概述:WebSphere Application Server 的 SSL 使用
SSL(安全套接字层)由几个 WebSphere Application Server 组件使用以提供安全通信。特别地,SSL 由下列使用:
HTTPS:应用程序服务器的内置 HTTPS 传送。
ORB.应用程序服务器的客户机和服务器 ORB。
LDAPS:到认证使用的 LDAP 注册表的管理服务器安全连接。这仅在 WebSphere Application Server 高级版中可用。
WebSphere Application Server 中的管理模型允许通过配置缺省 SSL 设置而中央管理这些不同的 SSL 组件。此外,任何缺省设置都会由 HTTPS、ORB 和 LDAPS 特定的 SSL 设置所覆盖。这提供了中央管理和 SSL 的各种使用可能需要的个别可配置性。
对浏览器配置 SSL
对浏览器配置 SSL 是浏览器特定。查阅您的浏览器文档以获得指令。
总之,当您输入“https://...”而不是“http://...”时,浏览器创建 SSL 连接,而不是简单的到 Web 服务器的 TCP 连接。如果浏览器无法确认 Web 服务器或无法同意安全性选项的级别(要使用加密算法的力度),则浏览器通常提示用户或连接失败。
对 Web 服务器配置 SSL
要对 Web 服务器配置 SSL 取决于 Web 服务器的类型。查阅您的 Web 服务器文档以获得指令。
一般而言,当启用 SSL 时,SSL 密钥文件是必需的。该密钥文件应该包含 CA 证书(签名者证书)和任何私人信息证书。也可启用客户机认证;缺省情况下,它是禁用的。
为了客户机证书(来自浏览器的证书)由 WebSphere Web 服务器插件转发到 WebSphere Application Server,则必须为 Web 服务器启用客户机认证。启用 WebSphere Application Server 本身的客户机认证不是必需的,除非您要认证 WebSphere Web 服务器插件(或任何通过 SSL 直接连接到 WebSphere Application Server 的其它客户机)。
逐一地对 IBM HTTP Server 配置 SSL
此节提供关于对 IBM HTTP Server 配置 SSL 的简短示例。请参阅 IBM HTTP Server 文档以获得最多新近和完整的指令。同时注意您 Web 服务器的 httpd.conf.sample 文件提供所有伪指令(包括 SSL 相关的伪指令)的示例。
使用 IHS 密钥管理实用程序创建密钥文件。
在如"product_installation_root/myKeys" (见附1)的位置创建目录。
此目录将用于保持所有您的 SSL 密钥文件和证书。
从 IBM HTTP Server 开始菜单启动密钥管理实用程序。
要在 Windows 平台启动实用程序,请单击:开始 - 程序 - IBM HTTP Server - 启动密钥管理实用程序
单击密钥数据库文件菜单并选择新建。
指定设置并单击确定:
密钥数据库类型:CMS 密钥数据库文件
文件名:WebServerKeys.kdb
位置:到您的“myKeys”目录的路径
输入您 SSL 密钥文件的密码(两次以确认)。
选取“是否将密码存储到文件?”选项。单击确定。
这导致创建名为“WebServerKeys.sth”的文件,其中包含密码的编码表单。请注意此编码防止了不经意查看密码,但并不是非常安全的。因此,操作系统许可应该用于防止未授权的人员到此文件的所有访问。
当您查看缺省签字人证书列表时,请单击签字人证书菜单并选择个人证书。
如果您有来自 CA(例如,Verisign)的服务器证书,您可单击导入将此证书导入到您的 SSL 密钥文件。将提示您包含服务器证书的文件的类型和位置。
然而,如果您没有来自 CA 的有效服务器证书但要测试您的系统,则您可单击新建自签署。
将最低程度提示您输入如“测试”的密钥标号和如“IBM”的组织。选择对其它值使用缺省值。
单击密钥数据库文件菜单并选择关闭。
将下列行添加到您的 httpd.conf 文件的底部file:
LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll
Listen 443
SSLEnable
Keyfile "product_installation_root/myKeys/WebServerKeys.kdb"
# SSLClientAuth required
这导致 Web 服务器侦听端口 443(缺省 SSL 端口)。
