SSL für WebSphere Application Server konfigurieren

In diesem Abschnitt werden die folgenden Schritte zum Konfigurieren von SSL für IBM WebSphere Application Server beschrieben.

    Lokales Benutzerkonto unter WebSphere erstellen

    Zum Aktivieren von SSL muss WebSphere in der Benutzerregistrierung des lokalen Betriebssystems Zugriff auf ein Benutzerkonto mit Administratorrechten haben:

    • (Windows) Erstellen Sie einen neuen Benutzer in Administratorgruppe, der berechtigt ist, als Teil des Betriebssystems zu agieren. (Siehe Windows-Benutzer für WebSphere erstellen.)

    • (Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.

    Linux- oder UNIX-Benutzer für WebSphere erstellen

    1. Melden Sie sich als Root-Benutzer an.

    2. Erstellen Sie einen Benutzer, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

      • (Linux und Sun Solaris) useradd

      • (IBM AIX) mkuser

    3. Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd eingeben.

    4. (Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv (ohne Parameter) eingeben.

      Hinweis: (Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen /etc/shadow und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.

    5. Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.

    6. Fügen Sie der Gruppe root den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.

    7. Speichern und schließen Sie die Datei.

    8. (UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.

    Windows-Benutzer für WebSphere erstellen

    1. Melden Sie sich über ein Administrator-Benutzerkonto bei Windows an.

    2. Wählen Sie „Start“ > „Systemsteuerung“ > „Verwaltung“ > „Computerverwaltung“ > „Lokale Benutzer und Gruppen“ aus.

    3. Klicken Sie mit der rechten Maustaste auf „Benutzer“ und wählen Sie „Neuer Benutzer“.

    4. Geben Sie in die entsprechenden Felder einen Benutzernamen und ein Kennwort ein und geben Sie weitere wichtige Informationen in die übrigen Felder ein.

    5. Deaktivieren Sie die Option „Benutzer muss Kennwort bei der nächsten Anmeldung ändern“, klicken Sie auf „Erstellen“ und dann auf „Schließen“.

    6. Klicken Sie auf „Benutzer“, klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie gerade erstellt haben, und wählen Sie dann „Eigenschaften“ aus.

    7. Klicken Sie auf die Registerkarte „Mitgliedschaft“ und dann auf „Hinzufügen“.

    8. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen Administrators. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.

    9. Klicken Sie auf „OK“ und dann erneut auf „OK“.

    10. Wählen Sie „Start“ > „Systemsteuerung“ > „Verwaltung“ > „Lokale Sicherheitsrichtlinie“ > „Lokale Richtlinien“.

    11. Klicken Sie auf „Zuweisen von Benutzerrechten“ und anschließend mit der rechten Maustaste auf „Einsetzen als Teil des Betriebssystems“. Wählen Sie dann „Eigenschaften“.

    12. Klicken Sie auf „Benutzer“ oder auf „Gruppe hinzufügen“.

    13. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen des von Ihnen in Schritt 4 erstellten Benutzers ein und klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Name richtig ist. Klicken Sie dann auf „OK“.

    14. Klicken Sie auf „OK“, um das Dialogfeld „Eigenschaften von Einsetzen als Teil des Betriebssystems“ zu schließen.

    SSL-Berechtigung erstellen

    Zum Konfigurieren von SSL unter WebSphere benötigen Sie zur Authentifizierung eine SSL-Berechtigung. Sie können diese Berechtigung anhand der folgenden Arbeitsschritte mit dem IBM Key Management Tool erstellen, das mit WebSphere installiert wird.

    • Erstellen Sie eine Keystore-Datei und legen Sie darin ein neues selbst signiertes Zertifikat sowie den zugehörigen privaten Schlüssel ab.

    • Exportieren Sie das Zertifikat und fügen Sie es dann dem Keystore hinzu, der auch das Signierer-Zertifikat enthält. Derselbe Keystore wird in der SSL-Konfiguration von WebSphere als Schlüsseldatei und als Trust-Datei verwendet.

    SSL-Berechtigung erstellen

    1. Führen Sie das IBM Key Management Tool aus, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

      • (Windows) [Anwendungsserver-Stammordner]\bin\ikeyman.bat

      • (Linux, UNIX) [Anwendungsserver-Stammordner]/bin/ikeyman.sh

    2. Wählen Sie auf der Menüleiste „Key Database File“ > „New“ aus und wählen Sie in „Key Database Type“ den Eintrag „JKS“.

