SSL für WebSphere Application Server konfigurieren

In diesem Abschnitt werden die folgenden Schritte zum Konfigurieren von SSL für IBM WebSphere Application Server beschrieben.

Lokales Benutzerkonto unter WebSphere erstellen

Zum Aktivieren von SSL muss WebSphere in der Benutzerregistrierung des lokalen Betriebssystems Zugriff auf ein Benutzerkonto mit Administratorrechten haben:

  • (Windows) Erstellen Sie einen neuen Benutzer in Administratorgruppe, der berechtigt ist, als Teil des Betriebssystems zu agieren. (Siehe Windows-Benutzer für WebSphere erstellen.)

  • (Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.

Linux- oder UNIX-Benutzer für WebSphere erstellen

  1. Melden Sie sich als Root-Benutzer an.

  2. Erstellen Sie einen Benutzer, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

    • (Linux und Sun Solaris) useradd

    • (IBM AIX) mkuser

  3. Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd eingeben.

  4. (Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv (ohne Parameter) eingeben.

    Hinweis: (Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt in der Regel den Namen /etc/shadow und basiert auf der Datei. Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.
  5. Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.

  6. Fügen Sie der Gruppe root den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.

  7. Speichern und schließen Sie die Datei.

  8. (UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.

Windows-Benutzer für WebSphere erstellen

  1. Melden Sie sich über ein Administrator-Benutzerkonto bei Windows an.

  2. Wählen Sie Start > Systemsteuerung > Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen aus.

  3. Klicken Sie mit der rechten Maustaste auf Benutzer und wählen Sie Neuer Benutzer aus.

  4. Geben Sie in die entsprechenden Felder einen Benutzernamen und ein Kennwort ein und geben Sie weitere wichtige Informationen in die übrigen Felder ein.

  5. Deaktivieren Sie die Option Benutzer muss Kennwort bei der nächsten Anmeldung ändern, klicken Sie auf Erstellen und dann auf Schließen.

  6. Klicken Sie auf Benutzer, klicken Sie mit der rechten Maustaste auf den Benutzer, den Sie gerade erstellt haben, und wählen Sie dann Eigenschaften aus.

  7. Klicken Sie auf die Registerkarte Mitgliedschaft und dann auf Hinzufügen.

  8. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen Administrators. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.

  9. Klicken Sie auf OK und dann erneut auf OK.

  10. Wählen Sie Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie > Lokale Richtlinien.

  11. Klicken Sie auf „Zuweisen von Benutzerrechten“ und anschließend mit der rechten Maustaste auf „Einsetzen als Teil des Betriebssystems“. Wählen Sie dann „Eigenschaften“.

  12. Klicken Sie auf Benutzer oder Gruppe hinzufügen.

  13. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen des von Ihnen in Schritt 4 erstellten Benutzers ein und klicken Sie auf Namen überprüfen, um sicherzustellen, dass der Name richtig ist. Klicken Sie dann auf OK.

  14. Klicken Sie auf OK, um das Dialogfeld „Eigenschaften von Einsetzen als Teil des Betriebssystems“ zu schließen.

Konfigurieren Sie WebSphere, um den neu erstellten Benutzer als Administrator festzulegen.

  1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

  2. Wählen Sie in der WebSphere Administrative Console Security > Global Security.

  3. Wählen Sie unter „Administrative security“ Administrative user roles.

  4. Klicken Sie auf „Add“ und führen Sie folgende Schritte aus:

    1. Geben Sie im Suchfeld * ein und klicken Sie auf „Search“.

    2. Klicken Sie unter „Roles“ auf Administrator.

    3. Fügen Sie den neu erstellten Benutzer zu „Mapped to role“ hinzu und ordnen Sie ihn zu „Administrator“ zu.

  5. Klicken Sie auf OK und speichern Sie die Änderungen.

  6. Starten Sie das WebSphere-Profil erneut.

Administrative Sicherheit aktivieren

  1. Wählen Sie in der WebSphere Administrative Console Security > Global Security.

  2. Klicken Sie auf Security Configuration Wizard.

  3. Stellen Sie sicher, dass das Kontrollkästchen Enable Application Security aktiviert ist. Klicken Sie auf Next.

  4. Wählen Sie Federated Repositories und klicken Sie auf Next.

  5. Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf Next.

  6. Klicken Sie auf Finish.

  7. Starten Sie das WebSphere-Profil erneut.

    WebSphere startet unter Verwendung des standardmäßigen Keystore und Truststore.

