SSL für JBoss Application Server konfigurieren

Zum Konfigurieren von SSL unter JBoss Application Server benötigen Sie eine SSL-Berechtigung für die Authentifizierung. Sie können das Java-Keytool zum Erstellen einer Berechtigung oder zum Anfordern und Importieren einer Berechtigung von einer Zertifizierungsstelle verwenden. Anschließend müssen Sie SSL unter JBoss aktivieren.

Sie können das Keytool mit einem einzelnen Befehl ausführen, der alle zum Erstellen des Keystore erforderlichen Informationen enthält.

In diesem Verfahren gilt:

  • [Anwendungsserver-Stammordner] ist der Basisordner des Anwendungsservers, auf dem LiveCycle ausgeführt wird.

  • [Typ] ist ein Ordnername, der von der von Ihnen ausgeführten Installation abhängig ist.

SSL-Berechtigung erstellen

  1. Wechseln Sie an einer Eingabeaufforderung zum Ordner „[JAVA HOME]/bin“ und geben Sie den folgenden Befehl ein, um die Berechtigung und den Keystore zu erstellen:

    keytool -genkey -dname "CN=Hostname, OU=Gruppenname, O=Firmenname,L=Stadt, S=Bundesland, C=Landescode" -alias "LC-Zertifikat" -keyalg RSA -keypass key_password -keystore Keystorename.keystore

    Hinweis: Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie die kursiv gedruckten Werte durch die für Ihre Umgebung zutreffenden Werte. Der Hostname ist der voll qualifizierte Domänenname des Anwendungsservers.
  2. Geben Sie den Wert für keystore_password ein, wenn Sie zur Eingabe eines Kennworts aufgefordert werden. Das Kennwort für den Keystore und der Schlüssel müssen identisch sein.

    Hinweis: Der in diesem Schritt eingegebene keystore_password-Wert kann dem in Schritt 1 eingegebenen Kennwort (Schlüsselkennwort) entsprechen oder anders lauten.
  3. Kopieren Sie „Keystorename.keystore“ durch Eingabe eines der folgenden Befehle in den Ordner „[Anwendungsserver-Stammordner]/server/[Typ]/conf“:

    • (Windows) copy keystorename.keystore [Anwendungsserver-Stammordner]\server\[Typ]\conf

    • (Linux) cp keystorename.keystore[Anwendungsserver-Stammordner]/server/[Typ]/conf

  4. Exportieren Sie die Zertifikatdatei durch Eingabe des folgenden Befehls:

    keytool -export -alias "LC-Zertifikat" -file LC_cert.cer -keystore [Anwendungsserver-Stammordner]\server\[Typ]\conf\Keystorename.keystore

  5. Geben Sie den Wert für keystore_password ein, wenn Sie zur Eingabe eines Kennworts aufgefordert werden.

  6. Kopieren Sie die Datei „LC_cert.cer“ durch Eingabe des folgenden Befehls in den Ordner [Anwendungsserver-Stammordner]\conf:

    • (Windows) copy LC_cert.cer [Anwendungsserver-Stammordner]\server\[Typ]\conf

    • (Linux) cp LC_cert.cer [Anwendungsserver-Stammordner]/server/[Typ]/conf

  7. Zeigen Sie den Inhalt des Zertifikats durch Eingabe des folgenden Befehls an:

    keytool -printcert -v -file [Anwendungsserver-Stammordner]\server\[Typ]\conf\LC_cert.cer

  8. Um ggf. Schreibzugriff auf die Datei „cacerts“ im Ordner „[JAVA_HOME]\jre\lib\security“ zu ermöglichen, führen Sie die folgende Aufgabe aus:

    • (Windows) Klicken Sie mit der rechten Maustaste auf die Datei „cacerts“, wählen Sie „Eigenschaften“ und deaktivieren Sie das Attribut „Schreibgeschützt“.

    • (Linux) Geben Sie den Befehl chmod 777 cacerts ein.

  9. Importieren Sie das Zertifikat durch Eingabe des folgenden Befehls:

    keytool -import -alias "LC Cert" -file LC-Zertifikat.cer -keystore JAVA_HOME\jre\lib\security\cacerts

  10. Geben Sie changeit als Kennwort ein. Dieses Kennwort ist das Standardkennwort für Java-Installationen. Eventuell wurde es von Ihrem Systemadministrator geändert.

  11. Geben Sie an der EingabeaufforderungTrust this certificate? [no]: die Antwort yes ein. Daraufhin wird die Bestätigung „Certificate was added to keystore“ angezeigt.

  12. Wenn Sie die Verbindung über SSL von Workbench aus herstellen, müssen Sie das Zertifikat auf dem Workbench-Computer installieren.

  13. Öffnen Sie in einem Texteditor die Datei „[Anwendungsserver-Stammordner]/server/[Typ]/deploy/jboss-web.sar/server.xml“.