    3. Klicken Sie auf „Browse“ und wechseln Sie zum Ordner „[Anwendungsserver-Stammordner]/etc“.

    4. Geben Sie in das Feld „File Name“ die Bezeichnung ads-credentials.jks ein, klicken Sie auf „Save“ und dann auf „OK“.

    5. Geben Sie im Bildschirm „Password Prompt“ ein Kennwort ein und bestätigen Sie es durch erneute Eingabe im Feld „Confirm Password“. Dieses Kennwort muss mit dem SSL-Berechtigungskennwort für die SSL-Eigenschaft übereinstimmen, das in Administration Console unter „Trust Store-Verwaltung“ festgelegt wird.

    6. Klicken Sie auf „OK“.

    7. Klicken Sie auf der Menüleiste auf „Create“ und dann auf „New Self Signed Certificate“. Daraufhin wird das Fenster „Create New Self-Signed Certificate“ angezeigt.

    8. Geben Sie in das Feld „Key Label“ den Text ads-credentials ein und geben Sie Werte für „Organization“, „Organization Unit“, „Country or Region“ und „Validity Period“ an.

    9. Bearbeiten Sie den Wert „Common Name“ so, dass dieser der voll qualifizierte Domänenname des LiveCycle-Servers ist, und klicken Sie dann auf „OK“.

    10. Wählen Sie in der Liste das Zertifikat „ads-credentials“ aus und klicken Sie auf „Extract Certificate“.

    11. Wählen Sie unter „Data type“ den Eintrag „Base64-encoded ASCII data“ aus, geben Sie unter „Certificate File Name“ den Dateinamen ads-cert.arm ein, geben Sie unter „Location“ [Anwendungsserver-Stammordner]/etc ein und klicken Sie dann auf „OK“.

    12. Wählen Sie im Menü im Bereich „Key Database Content“ den Eintrag „Signer Certificates“ aus und klicken Sie auf „Add“.

    13. Klicken Sie im Feld „Certificate File Name“ auf „Browse“, wählen Sie die in Schritt 11 erstellte Datei „ads-cert.arm“, klicken Sie auf „Open“ und dann auf „OK“.

    14. Geben Sie im Dialogfeld „Enter a Label“ die Bezeichnung ads-credentials-cert ein und klicken Sie auf „OK“.

    15. Wählen Sie „Key Database File“ > „Exit“.

    WebSphere zur Verwendung der Local OS-Registrierung anstelle von LDAP konfigurieren

    Wenn Sie nicht LDAP einsetzen, konfigurieren Sie WebSphere so, dass die Local OS-Registrierung verwendet wird.

    1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

    2. Wechseln Sie in WebSphere Administrative Console zu „Local OS“.

    3. Klicken Sie in der Navigationsstruktur auf „Security“ > „Global Security“ und wählen Sie unter „User Registries“ die Option „Local OS“ aus.

    4. Führen Sie die folgenden Aufgaben durch:

      • Geben Sie in das Feld „Server User ID“ den Namen des Benutzerkontos ein, das Sie anhand der Anleitungen unter Lokales Benutzerkonto unter WebSphere erstellen erstellt haben.

      • Geben Sie in das Feld „Server User Password“ das Benutzerkennwort für den Benutzer ein, der unter „Server User ID“ eingegeben wurde.

    5. Klicken Sie auf „OK“ und speichern Sie die Änderungen.

    SSL unter WebSphere aktivieren

    1. Navigieren Sie in WebSphere Administrative Console zur LTPA, klicken Sie auf „Security“ > „Secure administration, applications and infrastructure“ und klicken Sie unter „Authentication“ auf den Eintrag „Authentication Mechanisms and Expiration“.

    2. Führen Sie die folgenden Aufgaben durch:

      • Geben Sie in das Feld „Password“ das Kennwort ein, das Sie beim Erstellen der Datei „ads-credential.jks“ angegeben haben (siehe SSL-Berechtigung erstellen.

      • Bestätigen Sie das Kennwort durch Eingabe im Feld „Confirm Password“.

      • Geben Sie in das Feld „Timeout value for forwarded credentials between servers“ den Wert 10 ein. Zehn ist die Zeit (in Minuten), nach der das LTPA-Token abläuft. Diese Zeit muss größer sein als diejenige, die unter WebSphere Security für die Eigenschaft „Cache Timeout“ (Cache-Zeitlimit der Anwendung) angegeben wurde.

