本節包含下列步驟,以使用您的IBM WebSphere應用程式伺服器設定SSL。
要啟用SSL,WebSphere需要訪問本地OS用戶註冊表中有權管理系統的用戶帳戶:
以根使用者身分登入。
在命令提示符中輸入以下命令以建立用戶:
useradd
mkuser
通過輸入 passwd
在命令提示符中。
(Linux和Solaris)通過輸入 pwconv
(沒有參數)。
(Linux和Solaris)要使WebSphere應用程式伺服器本地OS安全註冊表工作,必須存在卷影密碼檔案。 卷影密碼檔案通常名為 /etc/shadow 和以/etc/passwd檔案為基礎。 如果卷影密碼檔案不存在,則啟用全局安全並將用戶註冊表配置為本地作業系統後,將發生錯誤。
在文本編輯器中從/etc目錄開啟組檔案。
將您在步驟2建立的使用者新增至 root
群組。
儲存並關閉檔案。
(啟用SSL的UNIX)啟動和停止WebSphere作為根用戶。
Administrators
,按一下「檢查名稱」 ,確保群組名稱正確無誤。確保WebSphere正在運行。
在WebSphere管理控制台中,選擇 安全性>全球安全性.
在「管理安全」下,選擇 管理使用者角色.
按一下「新增」 ,然後執行下列動作:
按一下 確定 並儲存您的變更。
重新啟動WebSphere配置檔案。
在WebSphere管理控制台中,選擇 安全性>全球安全性.
按一下 安全配置嚮導.
確保 啟用應用程式安全性 核取方塊已啟用。 按一下下一步。
選擇 聯合儲存庫 按一下 下一個.
指定您要設定的憑證,然後按一下 下一個.
按一下 完成.
重新啟動WebSphere配置檔案。
WebSphere將開始使用預設密鑰庫和信任儲存。
可使用ikeyman公用程式或管理控制台來建立信任存放區和鑰匙存放區。 要使ikeyman正常工作,請確保WebSphere安裝路徑不包含括弧。
在WebSphere管理控制台中,選擇 安全性> SSL憑證和金鑰管理.
按一下 鑰匙存放區和憑證 在「相關項目」下。
在 金鑰存放區使用方式 下拉式清單,確定 SSL密鑰庫 中所有規則的URL。 按一下 新增.
輸入邏輯名稱和說明。
指定要建立金鑰存放區的路徑。 如果已通過ikeyman建立密鑰庫,請指定密鑰庫檔案的路徑。
指定並確認密碼。
選擇金鑰存放區類型,然後按一下 套用.
保存主配置。
按一下 個人證書.
如果您已使用ikeyman新增金鑰存放區,則會顯示憑證。 否則,您需要執行下列步驟來新增自行簽署的憑證:
重複步驟2到10以建立信任存放區。
在WebSphere管理控制台中,選擇 安全性> SSL憑證和金鑰管理.
按一下 管理端點安全配置. 本地拓撲圖開啟。
在入站下,選擇節點的直接子節點。
在「相關項目」下,選擇 SSL設定.
選擇 NodeDefaultSSLSetting.
從truststore名稱和金鑰存放區名稱下拉式清單中,選取您建立的自訂truststore和金鑰存放區。
按一下 套用.
保存主配置。
重新啟動WebSphere配置檔案。
您的設定檔現在會在自訂SSL設定和憑證上執行。
若要轉換以https開頭的URL,請為該URL新增簽署者憑證至WebSphere伺服器。
為啟用https的網站建立簽署者憑證
確保WebSphere正在運行。
在WebSphere管理控制台中,導航到簽署者證書,然後按一下「安全」>「SSL證書和密鑰管理」>「密鑰儲存和證書」>「NodeDefaultTrustStore」>「簽署者證書」。
按一下「從埠檢索」並執行以下任務:
www.paypal.com
.443
. 此埠是預設的SSL埠。按一下「檢索簽名者資訊」 ,然後驗證是否檢索了該資訊。
按一下「套用」 ,然後按一下「儲存」 。
從已新增憑證的網站進行HTML對PDF轉換,現在可從「產生PDF」服務運作。
若要讓應用程式從WebSphere內連線至SSL網站,需要簽署者憑證。 Java安全套接字擴展(JSSE)使用它來驗證在SSL握手期間發送的連接的遠程端的證書。
IBM WebSphere在啟用全域安全性時不允許對ORB.init()進行多次呼叫。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704閱讀永久限制的相關資訊。
執行下列步驟將埠設定為動態並解決問題:
在WebSphere管理控制台中,選擇 伺服器 > 伺服器類型 > WebSphere應用程式伺服器.
在「首選項」部分,選擇伺服器。
在 設定 標籤下 通訊 區段,展開 埠,然後按一下 詳細資料.
按一下以下埠名稱,更改 埠號 設為0,然後按一下 確定.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
開啟 [aem-forms_root]
\crx-repository\launchpad\sling.properties檔案進行編輯。
找出 sling.bootdelegation.ibm
屬性和新增 com.ibm.websphere.ssl.*
至其值欄位。 更新後的欄位如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
儲存檔案並重新啟動伺服器。