FileNet P8 Application Engine, FileNet P8 Content Engine, Version 5.0.+              

SSL für Content Engine aktivieren

Wenn Sie SSL aktivieren, wird dem Directory Services-Server ein Serverzertifikat zur Authentifizierung hinzugefügt. Darüberhinaus wird an zwei unterschiedlichen Positionen auf dem Content Engine-Server das Zertifikat einer Zertifizierungsstelle hinzugefügt (die JDK-Pfadposition dient der Autorisierung). Stellen Sie unbedingt sicher, dass an den drei Positionen jeweils die richtigen Zertifikate eingefügt werden.

So aktivieren Sie SSL für Content Engine:

  1. Beziehen und installieren Sie ein Serverzertifikat und das Zertifikat einer Zertifizierungsstelle für den Verzeichnisservice. Sie erhalten diese Zertifikate von unabhängigen Zertifizierungsstellen wie z. B. VeriSign; alternativ können Sie Ihre eigenen Zertifikate generieren, wenn Sie die notwendige Software für das Zertifikatsmanagement installiert haben.
  2. Aktivieren Sie SSL im Verzeichnisservice und legen Sie die SSL-Portnummer fest. Die Standardnummer für den SSL-Port ist 636, wenn jedoch auf Ihrem Server SSL von mehreren Verzeichnisservices verwendet wird, müssen Sie möglicherweise eine andere Portnummer als die Standardnummer verwenden. Anleitungen hierzu finden Sie in der Dokumentation Ihres Verzeichnisservers.
  3. Fügen Sie dem Keystore des Anwendungsservers auf dem Content Engine-Server das Zertifikat einer Zertifizierungsstelle hinzu, sofern es dort nicht bereits vorhanden ist.
  4. Fügen Sie dem JDK-Keystore (für Java™) auf dem Content Engine-Server das Zertifikat der Zertifizierungsstelle hinzu, sofern es dort nicht bereits vorhanden ist. Sie können den Standard-Keystore verwenden oder Ihren eigenen an einer benutzerdefinierten Position erstellen.
    • So verwenden Sie den standardmäßigen JDK-Java-Keystore:
      1. Ermitteln Sie, welche Java-Version Ihr Anwendungsserver verwendet, sowie die Position von JAVA_HOME.
      2. Verwenden Sie das Keytool, um das Zertifikat einer Zertifizierungsstelle in den Java-Keystore unter %JAVA_HOME%\jre\lib\security\cacerts zu importieren.
      3. Ändern Sie zur Verbesserung der Sicherheit das Standardkennwort.
    • So verwenden Sie Ihren eigenen Keystore anstelle des JDK-Standard-Keystores:
      1. Fügen Sie im Startscript Ihres Anwendungsservers der Java-Befehlszeile die folgenden Systemparameter hinzu:
        -Djavax.net.ssl.trustStore= pfad_zu_ihrer_keystore-datei
        -Djavax.net.ssl.trustStorePassword= kennwort_für_ihren_keystore
      2. Verwenden Sie das Java-Keytool, um das Zertifikat einer Zertifizierungsstelle in Ihren eigenen Keystore zu importieren.
  5. Verwenden Sie Enterprise Manager, um SSL für Content Engine zu aktivieren und die Portnummer so festzulegen, dass Sie mit dem SSL-Port auf dem Verzeichnisserver übereinstimmt.
  6. Beziehen Sie für Content Engine ein weiteres Serverzertifikat und ein weiteres Zertifikat einer Zertifizierungsstelle.
  7. Erstellen Sie auf dem Content Engine-Server einen benutzerdefinierten Identitätskeystore und fügen Sie diesem benutzerdefinierten Keystore das Serverzertifikat hinzu.
  8. Aktivieren Sie SSL mit dem Verwaltungstool des Anwendungsservers und zeigen Sie auf den benutzerdefinierten Identitätskeystore. Je nach Anwendungsservertyp sind die Anweisungen hierzu unterschiedlich; weitere Informationen zur detaillierten Vorgehensweise finden Sie in der Dokumentation Ihres Anwendungsservers.
    Option Bezeichnung
    WebSphere Application Server SSL-Repertoire konfigurieren. Navigieren Sie im linken Fensterbereich der WebSphere-Administrationskonsole zu Sicherheit > SSL. Wählen Sie im rechten Fensterbereich Ihr JSSE-Repertoire (Java Secure Socket Extension) aus und geben Sie den Schlüssel sowie Trustdateinamen und Kennwörter an.
    Oracle WebLogic Server Benutzerdefinierten Identitätskeystore einrichten. Navigieren Sie im linken Fensterbereich der WebLogic-Administrationskonsole zu Domänenname > Server > Servername. Wählen Sie im rechten Fensterbereich die Keystores und SSL aus und geben Sie die Keystoreinformationen an.
    JBoss Application Server Weitere Informationen finden Sie in der Dokumentation zu Ihrem Anwendungsserver.
    Wichtig: (Nur WebLogic:) Der Name in Ihrem Zertifikat muss mit dem Hostnamen übereinstimmen, der auf Ihrem WebLogic-Anwendungsserver angegeben ist. Ist der Name im Zertifikat vollständig qualifiziert (z. B. Host1.filenet.com) muss derselbe vollständig qualifizierte Hostname im Hostfeld angezeigt werden (WebLogic > Authentication Provider > Registerkarte 'Active Directory' > Host field).
  9. Konfigurieren Sie Clients so, dass abhängig vom Anwendungsservertyp und Protokolltyp für den Clienttransport eine bestimmte URL zum Verbinden mit Content Engine verwendet wird. In der folgenden Tabelle sehen Sie die Standardports und die Beispiel-URLs:
    Protokoll SSL Standardport Anwendungsserver Beispiel-URL
    HTTP nein 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS ja 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP nein 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP ja 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (Standard)

    Port 9403 ist zwar der Standardport für IIOP mit SSL, verwenden Sie jedoch 2809. Der Webanwendungsserver löst die SSL-Portnummer korrekt auf.

    HTTP nein 7001 WebLogic http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS ja 7002 WebLogic https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) nein 7001 WebLogic t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) ja 7002 WebLogic t3s://mycorp.com:7002/FileNet/Engine
    HTTP nein 8080 JBoss http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS ja 8443 JBoss https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP nein 1099 JBoss jnp://mycorp.com:1099/FileNet/Engine

    Die Portwerte in der Tabelle sind Standardwerte. Wenn Sie den Port ändern, auf dem Ihr Anwendungsserver empfangsbereit ist, müssen Sie möglicherweise die Portnummer ändern, die der Client von Content Engine verwendet.



Feedback

Letzte Aktualisierung: November 2010


© Copyright IBM Corp. 2010.
Dieses Information Center basiert auf Eclipse-Technologie. (http://www.eclipse.org)