 [aem-forms_root]\crx-repository\launchpad\sling.properties文件进行编辑。

  2. 找到 sling.bootdelegation.ibm 属性和添加 com.ibm.websphere.ssl.*的值字段。 更新的字段如下所示:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. 保存文件并重新启动服务器。

在此页面上