本節包括以下步驟,以使用您的IBM WebSphere應用程式伺服器配置SSL。
要啟用SSL,WebSphere需要訪問本地OS用戶註冊表中有權管理系統的用戶帳戶:
以根使用者身分登入。
在命令提示符中輸入以下命令以建立用戶:
useradd
mkuser
在命令提示符中輸入passwd
以設定新用戶的密碼。
(Linux和Solaris)通過在命令提示符下輸入pwconv
(沒有參數)來建立卷影密碼檔案。
(Linux和Solaris)要使WebSphere應用程式伺服器本地OS安全註冊表工作,必須存在卷影密碼檔案。 卷影密碼檔案通常名為**/etc/shadow**,並基於/etc/passwd檔案。 如果卷影密碼檔案不存在,則啟用全局安全並將用戶註冊表配置為本地作業系統後,將發生錯誤。
在文本編輯器中從/etc目錄開啟組檔案。
將您在步驟2建立的使用者新增至root
群組。
儲存並關閉檔案。
(啟用SSL的UNIX)啟動和停止WebSphere作為根用戶。
Administrators
,按一下檢查名稱以確保組名稱正確。確保WebSphere正在運行。
在WebSphere管理控制台中,選擇安全>全局安全。
在管理安全下,選擇管理用戶角色。
按一下「新增」 ,然後執行下列動作:
按一下OK並保存更改。
重新啟動WebSphere配置檔案。
在WebSphere管理控制台中,選擇安全>全局安全。
按一下安全配置嚮導。
確保啟用應用程式安全性複選框已啟用。 按一下下一步。
選擇聯合資料庫,然後按一下下一步。
指定要設定的憑據,然後按一下Next。
按一下完成。
重新啟動WebSphere配置檔案。
WebSphere將開始使用預設密鑰庫和信任儲存。
可使用ikeyman公用程式或管理控制台來建立信任存放區和鑰匙存放區。 要使ikeyman正常工作,請確保WebSphere安裝路徑不包含括弧。
在WebSphere管理控制台中,選擇安全> SSL證書和密鑰管理。
按一下「相關項目」下的「鑰匙存放區和憑證」。
在金鑰存放區使用量下拉式清單中,確定已選取SSL金鑰存放區。 按一下「新建」。
輸入邏輯名稱和說明。
指定要建立金鑰存放區的路徑。 如果已通過ikeyman建立密鑰庫,請指定密鑰庫檔案的路徑。
指定並確認密碼。
選擇密鑰庫類型,然後按一下Apply。
保存主配置。
按一下「個人證書」。
如果您已使用ikeyman新增金鑰存放區,則會顯示憑證。 否則,您需要執行下列步驟來新增自行簽署的憑證:
重複步驟2到10以建立信任存放區。
在WebSphere管理控制台中,選擇安全> SSL證書和密鑰管理。
按一下管理端點安全配置。 本地拓撲圖開啟。
在入站下,選擇節點的直接子節點。
在「相關項目」下,選擇SSL配置。
選擇NodeDefaultSSLSetting。
從truststore名稱和金鑰存放區名稱下拉式清單中,選取您建立的自訂truststore和金鑰存放區。
按一下Apply。
保存主配置。
重新啟動WebSphere配置檔案。
您的設定檔現在會在自訂SSL設定和憑證上執行。
若要轉換以https開頭的URL,請為該URL新增簽署者憑證至WebSphere伺服器。
為啟用https的網站建立簽署者憑證
確保WebSphere正在運行。
在WebSphere管理控制台中,導航到簽署者證書,然後按一下「安全」>「SSL證書和密鑰管理」>「密鑰儲存和證書」>「NodeDefaultTrustStore」>「簽署者證書」。
按一下「從埠檢索」並執行以下任務:
www.paypal.com
。443
。 此埠是預設的SSL埠。按一下「檢索簽名者資訊」 ,然後驗證是否檢索了該資訊。
按一下「套用」 ,然後按一下「儲存」 。
從已新增憑證的網站,HTML轉PDF轉換現在可從「產生PDF」服務運作。
若要讓應用程式從WebSphere內連線至SSL網站,需要簽署者憑證。 Java安全套接字擴展(JSSE)使用它來驗證在SSL握手期間發送的連接的遠程端的證書。
啟用全局安全時,IBM WebSphere不允許對ORB.init()進行多次調用。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704閱讀永久限制的相關資訊。
執行下列步驟將埠設定為動態並解決問題:
在WebSphere管理控制台中,選擇伺服器 > 伺服器類型 > WebSphere應用程式伺服器。
在「首選項」部分,選擇伺服器。
在Configuration頁簽的Communications部分下,展開Ports,然後按一下Details。
按一下以下埠名,將埠號更改為0,然後按一下OK。
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
開啟[aem-forms_root]
\crx-repository\launchpad\sling.properties檔案進行編輯。
找出sling.bootdelegation.ibm
屬性,並將com.ibm.websphere.ssl.*
新增至其值欄位。 更新後的欄位如下所示:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
儲存檔案並重新啟動伺服器。