Configurazione di SSL per l'Application Server WebSphere configuring-ssl-for-websphere-application-server
In questa sezione sono descritti i passaggi seguenti per configurare SSL con l'Application Server IBM WebSphere.
Creazione di un account utente locale in WebSphere creating-a-local-user-account-on-websphere
Per abilitare SSL, WebSphere deve accedere a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:
- (Windows) Creare un utente di Windows che faccia parte del gruppo Administrators e che disponga dei privilegi necessari per operare come parte del sistema operativo. (Vedi Creare un utente Windows per WebSphere.)
- (Linux, UNIX) L'utente può essere un utente root o un altro utente con privilegi root. Quando si abilita SSL su WebSphere, utilizzare l'identificazione del server e la password dell'utente.
Creare un utente Linux o UNIX per WebSphere create-a-linux-or-unix-user-for-websphere
-
Accedi come utente principale.
-
Crea un utente immettendo il comando seguente in un prompt dei comandi:
- (Linux e Sun Solaris)
useradd
- (IBM AIX)
mkuser
- (Linux e Sun Solaris)
-
Impostare il password del nuovo utente immettendo
passwd
il prompt dei comandi. -
(Linux e Solaris) Crea un file shadow password immettendo
pwconv
(senza parametri) nel prompt dei comandi.note note NOTE (Linux e Solaris) Affinché il registro di sicurezza del sistema operativo locale di WebSphere Application Server funzioni, è necessario che esista un file shadow password. Il file shadow password è solitamente denominato /etc/shadow ed è basato sul file /etc/passwd. Se il file shadow password non esiste, si verifica un errore dopo l'abilitazione della protezione globale e la configurazione del registro di utente come sistema operativo locale. -
Aprire il file di gruppo dalla directory /etc in un editor di testo.
-
Aggiungi al
root
gruppo il utente creato nel passaggio 2. -
Salva e chiudi il file.
-
(UNIX con SSL abilitato) Avviare e arrestare WebSphere come utente root.
Creare un utente Windows per WebSphere create-a-windows-user-for-websphere
- Accedere a Windows utilizzando un account utente amministratore.
- Selezionare Start > Pannello di controllo Campaign > Strumenti di amministrazione > Gestione computer > Utenti e gruppi locali.
- Fare clic con il pulsante destro del mouse su Utenti e selezionare Nuovo utente.
- Digitare un nome utente e una password nelle caselle corrispondenti e digitare tutte le altre informazioni necessarie nelle caselle rimanenti.
- Deseleziona L'utente deve modificare la password al prossimo accesso, fai clic su Crea, quindi fai clic su Chiudi.
- Fai clic su Utenti, fai clic con il pulsante destro del mouse sull'utente creato e seleziona Proprietà.
- Fare clic sulla scheda Membro di e quindi su Aggiungi.
- Nella casella Immettere i nomi degli oggetti da selezionare digitare
Administrators
e fare clic su Controlla nomi per verificare che il nome del gruppo sia corretto. - Fare clic su OK e quindi di nuovo su OK.
- Selezionare Start > Pannello di controllo Campaign > Strumenti di amministrazione > Criteri di protezione locali > Criteri locali.
- Fare clic su Assegnazione diritti utente, quindi fare clic con il pulsante destro del mouse su Agisci come parte del sistema operativo e selezionare Proprietà.
- Fare clic su Aggiungi utente o gruppo.
- Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome dell'utente creato al passaggio 4, fare clic su Controlla nomi per verificare che il nome sia corretto e quindi fare clic su OK.
- Fare clic su OK per chiudere la finestra di dialogo Agisci come parte delle proprietà del sistema operativo.
Configurare WebSphere per l'utilizzo dell'utente appena creato come amministratore configure-websphere-to-use-the-newly-created-user-as-administrator
-
Verificare che WebSphere sia in esecuzione.
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
-
In Protezione amministrativa, selezionare Ruoli utente amministrativi.
-
Fai clic su Aggiungi ed effettua le seguenti operazioni:
- Digitare * nella casella di ricerca e fare clic su Cerca.
- Fare clic su Amministratore in Ruoli.
- Aggiungi l’utente appena creato al ruolo Mappato a e mappalo ad Amministratore.
-
Fai clic su OK e salva le modifiche.
-
Riavviare il profilo WebSphere.
Abilita sicurezza amministrativa enable-administrative-security
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
-
Fare clic su Configurazione guidata protezione.
-
Verificare che la casella di controllo Abilita sicurezza applicazione sia abilitata. Fai clic su Avanti.
-
Seleziona Archivi federati e fai clic su Avanti.
-
Specificare le credenziali da impostare e fare clic su Avanti.
-
Fare clic su Fine.
-
Riavviare il profilo WebSphere.
WebSphere inizia a utilizzare il keystore e il truststore predefiniti.
