為WebSphere Application Server設定SSL

本節包含使用IBM WebSphere Application Server設定SSL的下列步驟。

在WebSphere上建立本機使用者帳戶

若要啟用SSL，WebSphere需要存取本機作業系統使用者登入中具有系統管理許可權的使用者帳戶：

• (Windows)建立屬於Administrators群組，並擁有做為作業系統一部分之許可權的Windows使用者。 (請參閱 為WebSphere建立Windows使用者.)
• (Linux、UNIX)使用者可以是root使用者或其他具有root許可權的使用者。 當您在WebSphere上啟用SSL時，請使用這個使用者的伺服器識別碼和密碼。

為WebSphere建立Linux或UNIX使用者

1. 以根使用者用戶身分登入。

2. 通過在命令提示符下輸入以下命令來建立用戶：

   • （Linux 和 Sun Solaris） useradd
   • （IBM AIX） mkuser

3. 通過在命令提示符下輸入 passwd 來設置新用戶的密碼。

4. （Linux 和 Solaris）通過在命令提示符下輸入 pwconv （不帶參數）來建立影子密碼檔。

   注意

   （Linux和Solaris）若要讓WebSphere Application Server本機作業系統安全性登入運作，陰影密碼檔案必須存在。 影子密碼檔通常名為 /etc/shadow ，並基於 /etc/passwd 檔。 如果影子密碼檔不存在，則在啟用全域安全性並將用戶註冊表配置為本地作業系統後會發生錯誤。

5. 在文本編輯者中從 /etc 目錄中打開群組檔。

6. 將您在步驟 2 root 中創建的用戶添加到群組。

7. 儲存並關閉檔案。

8. （啟用SSL的UNIX）以root使用者身分啟動和停止WebSphere。

為WebSphere建立Windows使用者

1. 使用系統管理員使用者帳戶登入Windows。
2. 選取 「開始」 > 「控制檯」 > 「管理工具」 > 「電腦管理」 > 「本機使用者和群組」.
3. 以滑鼠右鍵按一下使用者並選取「 」 新使用者.
4. 在適當的方塊中輸入使用者名稱和密碼，並在其他方塊中輸入您需要的任何其他資訊。
5. 取消選取 使用者下次登入時必須變更密碼，按一下 建立，然後按一下 關閉.
6. 按一下 使用者，以滑鼠右鍵按一下您建立的使用者並選取 屬性.
7. 按一下 成員隸屬於 標籤，然後按一下 新增.
8. 在「輸入要選取的物件名稱」方塊中，鍵入 Administrators，按一下「檢查名稱」以確保群組名稱正確無誤。
9. 按一下 確定 然後按一下 確定 再來一次。
10. 選取 「開始」 > 「控制面板」 > 「管理工具」 > 「本機安全性原則」 > 「本機原則」.
11. 按一下「使用者許可權指派」，然後以滑鼠右鍵按一下「作為作業系統的一部分」，並選取「屬性」。
12. 按一下 新增使用者或群組.
13. 在「輸入要選取的物件名稱」方塊中，輸入您在步驟4中建立的使用者名稱，然後按一下 檢查名稱 以確保名稱正確，然後按一下 確定.
14. 按一下 確定 關閉「作為作業系統屬性」對話方塊的一部份。

設定WebSphere以使用新建立的使用者作為管理員

1. 請確定WebSphere正在執行。

2. 在WebSphere管理主控台中，選取 安全性>全域安全性.

3. 在管理安全性下，選取 管理使用者角色.

4. 按一下「新增」並執行下列動作：

   1. 型別 &ast； ，然後按一下「搜尋」。
   2. 按一下 管理員 在「角色」底下。
   3. 將新建的使用者新增至對應至角色，並將其對應至管理員。

5. 按一下 確定 並儲存您的變更。

6. 重新啟動WebSphere設定檔。

啟用管理安全性

1. 在WebSphere管理主控台中，選取 安全性>全域安全性.

2. 按一下 安全性設定精靈.

3. 確定 啟用應用程式安全性 核取方塊已啟用。 按一下「下一步」。

4. 選取 同盟存放庫 並按一下 下一個.

5. 指定您要設定的認證，然後按一下 下一個.

6. 按一下 完成.

