為WebSphere應用程式伺服器配置SSL

本節包含下列步驟,以使用您的IBM WebSphere應用程式伺服器設定SSL。

在WebSphere上建立本地用戶帳戶

要啟用SSL,WebSphere需要訪問本地OS用戶註冊表中有權管理系統的用戶帳戶:

  • (Windows)建立新的Windows用戶,該用戶屬於「管理員」組,並有權作為作業系統的一部分。 (請參閱 為WebSphere建立Windows用戶.)
  • (Linux、UNIX)該用戶可以是根用戶,也可以是具有根權限的其他用戶。 在WebSphere上啟用SSL時,請使用此用戶的伺服器標識和密碼。

為WebSphere建立Linux或UNIX用戶

  1. 以根使用者身分登入。

  2. 在命令提示符中輸入以下命令以建立用戶:

    • (Linux和Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. 通過輸入 passwd 在命令提示符中。

  4. (Linux和Solaris)通過輸入 pwconv (沒有參數)。

    注意

    (Linux和Solaris)要使WebSphere應用程式伺服器本地OS安全註冊表工作,必須存在卷影密碼檔案。 卷影密碼檔案通常名為 /etc/shadow 和以/etc/passwd檔案為基礎。 如果卷影密碼檔案不存在,則啟用全局安全並將用戶註冊表配置為本地作業系統後,將發生錯誤。

  5. 在文本編輯器中從/etc目錄開啟組檔案。

  6. 將您在步驟2建立的使用者新增至 root 群組。

  7. 儲存並關閉檔案。

  8. (啟用SSL的UNIX)啟動和停止WebSphere作為根用戶。

為WebSphere建立Windows用戶

  1. 使用管理員用戶帳戶登錄到Windows。
  2. 選擇 「開始」>「控制面板」>「管理工具」>「電腦管理」>「本地用戶和組」.
  3. 按一下右鍵用戶並選擇 新用戶.
  4. 在相應的框中鍵入用戶名和密碼,並在其餘框中鍵入您需要的任何其他資訊。
  5. 取消選擇 使用者必須在下次登入時變更密碼,按一下 建立,然後按一下 關閉.
  6. 按一下 使用者,按一下右鍵您剛建立的用戶並選擇 屬性.
  7. 按一下 成員 ,然後按一下 新增.
  8. 在「輸入要選擇的對象名稱」(Enter The Object Names To Select)框中,鍵入 Administrators,按一下「檢查名稱」 ,確保群組名稱正確無誤。
  9. 按一下 確定 然後按一下 確定
  10. 選擇 「開始」>「控制面板」>「管理工具」>「本地安全策略」>「本地策略」.
  11. 按一下「用戶權限分配」,然後按一下右鍵「作為作業系統的一部分」,然後選擇「屬性」。
  12. 按一下 新增使用者或群組.
  13. 在輸入要選擇的對象名稱框中,鍵入您在步驟4中建立的用戶的名稱,按一下 檢查名稱 以確保名稱正確,然後按一下 確定.
  14. 按一下 確定 關閉作為作業系統屬性對話框的一部分。

配置WebSphere以將新建立的用戶用作管理員

  1. 確保WebSphere正在運行。

  2. 在WebSphere管理控制台中,選擇 安全性>全球安全性.

  3. 在「管理安全」下,選擇 管理使用者角色.

  4. 按一下「新增」 ,然後執行下列動作:

    1. 類型 * 在「搜索」框中,按一下「搜索」。
    2. 按一下 管理員 在角色下。
    3. 將新建立的用戶添加到「已映射到」角色,並將其映射到「管理員」。
  5. 按一下 確定 並儲存您的變更。

  6. 重新啟動WebSphere配置檔案。

啟用管理安全

  1. 在WebSphere管理控制台中,選擇 安全性>全球安全性.

  2. 按一下 安全配置嚮導.

  3. 確保 啟用應用程式安全性 核取方塊已啟用。 按一下​下一步

  4. 選擇 聯合儲存庫 按一下 下一個.

  5. 指定您要設定的憑證,然後按一下 下一個.

  6. 按一下 完成.

  7. 重新啟動WebSphere配置檔案。

    WebSphere將開始使用預設密鑰庫和信任儲存。

啟用SSL(自訂金鑰和信任存放區)

可使用ikeyman公用程式或管理控制台來建立信任存放區和鑰匙存放區。 要使ikeyman正常工作,請確保WebSphere安裝路徑不包含括弧。

  1. 在WebSphere管理控制台中,選擇 安全性> SSL憑證和金鑰管理.