Aktivieren Sie SSL (Custom Key und Truststore)

Truststores und Keystores können mithilfe ides Dienstprogramms „ikeyman“ oder über die Admin Console erstellt werden. Vergewissern Sie sich, dass der WebSphere-Installationspfad keine Klammern enthält, damit „ikeyman“ ordnungsgemäß funtkioniert.

  1. Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.

  2. Klicken Sie unter „Related items“ auf Keystores and certificates.

  3. Vergewissern Sie sich, dass in der Dropdown-Liste Key store usagesSSL Keystores ausgewählt ist. Klicken Sie auf Neu.

  4. Geben Sie einen logischen Namen und eine Beschreibung ein.

  5. Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits ein Keystore mit „ikeyman“ erstellt haben, geben Sie den Pfad zur Keystore-Datei an.

  6. Geben Sie ein Kennwort an und bestätigen Sie es.

  7. Wählen Sie den Keystore-Typ aus und klicken Sie auf Apply

  8. Speichern Sie die Master-Konfiguration.

  9. Klicken Sie auf Personal Certificate.

  10. Wenn Sie bereits einen mithilfe von „ikeyman“ erstellten Keystore hinzugefügt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbst-unterzeichnetes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:

    1. Wählen Sie Create > Self-signed Certificate.

    2. Geben Sie entsprechende Werte im Zertifikatsformular an. Behalten Sie den Alias und den allgemeinen Namen als vollständig qualifizierten Domänennamen des Computers bei.

    3. Klicken Sie auf Anwenden.

  11. Wiederholen Sie die Schritte 2 bis 10 zum Erstellen eines Truststore.

Verwenden benutzerdefinierter Keystore und Truststore auf dem Server

  1. Wählen Sie in der WebSphere Administrative Console Security > SSL certificate and key management.

  2. Klicken Sie auf Manage endpoint security configuration. Die lokale Topologiezuordnung wird geöffnet.

  3. Wählen Sie unter „Inbound“ das direkt untergeordnete Element der Knoten.

  4. Wählen Sie unter „Related items“ SSL configurations.

  5. Wählen Sie NodeDeafultSSLSetting.

  6. Wählen Sie aus den Dropdown-Listen „Truststore Name“ und „Keystore Name“ die benutzerdefinierten Truststore und Keystore aus, die Sie erstellt haben.

  7. Klicken Sie auf Anwenden.

  8. Speichern Sie die Master-Konfiguration.

  9. Starten Sie das WebSphere-Profil erneut.

    Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.

Aktivieren der Unterstützung für LiveCycle natives

  1. Wählen Sie in der WebSphere Administrative Console Security > Global Security.

  2. Erweitern Sie im Abschnitt „Authentication“ RMI/IIOP Security und klicken Sie auf CSIv2 Inbound Communications.

  3. Vergewissern Sie sich, dass SSL-supported in der Dropdown-Liste „Transport“ ausgewählt ist.

  4. Starten Sie das WebSphere-Profil erneut.

WebSphere für die Konvertierung von mit HTTPS beginnenden URLs konfigurieren

Um mit HTTPS beginnende URLs zu konvertieren, fügen Sie ein Signiererzertifikat für die URL zum WebSphere-Server hinzu.

Signiererzertifikat für eine HTTPS-Site erstellen

  1. Vergewissern Sie sich, dass WebSphere ausgeführt wird.

  2. Wechseln Sie in der WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie auf „Security“ > „SSL Certificate and Key Management“ > „Key Stores and Certificates“ > „NodeDefaultTrustStore“ > „Signer certificates“.

  3. Klicken Sie auf „Retrieve from port“ und führen Sie die folgenden Aufgaben aus:

    • Geben Sie in das Feld „Host“ die URL ein. Beispiel www.paypal.com.

    • Geben Sie in das Feld „Port“ den Wert 443 ein. Dieser Anschluss ist der SSL-Standardanschluss.

    • Geben Sie in das Feld „Alias“ einen Alias ein.

  4. Klicken Sie auf „Retrieve Signer Information“ und prüfen Sie, ob die Informationen abgerufen werden.

  5. Klicken Sie auf „Apply“ und dann auf „Save“.

Die Konvertierung von HTML in PDF von der Site, deren Zertifikat hinzugefügt wurde, erfolgt nun über den Generate PDF-Dienst.

Hinweis: Es ist ein Signiererzertifikat erforderlich, damit eine Anwendung von WebSphere aus eine Verbindung zu SSL-Sites herstellen kann. Dieses wird von Java Secure Socket Extensions (JSSE) dazu verwendet, die Zertifikate zu prüfen, die die Remote-Seite der Verbindung bei einem SSL-Handshake sendet.