如果您要启用客户机认证,取消包含“SSLClientAuth 所需”的最后行的注释。这将导致 IHS 将对于证书的请求发送到浏览器上。为了执行客户机认证,您的浏览器会提示您选择要发送到 Web 服务器的证书。
启动您的 IBM HTTP Server。
通过输入输入 URL 从浏览器测试您的配置,如:
https://localhost
如果您正在使用自签署证书,而不是 CA (如 Verisign )发出的证书,则您的浏览器应提示您查看是否要信任服务器证书的未知签署者。此外,如果您启用客户机认证,为了执行客户机认证,您的浏览器会提示您选择要发送到 Web 服务器的证书。然后应显示页面。
对 Web 服务器的 WebSphere 插件配置 SSL
一旦 SSL 在您的浏览器和 Web 服务器间工作后,则您可继续配置 Web 服务器插件和 WebSphere Application Server 间的 SSL。如果已知插件和应用程序服务器间的链接是安全的或您的应用程序不敏感,则这不是必需的。然而,如果应用程序数据的私密是关注的问题,此连接应是 SSL 连接。
步骤 1:对 WebSphere Web 服务器插件创建 SSL 密钥文件
当配置 SSL 时,您必须首先创建 SSL 密钥文件。
请注意,如果您正在使用 IBM HTTP Server,您可使用 Web 服务器正在使用的相同 SSL 密钥文件;然而,推荐您使用分隔的 SSL 密钥文件,因为连接到 Web 服务器的信任策略将很可能与连接到应用程序服务器的信任策略不同。
例如,我们可能要允许许多浏览器连接到 Web 服务器的 HTTPS 端口,我们却只想允许一小部分已知数的 WebSphere 插件直接连接到 WebSphere application server 的 HTTPS 端口。下列是一个示例,有关如何创建您的 WebSphere 插件的 SSL 密钥文件,这将仅允许插件连接到其 SSL 端口上的应用程序服务器。
如果拧还未这样做,创建目录product_installation_root\myKeys。
此目录将包含所有的 SSL 密钥文件和您将创建的抽取的证书。
启动 GSKit 的密钥管理实用程序。
GSKit 是由 WebSphere 插件使用的 SSL 实现,这同 IBM HTTP Server 使用的实现相同。
Windows 上到此实用程序的缺省路径是 C:\Program Files\ibm\gsk5\bin\gsk5ikm.exe。
单击密钥数据库文件下拉并选择新建。
指定设置并单击确定:
密钥数据库类型:CMS 密钥数据库文件
文件名:plug-inKeys.kdb
位置:您的 myKeys 目录
输入您 SSL 密钥文件的密码(两次以确认)。
选取是否将密码存储到文件? 选项。单击确定。
这导致创建文件(如"product_installation_root\myKeys\plug-inKeys.sth),其中包含密码的编码表单。此编码防止密码的不规则视图,但并不是非常安全。因此,操作系统许可应该用于防止未授权的人员到此文件的所有访问。
当您查看缺省签字人证书列表时,选择首个证书并单击删除。
重复前一个步骤直至以删除所有签署者证书。
创建自签署证书:
单击签字者菜单并选择个人证书。
单击新建自签署。
为密钥标签输入“插件”,为组织输入“IBM”。
单击确定。
抽取证书以便您稍后能将其导入应用程序服务器密钥文件。
单击抽取证书。
指定设置:
编码为 Base64 的 ASCII 数据:数据类型
证书文件名:plug-in.arm
位置:到您的 myKeys 目录的路径
单击确定。
单击密钥数据库文件菜单并选择关闭。
步骤 2:修改 WebSphere Web 服务器的插件配置文件
现在您已创建了插件的 SSL 密钥文件,编辑插件配置文件,以便其引用您的密钥文件。
下列是插件配置文件的示例。该配置导致插件将 HTTP 请求转发到应用程序服务器的 HTTP 端口,并将 HTTPS 请求转发到应用程序服务器的 HTTPS 端口。
SSL 配置信息是用来指定 secureServer1 的,这是 secureServers 组的唯一成员。所有 HTTPS 请求均转发到 secureServers 组。(服务器组是个概念,仅在高级版中支持,而不是在高级单服务器版中支持。)
SSL 密钥文件是由 keyring 特性指定,以及存储文件(包含编码密码)由 stashfile 特性指定。确保此文件的路径在您的 Web 服务器配置(例如,IHS 的 "httpd.conf")中已指定。
