In diesem Abschnitt werden die folgenden Schritte zum Konfigurieren von SSL für IBM WebSphere Application Server beschrieben.
Lokales Benutzerkonto unter WebSphere erstellen
Zum Aktivieren von SSL muss WebSphere in der Benutzerregistrierung des lokalen Betriebssystems Zugriff auf ein Benutzerkonto mit Administratorrechten haben:
-
(Windows) Erstellen Sie einen neuen Benutzer in Administratorgruppe, der berechtigt ist, als Teil des Betriebssystems zu agieren. (Siehe
Windows-Benutzer für WebSphere erstellen
.)
-
(Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.
Linux- oder UNIX-Benutzer für WebSphere erstellen
-
Melden Sie sich als Root-Benutzer an.
-
Erstellen Sie einen Benutzer, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:
-
Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung
passwd
eingeben.
-
(Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung
pwconv
(ohne Parameter) eingeben.
Hinweis:
(Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen
/etc/shadow
und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.
-
Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.
-
Fügen Sie der Gruppe
root
den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.
-
Speichern und schließen Sie die Datei.
-
(UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.
Windows-Benutzer für WebSphere erstellen
-
Melden Sie sich über ein Administrator-Benutzerkonto bei Windows an.
-
Wählen Sie
Start > Systemsteuerung > Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen
aus.
-
Klicken Sie mit der rechten Maustaste auf Benutzer und wählen Sie
Neuer Benutzer
aus.
-
Geben Sie in die entsprechenden Felder einen Benutzernamen und ein Kennwort ein und geben Sie weitere wichtige Informationen in die übrigen Felder ein.
-
Deaktivieren Sie die Option
Benutzer muss Kennwort bei der nächsten Anmeldung ändern
, klicken Sie auf
Erstellen
und dann auf
Schließen
.
-
Klicken Sie auf
Benutzer
, klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie gerade erstellt haben, und wählen Sie dann
Eigenschaften
aus.
-
Klicken Sie auf die Registerkarte
Mitgliedschaft
und dann auf
Hinzufügen
.
-
Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen
Administrators
. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.
-
Klicken Sie auf
OK
und dann erneut auf
OK
.
-
Wählen Sie
Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie > Lokale Richtlinien
.
-
Klicken Sie auf „Zuweisen von Benutzerrechten“ und anschließend mit der rechten Maustaste auf „Einsetzen als Teil des Betriebssystems“. Wählen Sie dann „Eigenschaften“.
-
Klicken Sie auf
Benutzer oder Gruppe hinzufügen
.
-
Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen des von Ihnen in Schritt 4 erstellten Benutzers ein und klicken Sie auf
Namen überprüfen
, um sicherzustellen, dass der Name richtig ist. Klicken Sie dann auf
OK
.
-
Klicken Sie auf
OK
, um das Dialogfeld „Eigenschaften von Einsetzen als Teil des Betriebssystems“ zu schließen.
Konfigurieren Sie WebSphere, um den neu erstellten Benutzer als Administrator festzulegen.
-
Vergewissern Sie sich, dass WebSphere ausgeführt wird.
-
Wählen Sie in der WebSphere Administrative Console
Security > Global Security
.
-
Wählen Sie unter „Administrative security“
Administrative user roles
.
-
Klicken Sie auf „Add“ und führen Sie folgende Schritte aus:
-
Geben Sie im Suchfeld
*
ein und klicken Sie auf „Search“.
-
Klicken Sie unter „Roles“ auf
Administrator
.
-
Fügen Sie den neu erstellten Benutzer zu „Mapped to role“ hinzu und ordnen Sie ihn zu „Administrator“ zu.
-
Klicken Sie auf
OK
und speichern Sie die Änderungen.
-
Starten Sie das WebSphere-Profil erneut.
Administrative Sicherheit aktivieren
-
Wählen Sie in der WebSphere Administrative Console
Security > Global Security
.
-
Klicken Sie auf
Security Configuration Wizard
.
-
Stellen Sie sicher, dass das Kontrollkästchen
Enable Application Security
aktiviert ist. Klicken Sie auf
Weiter
.
-
Wählen Sie
Federated Repositories
und klicken Sie auf
Next
.
-
Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf
Next
.
-
Klicken Sie auf
Finish
.
-
Starten Sie das WebSphere-Profil erneut.
WebSphere startet unter Verwendung des standardmäßigen Keystore und Truststore.
Aktivieren Sie SSL (Custom Key und Truststore)
Truststores und Keystores können mithilfe ides Dienstprogramms „ikeyman“ oder über die Admin Console erstellt werden. Vergewissern Sie sich, dass der WebSphere-Installationspfad keine Klammern enthält, damit „ikeyman“ ordnungsgemäß funtkioniert.