    3. Klicken Sie auf „OK“.

    4. Klicken Sie in der Navigationsstruktur auf „Security“ > „Secure Administration, Applications, and Infrastructure“.

    5. Führen Sie die folgenden Aufgaben durch:

      • Wählen Sie „Enable administrative security“ aus.

      • Deaktivieren Sie „Use Java 2 security to restrict application access to local resources, Use domain-qualified user names“.

      • Wählen Sie in der Liste „Active User Registries“ die verwendete Benutzerregistrierung aus.

    6. Klicken Sie auf „OK“. Wenn Sie aufgefordert werden, Local OS-Anmeldeinformationen für das lokale Betriebssystem einzugeben, geben Sie dieselben Angaben ein, die Sie in Schritt 2 dieses Verfahrens angegeben haben.

    7. Wählen Sie in der Navigationsstruktur den Befehl „Security“ > „SSL Certificate and Key Management“ aus.

    8. Klicken Sie unter „Key stores and certificates“ auf „New“ und nehmen Sie die folgenden Einstellungen vor:

      • Geben Sie in das Feld „Name“ die Bezeichnung AdsSSL ein.

      • Geben Sie in das Feld „Path“ den Eintrag „[Anwendungsserver-Stammordner]/etc/ads-credentials.jks“ ein.

      • Geben Sie in das Feld „Password“ das Kennwort ein, das Sie bei der Erstellung der Datei „ads-credentials.jks“ verwendet haben.

      • Geben Sie in das Feld „Confirm Password“ das Kennwort ein, das Sie bei der Erstellung der Datei „ads-credentials.jks“ verwendet haben.

      • Wählen Sie in der Liste „Type“ den Eintrag „JKS“ aus.

    9. Klicken Sie auf „OK“ und speichern Sie die Konfiguration.

    10. Klicken Sie unter SSL-Konfiguration auf „Neu“, und nehmen Sie die folgenden Einstellungen vor:

      • Geben Sie in das Feld „Name“ die Bezeichnung AdsSSL ein.

      • Wählen Sie in der Liste „Trust Store Name“ die Einstellung „AdsSSL“ aus.

      • Wählen Sie in der Liste „Keystore Name“ den Eintrag „AdsSSL“ und klicken Sie auf „Get certificate aliases“.

      • Wählen Sie in der Liste „Default Server Certificate Alias“ den Eintrag „ads-credentials“.

      • Wählen Sie in der Liste „Default Client Certificate Alias“ den Eintrag „ads-credentials“.

    11. Klicken Sie auf „OK“ und speichern Sie die Konfiguration.

    12. Wechseln Sie zu „CSIv2 Inbound Authentication“, klicken Sie auf „Security“ > „Secure Administration, Applications, and Infrastructure“ und anschließend unter „Authentication“ auf „RMI/IIOP Security“ > „CSIv2 Inbound Authentication“.

    13. Legen Sie für „Basic Authentication“ die Option „Supported“ und für „Client Certificate Authentication“ die Option „Supported“ fest und klicken Sie auf „OK“.

    14. Wechseln Sie zu „CSIv2 Outbound Authentication“, klicken Sie auf „Security“ > „Secure Administration, Applications, and Infrastructure“ und anschließend unter „Authentication“ auf „RMI/IIOP Security“ > „CSIv2 Outbound Authentication“.

    15. Legen Sie für „Basic Authentication“ die Option „Supported“ und für „Client Certificate Authentication“ die Option „Supported“ fest und klicken Sie auf „OK“.

    16. Wechseln Sie zu „CSIv2 Inbound Transport“, klicken Sie auf „Security“ > „Secure Administration, Applications, and Infrastructure“ und anschließend unter „Authentication“ auf „RMI/IIOP Security“ > „CSIv2 Inbound Transport“.

    17. Legen Sie für „Transport“ die Option „SSL-Supported“ fest und für „SSL Settings“ die Option „localhost/AdsSSL“. Klicken Sie auf „OK“.

    18. Wechseln Sie zu „CSIv2 Outbound Transport“, klicken Sie auf „Security“ > „Secure Administration, Applications, and Infrastructure“ und anschließend unter „Authentication“ auf „RMI/IIOP Security“ > „CSIv2 Outbound Transport“.