Abilita SSL (chiave personalizzata e truststore) enable-ssl-custom-key-and-truststore
I TrustStore e i keystore possono essere creati utilizzando l'utilità ikeyman o Admin Console. Per il corretto funzionamento di ikeyman, verificare che il percorso di installazione di WebSphere non contenga parentesi.
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Certificato SSL e gestione chiavi.
-
Fare clic su Registri chiavi e certificati in Elementi correlati.
-
Nel menu a discesa Utilizzi archivio chiavi, accertati che sia selezionato Archivio chiavi SSL. Fare clic su Nuovo.
-
Digitare un nome logico e una descrizione.
-
Specifica il percorso in cui desideri creare il keystore. Se avete già creato un keystore tramite ikeyman, specificate il percorso del file keystore.
-
Specifica e conferma la password.
-
Scegliere il tipo di keystore e fare clic su Applica.
-
Salva la configurazione principale.
-
Fare clic su Certificato personale.
-
Se hai già aggiunto un keystore utilizzando ikeyman, verrà visualizzato il certificato. In caso contrario, devi aggiungere un nuovo certificato autofirmato eseguendo i seguenti passaggi:
- Selezionare Crea > Certificato autofirmato.
- Specificare i valori appropriati nel modulo del certificato. Assicurarsi di mantenere Alias e nome comune come nome di dominio completo della macchina.
- Fai clic su Applica.
-
Ripeti i passaggi da 2 a 10 per creare un truststore.
Applica keystore personalizzato e truststore al server apply-custom-keystore-and-truststore-to-the-server
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > gestione dei certificati SSL e delle chiavi.
-
Fare clic su Gestisci configurazione sicurezza endpoint. Viene visualizzata la mappa della topologia locale.
-
In In entrata selezionare figlio diretto dei nodi.
-
In Elementi correlati, selezionare Configurazioni SSL.
-
Selezionare NodeDeafultSSLSetting.
-
Dall'elenco a discesa nome truststore e nome keystore, selezionare il truststore personalizzato e il keystore creato.
-
Fai clic su Applica.
-
Salva la configurazione principale.
-
Riavviare il profilo WebSphere.
Il profilo ora viene eseguito con impostazioni SSL personalizzate e il certificato.
Abilitazione del supporto per i moduli AEM nativi enabling-support-for-aem-forms-natives
- Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
- Nella sezione Autenticazione espandere Protezione RMI/IIOP e fare clic su Comunicazioni in entrata CSIv2.
- Verificare che SSL-supported sia selezionato nell'elenco a discesa Trasporto.
- Riavviare il profilo WebSphere.
Configurazione di WebSphere per la conversione degli URL che iniziano con https configuring-websphere-to-convert-urls-that-begins-with-https
Per convertire un URL che inizia con https, aggiungere un certificato Firmatario per tale URL al server WebSphere.
Creare un certificato firmatario per un sito abilitato per https
-
Verificare che WebSphere sia in esecuzione.
-
In WebSphere Administrative Console passare a Certificati firmatario e quindi fare clic su Protezione > Certificato SSL e gestione chiavi > Archivi chiavi e certificati > NodeDefaultTrustStore > Certificati firmatari.
-
Fare clic su Recupera dalla porta ed eseguire le operazioni seguenti:
- Nella casella Host digitare l'URL. Digitare ad esempio
www.paypal.com
. - Nella casella Porta digitare
443
. Questa porta è la porta SSL predefinita. - Nella casella Alias digitare un alias.
- Nella casella Host digitare l'URL. Digitare ad esempio
-
Fare clic su Recupera informazioni firmatario, quindi verificare che le informazioni vengano recuperate.
-
Fare clic su Applica e quindi su Salva.
La conversione da HTML a PDF dal sito di cui è stato aggiunto il certificato ora funziona dal servizio Genera PDF.
Configurazione delle porte dinamiche configuring-dynamic-ports
IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per maggiori informazioni sulla restrizione permanente, consulta https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Per impostare la porta come dinamica e risolvere il problema, effettuare le seguenti operazioni:
-
Nella console di amministrazione di WebSphere, selezionare Server > Tipi di server > Server applicazioni WebSphere.
-
Nella sezione Preferenze, seleziona il server.
-
Nella scheda Configurazione, nella sezione Comunicazioni, espandi Porte e fai clic su Dettagli.
-
Fare clic sui seguenti nomi di porta, modificare numero di porta in 0 e fare clic su OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Configurare il file sling.properties configure-the-sling-properties-file
-
Apri il file
[aem-forms_root]
\crx-repository\launchpad\sling.properties per la modifica. -
Individua la proprietà
sling.bootdelegation.ibm
e aggiungicom.ibm.websphere.ssl.*
al relativo campo del valore. Il campo aggiornato è simile al seguente:code language-shell sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
-
Salvare il file e riavviare il server.