Documentatie AEM 6.4 Gids voor formulieren

SSL configureren voor WebSphere-toepassingsserver

4 mei 2023

Gemaakt voor:

User

CAUTION

AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

Deze sectie bevat de volgende stappen om SSL te configureren met uw IBM WebSphere Application Server.

Een lokale gebruikersaccount maken op WebSphere

Voor het toelaten van SSL, moet WebSphere toegang tot een gebruikersrekening in het lokale OS gebruikersregister hebben dat toestemming heeft om het systeem te beheren:

(Vensters) creeer een nieuwe gebruiker van Vensters die deel van de groep van Beheerders uitmaakt en het voorrecht heeft om als deel van het werkende systeem te handelen. (Zie Een Windows-gebruiker voor WebSphere maken.)
(Linux, UNIX) De gebruiker kan een wortelgebruiker of een andere gebruiker zijn die wortelvoorrechten heeft. Wanneer u SSL op WebSphere inschakelt, gebruikt u de serveridentificatie en het wachtwoord van deze gebruiker.

Een Linux- of UNIX-gebruiker voor WebSphere maken

Meld u aan als hoofdgebruiker.
Creeer een gebruiker door het volgende bevel in een bevelherinnering in te gaan:
- (Linux en Sun Solaris) useradd
- (IBM AIX) mkuser
Stel het wachtwoord van de nieuwe gebruiker in door deze in te voeren passwd in de bevelherinnering.
(Linux en Solaris) Maak een bestand met een schaduwwachtwoord door dit in te voeren pwconv (zonder parameters) in de bevelherinnering.

NOTE
(Linux en Solaris) Om het lokale OS-beveiligingsregister van WebSphere Application Server te laten werken, moet er een bestand met een schaduwwachtwoord bestaan. Het bestand met schaduwwachtwoorden krijgt meestal de naam /etc/shadow* en is gebaseerd op het bestand /etc/password. Als het bestand met het schaduwwachtwoord niet bestaat, treedt er een fout op nadat de algemene beveiliging is ingeschakeld en het gebruikersregister is ingesteld als Lokaal besturingssysteem.*
Open het groepsbestand uit de map /etc in een teksteditor.
Voeg de gebruiker die u in stap 2 hebt gemaakt toe aan de root groep.
Sla het bestand op en sluit het.
(UNIX met toegelaten SSL) Start en stop WebSphere als wortelgebruiker.

Een Windows-gebruiker voor WebSphere maken

Meld u aan bij Windows met een beheerdersgebruikersaccount.
Selecteren Start > Configuratiescherm > Systeembeheer > Computerbeheer > Lokale gebruikers en groepen.
Klik met de rechtermuisknop op Gebruikers en selecteer Nieuwe gebruiker.
Typ een gebruikersnaam en wachtwoord in de desbetreffende vakken en typ alle overige gegevens die u nodig hebt in de overige vakken.
Deselecteren Gebruiker moet wachtwoord wijzigen bij volgende aanmelding, klikt u op Maken en klik vervolgens op Sluiten.
Klikken Gebruikers, klikt u met de rechtermuisknop op de gebruiker die u net hebt gemaakt en selecteert u Eigenschappen.
Klik op de knop Lid van en klik vervolgens op Toevoegen.
Typ in het vak Geef de objectnamen op die u wilt selecteren Administratorsklikt u op Namen controleren om te controleren of de groepsnaam correct is.
Klikken OK en klik vervolgens op OK opnieuw.
Selecteren Start > Configuratiescherm > Systeembeheer > Lokaal beveiligingsbeleid > Lokaal beleid.
Klik op Toewijzing gebruikersrechten en klik vervolgens met de rechtermuisknop op Handelen als onderdeel van het besturingssysteem en selecteer Eigenschappen.
Klikken Gebruiker of groep toevoegen.
Typ in het vak Voer de objectnamen in die u wilt selecteren de naam van de gebruiker die u in stap 4 hebt gemaakt, en klik op Namen controleren om ervoor te zorgen dat de naam correct is, en klik dan OK.
Klikken OK om de handeling te sluiten als onderdeel van het dialoogvenster Eigenschappen van besturingssysteem.

WebSphere configureren om de nieuwe gebruiker als beheerder te gebruiken

Zorg ervoor dat WebSphere wordt uitgevoerd.
Selecteer in de beheerconsole van WebSphere de optie Beveiliging > Algemene beveiliging.
Selecteer onder Administratieve beveiliging Administratieve gebruikersrollen.
Klik op Toevoegen en voer de volgende handelingen uit:
1. Type &asteren; in het zoekvak en klik op Zoeken.
2. Klikken Beheerder onder rollen.
3. Voeg de pas gecreëerde gebruiker aan Toegewezen aan rol toe en wijs het aan Beheerder toe.
Klikken OK en sla uw wijzigingen op.
Start het WebSphere-profiel opnieuw.

Beheersbeveiliging inschakelen

Selecteer in de beheerconsole van WebSphere de optie Beveiliging > Algemene beveiliging.
Klikken Wizard Beveiligingsconfiguratie.
Zorgen Toepassingsbeveiliging inschakelen selectievakje is ingeschakeld. Klik op Next.
Selecteren Federale opslagplaatsen en klik op Volgende.
Geef de referenties op die u wilt instellen en klik op Volgende.
Klikken Voltooien.
Start het WebSphere-profiel opnieuw.

WebSphere gebruikt het standaardsleutelarchief en het vertrouwde archief.

