本節包含使用IBM WebSphere Application Server設定SSL的下列步驟。
若要啟用SSL,WebSphere需要存取本機作業系統使用者登入中具有系統管理許可權的使用者帳戶:
以根使用者用戶身分登入。
通過在命令提示符下輸入以下命令來建立用戶:
useradd
mkuser
通過在命令提示符下輸入 passwd
來設置新用戶的密碼。
(Linux 和 Solaris)通過在命令提示符下輸入 pwconv
(不帶參數)來建立影子密碼檔。
(Linux和Solaris)若要讓WebSphere Application Server本機作業系統安全性登入運作,陰影密碼檔案必須存在。 影子密碼檔通常名為 /etc/shadow ,並基於 /etc/passwd 檔。 如果影子密碼檔不存在,則在啟用全域安全性並將用戶註冊表配置為本地作業系統後會發生錯誤。
在文本編輯者中從 /etc 目錄中打開群組檔。
將您在步驟 2 root
中創建的用戶添加到群組。
儲存並關閉檔案。
(啟用SSL的UNIX)以root使用者身分啟動和停止WebSphere。
Administrators
,按一下「檢查名稱」以確保群組名稱正確無誤。請確定WebSphere正在執行。
在WebSphere管理主控台中,選取 安全性>全域安全性.
在管理安全性下,選取 管理使用者角色.
按一下「新增」並執行下列動作:
按一下 確定 並儲存您的變更。
重新啟動WebSphere設定檔。
在WebSphere管理主控台中,選取 安全性>全域安全性.
按一下 安全性設定精靈.
確定 啟用應用程式安全性 核取方塊已啟用。 按一下「下一步」。
選取 同盟存放庫 並按一下 下一個.
指定您要設定的認證,然後按一下 下一個.
按一下 完成.
重新啟動WebSphere設定檔。
WebSphere開始使用預設的金鑰存放區和信任存放區。
信任存放區和金鑰存放區可以使用ikeyman公用程式或Admin Console來建立。 若要讓ikeyman正常運作,請確保WebSphere安裝路徑不包含括弧。
在WebSphere管理主控台中,選取 安全性> SSL憑證和金鑰管理.
按一下 金鑰存放區和憑證 在「相關專案」下。
在 金鑰存放區使用情況 下拉式清單,確定 SSL金鑰存放區 已選取。 按一下 新增.
輸入邏輯名稱和說明。
指定您要建立金鑰存放區的路徑。 如果您已透過ikeyman建立金鑰存放區,請指定金鑰存放區檔案的路徑。
指定並確認密碼。
選擇金鑰存放區型別並按一下 套用.
儲存主組態。
按一下 個人憑證.
如果您已新增使用ikeyman建立的金鑰存放區,則會顯示您的憑證。 否則,您需要透過執行以下步驟來新增新的自我簽署憑證:
重複步驟 2 到 10 以創建信任庫。
在 WebSphere 管理主控台中,選擇 安全性> SSL 憑證和金鑰管理 。
按一下管理 端點安全配置 。 將打開本地拓撲圖。
在「入站」下,選擇節點的直接子級。
在「相關項」下,選擇「 SSL 配置 」。
選擇 NodeDeafultSSLSetting 。
從信任存放區名稱和金鑰存放區名稱下拉式清單中,選取您建立的自訂信任存放區和金鑰存放區。
按一下「套用」。
儲存主組態。
重新啟動WebSphere設定檔。
您的設定檔現在會在自訂SSL設定和您的憑證上執行。
若要轉換以https開頭的URL,請將該URL的簽署者憑證新增至WebSphere伺服器。
為啟用https的網站建立簽署者憑證
請確定WebSphere正在執行。
在WebSphere管理主控台中,瀏覽至簽署者憑證,然後按一下[安全性] > [SSL憑證和金鑰管理] > [金鑰存放區和憑證] > [NodeDefaultTrustStore] > [簽署者憑證]。
按一下「從連線埠擷取」,然後執行下列工作:
www.paypal.com
.443
. 此連線埠是預設的SSL連線埠。按一下「擷取簽署者資訊」,然後確認已擷取資訊。
按一下套用,然後按一下儲存。
從已新增憑證的網站進行HTML至PDF的轉換,現在可以在產生PDF服務中運作。
應用程式若要從WebSphere內部連線至SSL網站,需要簽署者憑證。 Java Secure Socket Extensions (JSSE)會使用它來驗證連線的遠端端在SSL交握期間傳送的憑證。
啟用「全域安全性」時,IBM WebSphere不允許對ORB.init()進行多次呼叫。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704閱讀永久限制的相關資訊。
執行以下步驟,將連線埠設定為動態並解決問題:
在WebSphere管理主控台中,選取 伺服器 > 伺服器型別 > WebSphere應用程式伺服器.
在「偏好設定」區段中,選取您的伺服器。
在 設定 標籤,下 通訊 區段,展開 連線埠,然後按一下 詳細資料.
按一下下列連線埠名稱,變更 連線埠號碼 設為0,然後按一下 確定.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
開啟 [aem-forms_root]
\crx-repository\launchpad\sling.properties檔案進行編輯。
找到 sling.bootdelegation.ibm
屬性和新增 com.ibm.websphere.ssl.*
至其值欄位。 更新的欄位如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
儲存檔案並重新啟動伺服器。