5.8 SSL für JBoss manuell aktivieren

Während der Turnkey-Installation wird der JBoss-Anwendungsserver so konfiguriert, dass SSL (Secure Sockets Layer) standardmäßig deaktiviert ist. Aktivieren Sie SSL für JBoss, wenn Sie Adobe® LiveCycle® Rights Management 10 mit Adobe Acrobat zum Schützen von Dokumenten verwenden möchten. Für die Aktivierung von SSL ist ein von einer Zertifizierungsstelle (z. B. VeriSign) unterzeichnetes Zertifikat erforderlich. Sie können jedoch auch ein selbst erstelltes und selbst unterzeichnetes Zertifikat für die SSL-Aktivierung verwenden.

Für die SSL-Aktivierung für JBoss in einer Turnkey-Installation sind folgende Aufgaben auszuführen:

  1. Erstellen Sie mit dem Dienstprogramm „keytool“, das mit dem Java SDK bereitgestellt wird, einen Keystore.

  2. Erzeugen Sie das Zertifikat oder verwenden Sie ein von einer Zertifizierungsstelle ausgegebenes Zertifikat.

  3. Kopieren Sie den Keystore und die Zertifikatsdateien in den Konfigurationsordner im JBoss-Stammordner „[JBoss-Stammordner]\server\lc_turnkey\conf“.

  4. Importieren Sie das Zertifikat in „[Adobe_JAVA_HOME]\lib\security\cacerts“.

  5. Aktualisieren Sie die JBoss-Datei „server.xml“, wobei Sie die Auskommentierung der SSL-Konfigurationseinstellungen aufheben, und geben Sie sonstige Eigenschaften für das Zertifikat an.

  6. Starten Sie den JBoss-Server neu, damit die Änderungen wirksam werden.

    5.8.1 SSL für JBoss aktivieren

    Sie können SSL mithilfe von Configuration Manager für JBoss aktivieren. Wenn Sie diese Option übersprungen haben, konfigurieren Sie SSL manuell wie in den Anweisungen unten beschrieben:

    X.500-DN (Distinguished Names) werden als Bezeichner beim Erzeugen eines Keystores und eines Zertifikats verwendet. Der Keytool-Befehl, der zum Erzeugen des Zertifikats verwendet wird, unterstützt die folgenden Bestandteile für die Option –dname:

    CN: Der vollständige Hostname des Computers, für den Sie das Zertifikat erstellen. Beispielsweise „machine.adobe.com“.

    OU: Der Name einer kleinen Unternehmenseinheit, z. B. einer Abteilung oder eines Geschäftsbereichs. Beispielsweise „Beschaffung“.

    O: Der Name des Unternehmens. Zum Beispiel „Adobe Systems“.

    L: Der Name des Ortes/der Stadt. Beispielsweise „Berlin“.

    S: Der Name des Bundeslandes. Zum Beispiel „Berlin“.

    C: Ein aus zwei Buchstaben bestehender Ländercode. Zum Beispiel „DE“.

    5.8.1.1 SSL für JBoss in einer Turnkey-Installation aktivieren

    1. Navigieren Sie zu[Adobe_JAVA_HOME]/bin und geben Sie den folgenden Befehl ein, um den Keystore zu erstellen:

      keytool -genkey -dname"CN=Hostname, OU=Gruppenname, O=Name des Unternehmens, L=Ortsname, S=Bundesland, C=Ländercode " -alias"LC-Zertifikat" keyalg rsa -keypass key_Kennwort -keystore keystorename.keystore

      Ersetzen Sie [Adobe_JAVA_HOME] durch den Ordner, in dem das JDK installiert ist, und ersetzen Sie die fett gedruckten Werte durch die für Ihre Umgebung zutreffenden Werte. Der Hostname ist der voll qualifizierte Domänenname des Anwendungsservers.