    19. Legen Sie für „Transport“ die Option „SSL-Supported“ fest und für „SSL Settings“ die Option „localhost/AdsSSL“. Klicken Sie auf „OK“.

    20. Klicken Sie in der Navigationsstruktur auf „Servers“ > „Application Servers“ und klicken Sie anschließend auf [Servername].

    21. Klicken Sie unter „Container Settings“ auf „Web Container Settings“ >„Web Container“.

    22. Klicken Sie unter „Additional Properties“ auf „Web Container Transport Chains“ und dann auf „WCInboundDefaultSecure“.

    23. Klicken Sie auf „SSL Inbound Channel (SSL_2)“ und wählen Sie unter „SSL Configuration“ den Eintrag „Specific To This Endpoint“ und anschließend „AdsSSL“ aus der Liste.

      Wenn Sie eine Verbindung über SSL mithilfe von Internet Explorer 6.x herstellen, deaktivieren Sie das Hinzufügen der cache-control-Kopfzeile. Konfigurieren Sie die WCInboundDefaultSecure-Eigenschaft wie folgt:

      • Klicken Sie auf „HTTP Inbound Channel“ und wählen Sie „Custom Properties“ aus.

      • Klicken Sie auf „New“ und konfigurieren Sie wie folgt:

        Name - CookiesConfigureNoCache

        Value - false

        Description - Zum Deaktivieren des Hinzufügens der Cache-Control-Kopfzeile zu einer Antwort in SSL

    24. Klicken Sie auf „OK“ und speichern Sie die Änderungen an der Master-Konfiguration.

    25. Beenden Sie WebSphere und starten Sie es erneut. In WebSphere Administrative Console wird jetzt ein Dialogfeld für die Anmeldung angezeigt und Sie müssen den Benutzernamen und das Kennwort eingeben, die Sie in Schritt 2 festgelegt haben.

    26. (Workspace, Process Management) Wählen Sie in der Navigationsstruktur den Befehl „Resources“ > „JMS“ > „JMS Providers“ und klicken Sie auf „Default Messaging“.

    27. Wählen Sie unter „Connection Factories“ erst „JMS Queue Connection Factory“ und dann „QueueConnectionFactory“.

    28. (Workspace, Process Management) Wählen Sie in der Liste „Component-Managed Authentication Alias“ den Eintrag „[Computername]/myAlias“ und klicken Sie auf „OK“.

    29. (Workspace, Process Management) Wählen Sie unter „Related Items“ die Option „J2C Authentication Data Entries“ und stellen Sie sicher, dass der Datenbankbenutzer über Root-Berechtigungen verfügt. Klicken Sie auf „OK“.

    30. (Workspace, Process Management) Speichern Sie die Änderungen an der Master-Konfiguration.

    31. (Workspace, Process Management) Beenden Sie WebSphere.

    WebSphere für die Konvertierung von mit HTTPS beginnenden URLs konfigurieren

    Um mit HTTPS beginnende URLs zu konvertieren, fügen Sie ein Signiererzertifikat für die URL zum WebSphere-Server hinzu.

    Signiererzertifikat für eine HTTPS-Site erstellen

    1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

    2. Wechseln Sie in der WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie auf „Security“ > „SSL Certificate and Key Management“ > „Key Stores and Certificates“ > „NodeDefaultTrustStore“ > „Signer certificates“.

    3. Klicken Sie auf „Retrieve from port“ und führen Sie die folgenden Aufgaben aus:

      • Geben Sie in das Feld „Host“ die URL ein. Beispiel www.paypal.com.

      • Geben Sie in das Feld „Port“ den Wert 443 ein. Dieser Anschluss ist der SSL-Standardanschluss.

      • Geben Sie in das Feld „Alias“ einen Alias ein.

    4. Klicken Sie auf „Retrieve Signer Information“ und prüfen Sie, ob die Informationen abgerufen werden.

    5. Klicken Sie auf „Apply“ und dann auf „Save“.

    Die Konvertierung von HTML in PDF von der Site, deren Zertifikat hinzugefügt wurde, erfolgt nun über den Generate PDF-Dienst.

    Hinweis: Es ist ein Signiererzertifikat erforderlich, damit eine Anwendung von WebSphere aus eine Verbindung zu SSL-Sites herstellen kann. Dieses wird von Java Secure Socket Extensions (JSSE) dazu verwendet, die Zertifikate zu prüfen, die die Remote-Seite der Verbindung bei einem SSL-Handshake sendet.