SSL inschakelen (aangepaste sleutel en vertrouwde opslag)

U kunt sleutelarchieven en sleutelarchieven maken met het hulpprogramma ikeyman of de beheerconsole. Om het werk van de wijzerplaat behoorlijk te maken, zorg ervoor dat de WebSphere installatiepad geen haakjes bevat.

Selecteer in de beheerconsole van WebSphere de optie Beveiliging > SSL-certificaat en sleutelbeheer.
Klikken sleutelarchieven en certificaten onder Verwante objecten.
In de Belangrijke winkeltoepassingen vervolgkeuzelijst, zorg ervoor dat SSL-sleutelarchieven is geselecteerd. Klikken Nieuw.
Typ een logische naam en beschrijving.
Geef het pad op naar het sleutelarchief. Als u al een sleutelarchief hebt gemaakt via ikeyman, geeft u het pad naar het sleutelarchiefbestand op.
Geef het wachtwoord op en bevestig het.
Kies het sleutelarchieftype en klik Toepassen.
Sla de master configuratie op.
Klikken Persoonlijk certificaat.
Als u al een sleutelarchief hebt gemaakt met ikeyman, wordt het certificaat weergegeven. Anders moet u een nieuw zelfondertekend certificaat toevoegen door de volgende stappen uit te voeren:
1. Selecteren Maken > Zelfondertekend certificaat.
2. Geef de gewenste waarden op in het certificaatformulier. Zorg ervoor dat u Alias en gemeenschappelijke naam als volledig-gekwalificeerde domeinnaam van de machine houdt.
3. Klikken Toepassen.
Herhaal stap 2 tot en met 10 voor het maken van een vertrouwde opslag.

Aangepast sleutelarchief en vertrouwde opslag toepassen op de server

Selecteer in de beheerconsole van WebSphere de optie Beveiliging > SSL-certificaat en sleutelbeheer.
Klikken De configuratie van de eindpuntbeveiliging beheren. De lokale topologiekaart opent.
Onder Binnenkomend, uitgezochte directe kind van knopen.
Selecteer onder Verwante objecten de optie SSL-configuraties.
Selecteren NodeDeafultSSLSetting.
Selecteer in de vervolgkeuzelijsten Naam van vertrouwde opslag en Naam van sleutelarchief de aangepaste truststore en sleutelarchief die u hebt gemaakt.
Klikken Toepassen.
Sla de master configuratie op.
Start het WebSphere-profiel opnieuw.

Uw profiel wordt nu uitgevoerd op aangepaste SSL-instellingen en uw certificaat.

Ondersteuning mogelijk maken voor AEM

Selecteer in de beheerconsole van WebSphere de optie Beveiliging > Algemene beveiliging.
Vouw in de sectie Verificatie de optie RMI/IOOP-beveiliging en klik op CSIv2 binnenkomende mededelingen.
Zorg ervoor dat Door SSL ondersteund wordt geselecteerd in de drop-down lijst van het Vervoer.
Start het WebSphere-profiel opnieuw.

WebSphere configureren voor het converteren van URL's die beginnen met https

Als u een URL wilt converteren die begint met https, voegt u een handtekeningcertificaat voor die URL toe aan de WebSphere-server.

Een handtekeningcertificaat maken voor een https-site

Zorg ervoor dat WebSphere wordt uitgevoerd.
Navigeer in de beheerconsole van WebSphere naar ondertekenaarcertificaten en klik vervolgens op Beveiliging > SSL-certificaat en sleutelbeheer > Belangrijke opslagruimten en certificaten > NodeDefaultTrustStore > Ondertekenaarcertificaten.
Klik op Ophalen van poort en voer de volgende taken uit:
- Typ de URL in het vak Host. Typ bijvoorbeeld www.paypal.com.
- Typ in het vak Poort 443. Deze poort is de standaard-SSL-poort.
- Typ een alias in het vak Alias.
Klik op Informatie van ondertekenaar ophalen en controleer vervolgens of de informatie is opgehaald.
Klik op Toepassen en vervolgens op Opslaan.

De conversie van HTML naar PDF vanaf de site waarvan het certificaat is toegevoegd, werkt nu vanaf de service PDF genereren.

NOTE

Een ondertekenaarscertificaat is vereist om een toepassing vanuit WebSphere verbinding te laten maken met SSL-sites. Deze wordt gebruikt door JSSE (Java Secure Socket Extensions) voor het valideren van certificaten die door de externe zijde van de verbinding worden verzonden tijdens een SSL-handshake.

Dynamische poorten configureren

IBM WebSphere staat geen veelvoudige vraag aan ORB.init () toe wanneer de Globale Veiligheid wordt toegelaten. U kunt de permanente beperking lezen op https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Voer de volgende stappen uit om de poort dynamisch te maken en het probleem op te lossen:

Selecteer in de beheerconsole van WebSphere de optie Servers > Servertypen > WebSphere-toepassingsserver.
Selecteer de server in de sectie Voorkeuren.
In de Configuratie tab, onder Communicatie sectie, uitvouwen Poorten en klik op Details.
Klik op de volgende poortnamen en wijzig de poortnummer tot 0, en klik OK.
- ORB_LISTENER_ADDRESS
- SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
- CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
- CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Het bestand sling.properties configureren

Openen [aem-forms_root]\crx-repository\launchpad\sling.properties.
Zoek de sling.bootdelegation.ibm eigenschap en toevoegen com.ibm.websphere.ssl.*naar het waardeveld. Het bijgewerkte veld ziet er als volgt uit:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Sla het bestand op en start de server opnieuw.

recommendation-more-help