    2. Geben Sie das keystore_Kennwort ein, wenn Sie zur Eingabe eines Kennworts aufgefordert werden.

      Hinweis: Das in diesem Schritt für keystore_Kennwort eingegebene Kennwort kann mit dem in Schritt 1 eingegebenen Kennwort (key_Kennwort) übereinstimmen, es kann sich jedoch auch von diesem unterscheiden.

    3. Kopieren Sie den Keystorenamen.keystore in den Ordner „[JBoss-Stammordner]\server\lc_turnkey\conf“ durch Eingabe des folgenden Befehls:

          copy keystorename.keystore [JBoss root]/server/lc_turnkey/conf

    4. Exportieren Sie die Zertifikatdatei durch Eingabe des folgenden Befehls:

      keytool -export -alias "LC Cert" -file LC_cert.cer -keystore [JBoss-Stammordner]\server\lc_turnkey\conf\keystorename.keystore

    5. Geben Sie das keystore_Kennwort ein, wenn Sie zur Eingabe eines Kennworts aufgefordert werden.

    6. Kopieren Sie die Datei „LC_cert.cer“ in den Ordner „[JBoss-Stammordner] conf“, indem Sie den folgenden Befehl eingeben:

      copy LC_cert.cer [JBoss-Stammordner]\server\lc_turnkey\conf

    7. Zeigen Sie den Inhalt des Zertifikats durch Eingabe des folgenden Befehls an:

      keytool -printcert -v -file [JBoss-Stammordner]\server\lc_turnkey\conf\LC_cert.cer

    8. Erlauben Sie ggf. den Schreibzugriff auf die Datei „cacerts“ im Ordner „[Adobe_JAVA_HOME]\lib\security“. Klicken Sie mit der rechten Maustaste auf die Datei „cacerts“, wählen Sie „Eigenschaften“ aus und deaktivieren Sie das Attribut „Schreibgeschützt“.

    9. Importieren Sie das Zertifikat durch Eingabe des folgenden Befehls:

      keytool -import -alias "LC Cert" -file LC_cert.cer -keystore [Adobe_JAVA_HOME]\jre\lib\security\cacerts

    10. Geben Sie changeit als Kennwort ein. changeit ist das standardmäßige Kennwort für eine Java-Installation.

    11. Geben Sie in der Eingabeaufforderung Trust this certificate? [no]:die Antwort yes ein. Daraufhin wird die Bestätigung „Certificate was added to keystore“ angezeigt.

    12. Öffnen Sie in einem Texteditor die Datei

      (Nur JBoss 5.1) [JBoss-Stammordner]\server\lc_turnkey\deploy\jbossweb.sar\server.xml.

      (Nur JBoss 4.2.1) [JBoss-Stammordner]\server\lc_turnkey\deploy\jboss-web.deployer\server.xml.

    13. Heben Sie die Auskommentierung der folgenden Zeilen in der Datei „server.xml“ auf:

      <!-- SSL/TLS Connector configuration using the admin devl guide keystore <Connector port="8443" address="${jboss.bind.address}" maxThreads="100" strategy="ms" maxHttpHeaderSize="8192" emptySessionPath="true" scheme="https" secure="true" clientAuth="false" keystoreFile="${jboss.server.home.dir}/conf/keystoreFile.keystore" keystorePass="keystorePass" sslProtocol = "TLS" />

      -->

    14. Geben Sie für das Attribut keystoreFile in server.xml den Pfad der von Ihnen erstellten Keystore-Datei an. Geben Sie keystore_password für das keystorePass-Attribut in server.xml an.

    15. Speichern Sie die Datei server.xml.

    16. Starten Sie den Anwendungsserver neu.

      • Klicken Sie in der Windows-Systemsteuerung auf Verwaltung und dann auf Dienste.

      • Wählen Sie JBoss für Adobe LiveCycle ES3.

      • Wählen Sie Aktion > Anhalten.

      • Warten Sie, bis als Status des Dienstes „Angehalten“ angezeigt wird.

      • Wählen Sie Aktion > Starten.