-
Wählen Sie in der WebSphere Administrative Console
Security > SSL certificate and key management
.
-
Klicken Sie unter „Related items“ auf
Keystores and certificates
.
-
Vergewissern Sie sich, dass in der Dropdown-Liste
Key store usages
SSL Keystores
ausgewählt ist. Klicken Sie auf
New
.
-
Geben Sie einen logischen Namen und eine Beschreibung ein.
-
Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits ein Keystore mit „ikeyman“ erstellt haben, geben Sie den Pfad zur Keystore-Datei an.
-
Geben Sie ein Kennwort an und bestätigen Sie es.
-
Wählen Sie den Keystore-Typ aus und klicken Sie auf
Apply
-
Speichern Sie die Master-Konfiguration.
-
Klicken Sie auf
Personal Certificate
.
-
Wenn Sie bereits einen mithilfe von „ikeyman“ erstellten Keystore hinzugefügt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbst-unterzeichnetes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:
-
Wählen Sie
Create > Self-signed Certificate
.
-
Geben Sie entsprechende Werte im Zertifikatsformular an. Behalten Sie den Alias und den allgemeinen Namen als vollständig qualifizierten Domänennamen des Computers bei.
-
Klicken Sie auf
Anwenden
.
-
Wiederholen Sie die Schritte 2 bis 10 zum Erstellen eines Truststore.
Verwenden benutzerdefinierter Keystore und Truststore auf dem Server
-
Wählen Sie in der WebSphere Administrative Console
Security > SSL certificate and key management
.
-
Klicken Sie auf
Manage endpoint security configuration
. Die lokale Topologiezuordnung wird geöffnet.
-
Wählen Sie unter „Inbound“ das direkt untergeordnete Element der Knoten.
-
Wählen Sie unter „Related items“
SSL configurations
.
-
Wählen Sie
NodeDeafultSSLSetting
.
-
Wählen Sie aus den Dropdown-Listen „Truststore Name“ und „Keystore Name“ die benutzerdefinierten Truststore und Keystore aus, die Sie erstellt haben.
-
Klicken Sie auf
Anwenden
.
-
Speichern Sie die Master-Konfiguration.
-
Starten Sie das WebSphere-Profil erneut.
Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.
Aktivieren der Unterstützung für native AEM Forms-Anwendungen
-
Wählen Sie in der WebSphere Administrative Console
Security > Global Security
.
-
Erweitern Sie im Abschnitt „Authentication“
RMI/IIOP Security
und klicken Sie auf
CSIv2 Inbound Communications
.
-
Vergewissern Sie sich, dass
SSL-supported
in der Dropdown-Liste „Transport“ ausgewählt ist.
-
Starten Sie das WebSphere-Profil erneut.
WebSphere für die Konvertierung von mit HTTPS beginnenden URLs konfigurieren
Um mit HTTPS beginnende URLs zu konvertieren, fügen Sie ein Signiererzertifikat für die URL zum WebSphere-Server hinzu.
Signiererzertifikat für eine HTTPS-Site erstellen
-
Vergewissern Sie sich, dass WebSphere ausgeführt wird.
-
Wechseln Sie in der WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie auf „Security“ > „SSL Certificate and Key Management“ > „Key Stores and Certificates“ > „NodeDefaultTrustStore“ > „Signer certificates“.
-
Klicken Sie auf „Retrieve from port“ und führen Sie die folgenden Aufgaben aus:
-
Geben Sie in das Feld „Host“ die URL ein. Beispiel
www.paypal.com
.
-
Geben Sie in das Feld „Port“ den Wert
443
ein. Dieser Anschluss ist der SSL-Standardanschluss.
-
Geben Sie in das Feld „Alias“ einen Alias ein.
-
Klicken Sie auf „Retrieve Signer Information“ und prüfen Sie, ob die Informationen abgerufen werden.
-
Klicken Sie auf „Apply“ und dann auf „Save“.
Die Konvertierung von HTML in PDF von der Site, deren Zertifikat hinzugefügt wurde, erfolgt nun über den Generate PDF-Dienst.
Hinweis:
Es ist ein Signiererzertifikat erforderlich, damit eine Anwendung von WebSphere aus eine Verbindung zu SSL-Sites herstellen kann. Dieses wird von Java Secure Socket Extensions (JSSE) dazu verwendet, die Zertifikate zu prüfen, die die Remote-Seite der Verbindung bei einem SSL-Handshake sendet.
|
|
|