  14. Entfernen Sie in der Datei „server.xml“ den Kommentar aus folgendem Abschnitt:

     <!-- SSL/TLS Connector configuration using the admin devl guide keystore 
    <Connector protocol="HTTP/1.1" SSLEnabled="true" 
        port="8443" address="${jboss.bind.address}" URIEncoding="UTF-8" 
        scheme="https" secure="true" clientAuth="false" 
        keystoreFile="${jboss.server.home.dir}/conf/chap8.keystore" 
        keystorePass="rmi+ssl" sslProtocol = "TLS" /> 
    -->
  15. Ändern Sie die Werte für die Attribute keystoreFile und keystorePass in das Keystore-Kennwort, das Sie beim Erstellen des Keystore festgelegt haben.

  16. Speichern Sie die Datei „server.xml“.

  17. Starten Sie den Anwendungsserver neu.

    • Für Turnkey-Installationen:

      • Klicken Sie in der Systemsteuerung von Microsoft Windows auf „Verwaltung“ und anschließend auf „Dienste“.

      • Wählen Sie „JBoss für LiveCycle.

      • Wählen Sie „Aktion“ > „Beenden“.

      • Warten Sie, bis als Status des Dienstes „Angehalten“ angezeigt wird.

      • Wählen Sie „Aktion“ > „Starten“.

    • Für von Adobe vorkonfigurierte oder manuell konfigurierte JBoss-Installationen:

      • Wechseln Sie an einer Eingabeaufforderung zum Ordner „ [Anwendungsserver-Stammordner]/bin“.

      • Beenden Sie den Server durch Eingabe des folgenden Befehls:

        • (Windows) shutdown.bat -S

        • (Linux) ./shutdown.sh -S

      • Warten Sie, bis der JBoss-Prozess vollständig heruntergefahren wurde. (Dies ist der Fall, wenn der JBoss-Prozess die Kontrolle wieder an das Terminal übergibt, in dem er gestartet wurde.)

      • Starten Sie den Server durch Eingabe des folgenden Befehls:

        • (Windows) run.bat -c all

        • (Linux) ./run.sh -c all

  18. Um mithilfe von SSL auf Administration Console zuzugreifen, geben Sie in einem Webbrowser die URL https://[Hostname]:[Anschluss]/adminui ein:

    Der SSL-Standardanschluss für JBoss ist 8443. Geben Sie von hier an beim Zugriff auf LiveCycle diesen Anschluss an.

Berechtigung von einer Zertifizierungsstelle anfordern

  1. Wechseln Sie an einer Eingabeaufforderung zum Ordner „[JAVA HOME]/bin“ und geben Sie den folgenden Befehl ein, um den Keystore und den Schlüssel zu erstellen:

    keytool -genkey -dname "CN=Hostname, OU=Gruppenname, O=Firmenname,L=Stadt, S=Bundesland, C=Landescode" -alias "LC-Zertifikat" -keyalg RSA -keypass key_password -keystore Keystorename.keystore

    Hinweis: Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie die kursiv gedruckten Werte durch die für Ihre Umgebung zutreffenden Werte.
  2. Geben Sie den folgenden Befehl ein, um eine Zertifikatanforderung an die Zertifizierungsstelle zu erzeugen:

    keytool -certreq -alias "LC-Zertifikat" -keystore Keystorename.keystore -file LCcertRequest.csr

  3. Wenn Ihre Anforderung einer Zertifikatdatei erfüllt wurde, führen Sie die Schritte im nächsten Verfahren durch.

Berechtigung von einer Zertifizierungsstelle zum Aktivieren von SSL verwenden

  1. Wechseln Sie an einer Eingabeaufforderung zum Ordner „[JAVA HOME]/bin“ und geben Sie den folgenden Befehl ein, um das Stammzertifikat der Zertifizierungsstelle, mit dem die CSR-Datei signiert wurde, zu importieren:

    keytool -import -trustcacerts -file Stammzertifikat.pem -keystore Keystorename.keystore -alias root

    Wenn sich das Stammzertifikat nicht im Browser befindet, importieren Sie es ebenfalls dorthin.

    Hinweis: Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie die kursiv gedruckten Werte durch die für Ihre Umgebung zutreffenden Werte.
  2. Wechseln Sie an einer Eingabeaufforderung zum Ordner „[JAVA HOME]/bin“ und geben Sie den folgenden Befehl ein, um die Berechtigung in den Keystore zu importieren:

    keytool -import -trustcacerts -file Name_des_Zertifizierungsstellenzertifikats.crt -keystore Keystorename.keystore

    Hinweis: Ersetzen Sie [JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie die kursiv gedruckten Werte durch die für Ihre Umgebung zutreffenden Werte.
    Hinweis: Das importierte, von der Zertifizierungsstelle signierte Zertifikat ersetzt ein selbst signiertes Zertifikat (sofern vorhanden).
  3. Führen Sie die Schritte 13 bis 18 im Abschnitt „SSL-Berechtigung erstellen“ durch.