本節包含使用IBM WebSphere Application Server設定SSL的下列步驟。
若要啟用SSL,WebSphere需要存取本機作業系統使用者登入中具有系統管理許可權的使用者帳戶:
以root使用者身分登入。
在命令提示字元中輸入下列命令以建立使用者:
useradd
mkuser
輸入以設定新使用者的密碼 passwd
在命令提示字元中。
(Linux和Solaris)輸入以建立陰影密碼檔案 pwconv
(沒有引數)。
(Linux和Solaris)若要讓WebSphere Application Server本機作業系統安全性登入正常運作,陰影密碼檔案必須存在。 陰影密碼檔案通常命名為 /etc/shadow 和是根據/etc/passwd檔案。 如果陰影密碼檔案不存在,則在啟用全域安全性並將使用者登入設定為本機作業系統之後會發生錯誤。
在文字編輯器中從/etc目錄開啟群組檔案。
將您在步驟2中建立的使用者新增至 root
群組。
儲存並關閉檔案。
(啟用SSL的UNIX)以root使用者身分啟動和停止WebSphere。
Administrators
,按一下「檢查名稱」以確保群組名稱正確。請確定WebSphere正在執行。
在WebSphere管理主控台中,選取 安全性>全域安全性.
在「管理安全性」下,選取 管理使用者角色.
按一下「新增」並執行下列動作:
按一下 確定 並儲存您的變更。
重新啟動WebSphere設定檔。
在WebSphere管理主控台中,選取 安全性>全域安全性.
按一下 安全性設定精靈.
確定 啟用應用程式安全性 核取方塊已啟用。 按一下下一步。
選取 同盟存放庫 並按一下 下一個.
指定您要設定的認證,然後按一下 下一個.
按一下 完成.
重新啟動WebSphere設定檔。
WebSphere將開始使用預設金鑰存放區和信任存放區。
信任存放區和金鑰存放區可以使用ikeyman公用程式或Admin Console來建立。 若要讓ikeyman正常運作,請確保WebSphere安裝路徑不包含括弧。
在WebSphere管理主控台中,選取 安全性> SSL憑證和金鑰管理.
按一下 金鑰存放區和憑證 在「相關專案」下。
在 金鑰存放區使用情形 下拉式清單,確認 SSL金鑰存放區 「 」已選取。 按一下 新增.
輸入邏輯名稱和說明。
指定您要建立金鑰存放區的路徑。 如果您已透過ikeyman建立金鑰存放區,請指定金鑰存放區檔案的路徑。
指定並確認密碼。
選擇金鑰庫型別並按一下 套用.
儲存主組態。
按一下 個人憑證.
如果您已新增使用ikeyman建立的金鑰存放區,則會顯示您的憑證。 否則,您需要透過執行以下步驟來新增自我簽署憑證:
重複步驟2到10以建立信任存放區。
在WebSphere管理主控台中,選取 安全性> SSL憑證和金鑰管理.
按一下 管理端點安全性設定. 本機拓撲對應隨即開啟。
在輸入下,選取節點的直接子項。
在「相關專案」下,選取 SSL設定.
選取 NodeDefaultSSLSetting.
從信任庫名稱和金鑰庫名稱下拉式清單中,選取您建立的自訂信任庫和金鑰庫。
按一下 套用.
儲存主組態。
重新啟動WebSphere設定檔。
您的設定檔現在會在自訂SSL設定和您的憑證上執行。
若要轉換以https開頭的URL,請將該URL的簽署者憑證新增至WebSphere伺服器。
為啟用https的網站建立簽署者憑證
請確定WebSphere正在執行。
在WebSphere管理主控台中,瀏覽至簽署者憑證,然後按一下「安全性> SSL憑證和金鑰管理>金鑰存放區和憑證> NodeDefaultTrustStore >簽署者憑證」。
按一下從連線埠擷取,然後執行下列工作:
www.paypal.com
.443
. 此連線埠是預設的SSL連線埠。按一下「擷取簽署者資訊」,然後確認已擷取資訊。
按一下套用,然後按一下儲存。
從已新增憑證的網站進行HTML至PDF轉換後,現在可在產生PDF服務中運作。
應用程式若要從WebSphere內部連線到SSL網站,需要簽署者憑證。 Java Secure Socket Extensions (JSSE)會用它來驗證連線的遠端端在SSL交握期間傳送的憑證。
啟用全域安全性時,IBM WebSphere不允許對ORB.init()進行多次呼叫。 如需永久限制的相關資訊,請參閱https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704。
執行以下步驟,將連線埠設定為動態並解決問題:
在WebSphere管理主控台中,選取 伺服器 > 伺服器型別 > WebSphere應用程式伺服器.
在偏好設定區段中,選取您的伺服器。
在 設定 標籤,底下 通訊 區段,展開 連線埠,然後按一下 詳細資料.
按一下下列連線埠名稱,變更 連線埠號碼 設為0,然後按一下 確定.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
開啟 [aem-forms_root]
\crx-repository\launchpad\sling.properties檔案進行編輯。
找到 sling.bootdelegation.ibm
屬性和新增 com.ibm.websphere.ssl.*
至其值欄位。 更新後的欄位如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
儲存檔案並重新啟動伺服器。