  2. 按一下 鑰匙存放區和憑證 在「相關項目」下。

  3. 金鑰存放區使用方式 下拉式清單,確定 SSL密鑰庫 中所有規則的URL。 按一下 新增.

  4. 輸入邏輯名稱和說明。

  5. 指定要建立金鑰存放區的路徑。 如果已通過ikeyman建立密鑰庫,請指定密鑰庫檔案的路徑。

  6. 指定並確認密碼。

  7. 選擇金鑰存放區類型,然後按一下 套用.

  8. 保存主配置。

  9. 按一下 個人證書.

  10. 如果您已使用ikeyman新增金鑰存放區,則會顯示憑證。 否則,您需要執行下列步驟來新增自行簽署的憑證:

    1. 選擇 建立>自簽名證書.
    2. 在憑證表單上指定適當的值。 請確保將別名和公用名稱保留為電腦的完全限定域名。
    3. 按一下 套用.
  11. 重複步驟2到10以建立信任存放區。

將自定義密鑰庫和信任儲存應用於伺服器

  1. 在WebSphere管理控制台中,選擇 安全性> SSL憑證和金鑰管理.

  2. 按一下 管理端點安全配置. 本地拓撲圖開啟。

  3. 在入站下,選擇節點的直接子節點。

  4. 在「相關項目」下,選擇 SSL設定.

  5. 選擇 NodeDefaultSSLSetting.

  6. 從truststore名稱和金鑰存放區名稱下拉式清單中,選取您建立的自訂truststore和金鑰存放區。

  7. 按一下 套用.

  8. 保存主配置。

  9. 重新啟動WebSphere配置檔案。

    您的設定檔現在會在自訂SSL設定和憑證上執行。

啟用對AEM表單原生代的支援

  1. 在WebSphere管理控制台中,選擇 安全性>全球安全性.
  2. 在驗證區段中,展開 RMI/IIOP安全性 按一下 CSIv2入站通信.
  3. 確保 SSL支援 在「傳輸」下拉式清單中選取。
  4. 重新啟動WebSphere配置檔案。

設定WebSphere以轉換以https開頭的URL

若要轉換以https開頭的URL,請為該URL新增簽署者憑證至WebSphere伺服器。

為啟用https的網站建立簽署者憑證

  1. 確保WebSphere正在運行。

  2. 在WebSphere管理控制台中,導航到簽署者證書,然後按一下「安全」>「SSL證書和密鑰管理」>「密鑰儲存和證書」>「NodeDefaultTrustStore」>「簽署者證書」。

  3. 按一下「從埠檢索」並執行以下任務:

    • 在「主機」方塊中,輸入URL。 例如,輸入 www.paypal.com.
    • 在「Port(埠)」框中,鍵入 443. 此埠是預設的SSL埠。
    • 在「別名」框中,鍵入別名。
  4. 按一下「檢索簽名者資訊」 ,然後驗證是否檢索了該資訊。

  5. 按一下「套用」 ,然後按一下「儲存」 。

從已新增憑證的網站進行HTML對PDF轉換,現在可從「產生PDF」服務運作。

注意

若要讓應用程式從WebSphere內連線至SSL網站,需要簽署者憑證。 Java安全套接字擴展(JSSE)使用它來驗證在SSL握手期間發送的連接的遠程端的證書。

配置動態埠

IBM WebSphere在啟用全域安全性時不允許對ORB.init()進行多次呼叫。 您可以在https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704閱讀永久限制的相關資訊。

執行下列步驟將埠設定為動態並解決問題:

  1. 在WebSphere管理控制台中,選擇 伺服器 > 伺服器類型 > WebSphere應用程式伺服器.

  2. 在「首選項」部分,選擇伺服器。

  3. 設定 標籤下 通訊 區段,展開 ,然後按一下 詳細資料.

  4. 按一下以下埠名稱,更改 埠號 設為0,然後按一下 確定.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

設定sling.properties檔案

  1. 開啟 [aem-forms_root]\crx-repository\launchpad\sling.properties檔案進行編輯。

  2. 找出 sling.bootdelegation.ibm 屬性和新增 com.ibm.websphere.ssl.*至其值欄位。 更新後的欄位如下所示:

    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
  3. 儲存檔案並重新啟動伺服器。

本頁內容