7. 重新啟動WebSphere設定檔。

   WebSphere開始使用預設的金鑰存放區和信任存放區。

啟用SSL （自訂金鑰和信任庫）

信任存放區和金鑰存放區可以使用ikeyman公用程式或Admin Console來建立。 若要讓ikeyman正常運作，請確保WebSphere安裝路徑不包含括弧。

1. 在WebSphere管理主控台中，選取 安全性> SSL憑證和金鑰管理.

2. 按一下 金鑰存放區和憑證 在「相關專案」下。

3. 在 金鑰存放區使用情況 下拉式清單，確定 SSL金鑰存放區 已選取。 按一下 新增.

4. 輸入邏輯名稱和說明。

5. 指定您要建立金鑰存放區的路徑。 如果您已透過ikeyman建立金鑰存放區，請指定金鑰存放區檔案的路徑。

6. 指定並確認密碼。

7. 選擇金鑰存放區型別並按一下 套用.

8. 儲存主組態。

9. 按一下 個人憑證.

10. 如果您已新增使用ikeyman建立的金鑰存放區，則會顯示您的憑證。 否則，您需要透過執行以下步驟來新增新的自我簽署憑證：

    1. 選擇 建立 >自簽章憑證 」。
    2. 在證書表單上指定適當的值。 確保將別名和公用名保留為電腦的完全限定功能變數名稱。
    3. 按一下「套用」。

11. 重複步驟 2 到 10 以創建信任庫。

將自訂金鑰庫和信任庫套用到伺服器

1. 在 WebSphere 管理主控台中，選擇 安全性> SSL 憑證和金鑰管理 。

2. 按一下管理 端點安全配置 。 將打開本地拓撲圖。

3. 在「入站」下，選擇節點的直接子級。

4. 在「相關項」下，選擇「 SSL 配置 」。

5. 選擇 NodeDeafultSSLSetting 。

6. 從信任存放區名稱和金鑰存放區名稱下拉式清單中，選取您建立的自訂信任存放區和金鑰存放區。

7. 按一下「套用」。

8. 儲存主組態。

9. 重新啟動WebSphere設定檔。

   您的設定檔現在會在自訂SSL設定和您的憑證上執行。

啟用對AEM原生表單的支援

1. 在WebSphere管理主控台中，選取 安全性>全域安全性.
2. 在「驗證」區段中，展開 RMI/IIOP安全性 並按一下 CSIv2輸入通訊.
3. 確定 支援SSL 在「傳輸」下拉式清單中選取。
4. 重新啟動WebSphere設定檔。

設定WebSphere以轉換以https開頭的URL

若要轉換以https開頭的URL，請將該URL的簽署者憑證新增至WebSphere伺服器。

為啟用https的網站建立簽署者憑證

1. 請確定WebSphere正在執行。

2. 在WebSphere管理主控台中，瀏覽至簽署者憑證，然後按一下[安全性] > [SSL憑證和金鑰管理] > [金鑰存放區和憑證] > [NodeDefaultTrustStore] > [簽署者憑證]。

3. 按一下「從連線埠擷取」，然後執行下列工作：

   • 在「主機」方塊中，輸入URL。 例如，輸入 www.paypal.com.
   • 在「連線埠」方塊中，輸入 443. 此連線埠是預設的SSL連線埠。
   • 在「別名」方塊中，鍵入別名。

4. 按一下「擷取簽署者資訊」，然後確認已擷取資訊。

5. 按一下套用，然後按一下儲存。

從已新增憑證的網站進行HTML至PDF的轉換，現在可以在產生PDF服務中運作。

設定動態連線埠

啟用「全域安全性」時，IBM WebSphere不允許對ORB.init()進行多次呼叫。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704閱讀永久限制的相關資訊。

執行以下步驟，將連線埠設定為動態並解決問題：

1. 在WebSphere管理主控台中，選取 伺服器 > 伺服器型別 > WebSphere應用程式伺服器.

2. 在「偏好設定」區段中，選取您的伺服器。

3. 在 設定 標籤，下 通訊 區段，展開 連線埠，然後按一下 詳細資料.

4. 按一下下列連線埠名稱，變更 連線埠號碼 設為0，然後按一下 確定.

   • ORB_LISTENER_ADDRESS
   • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
   • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
   • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

設定sling.properties檔案

1. 開啟 [aem-forms_root]\crx-repository\launchpad\sling.properties檔案進行編輯。

2. 找到 sling.bootdelegation.ibm 屬性和新增 com.ibm.websphere.ssl.*至其值欄位。 更新的欄位如下所示：

   sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
   

3. 儲存檔案並重新啟動伺服器。