FileNet P8 Application Engine, FileNet P8 Content Engine, 版本 5.0.+              

Content Engine 启用 SSL

启用 SSL 时,将把一个服务器证书添加到“目录服务”服务器(用于执行认证)。另外,将在 Content Engine 服务器上的两个不同位置添加 CA 证书(JDK 路径位置用于执行授权)。请小心确保将正确的证书添加到这三个位置。

要为 Content Engine 启用 SSL,请完成下列步骤:

  1. 获取服务器证书和 CA 证书并将其安装在目录服务上。您可以从独立认证中心(例如 VeriSign)获取这些证书,也可以生成自己的证书(如果已安装必需的证书管理软件)。
  2. 对目录服务启用 SSL 并设置 SSL 端口号。缺省 SSL 端口号是 636;但是,如果服务器上有多个正在使用 SSL 的目录服务,那么可能需要使用非缺省端口号。请参阅目录服务器文档以获取指示信息。
  3. Content Engine 服务器上,将该 CA 证书添加到应用程序服务器密钥库(如果该密钥库尚未包含此证书)。
  4. Content Engine 服务器上,将该 CA 证书添加到 JDK (Java™) 密钥库(如果该密钥库尚未包含此证书)。您可以使用缺省密钥库,也可以在定制位置创建自己的密钥库。
    • 要使用 JDK 缺省 Java 密钥库,请完成下列步骤:
      1. 确定应用程序服务器所使用的 Java 版本以及 JAVA_HOME 位置。
      2. 使用 keytool 将此 CA 证书导入到 Java 密钥库中的 %JAVA_HOME%\jre\lib\security\cacerts 位置。
      3. 为了改善安全性,请更改缺省密码。
    • 要使用您自己的密钥库代替 JDK 缺省密钥库,请完成下列步骤:
      1. 对应用程序服务器启动脚本中的 Java 命令行添加下列系统参数:
        -Djavax.net.ssl.trustStore= 密钥库文件的路径
        -Djavax.net.ssl.trustStorePassword= 密钥库的密码
      2. 使用 Java keytool 将此 CA 证书导入到您自己的密钥库中。
  5. 使用 Enterprise ManagerContent Engine 启用 SSL 以及将端口号设置成与目录服务器上的 SSL 端口匹配。
  6. Content Engine 获取另一个服务器和 CA 证书。
  7. Content Engine 服务器上创建定制身份密钥库,并将服务器证书添加到定制密钥库中。
  8. 通过使用应用程序服务器管理工具,启用 SSL 并指向定制身份密钥库。指示信息随应用程序服务器类型不同而有所变化;请参阅应用程序服务器文档以了解详细过程。
    选项 描述
    WebSphere® Application Server 配置 SSL 指令表。在 WebSphere 管理控制台的左窗格中,浏览到“安全性”>“SSL”。在右窗格中,选择 Java 安全套接字扩展 (JSSE) 指令表并指定密钥以及信任文件名和密码。
    Oracle WebLogic Server 设置定制身份密钥库。在 WebLogic 管理控制台的左窗格中,浏览到 DomainName > 服务器 > ServerName。在右窗格中,选择密钥库和 SSL 并指定密钥库信息。
    JBoss Application Server 请参阅应用程序服务器文档。
    要点: (仅限于 WebLogic)证书中的名称必须与 WebLogic 应用程序服务器中指定的主机名匹配。如果证书中的名称是标准名称(例如 Host1.filenet.com),那么“主机”字段(WebLogic > 认证提供程序 > “Active Directory”选项卡 > “主机”字段)必须包含同一个标准主机名。
  9. 将客户机配置成,根据应用程序服务器类型和客户机传输(协议)类型使用特定 URL 来连接到 Content Engine。下表列示了缺省端口和样本 URL:
    协议 SSL 缺省端口 应用程序服务器 样本 URL
    HTTP 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine(缺省)

    虽然具有 SSL 的 IIOP 的缺省端口是端口 9403,请使用端口 2809。Web 应用程序服务器将正确地解析 SSL 端口号。

    HTTP 7001 WebLogic http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS 7002 WebLogic https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) 7001 WebLogic t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) 7002 WebLogic t3s://mycorp.com:7002/FileNet/Engine
    HTTP 8080 JBoss http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS 8443 JBoss https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP 1099 JBoss jnp://mycorp.com:1099/FileNet/Engine

    此表中的端口值是缺省值。如果更改应用程序服务器所侦听的端口,那么可能需要更改 Content Engine 客户机所使用的端口号。



反馈

最近一次更新时间: 2010 年 11 月


© Copyright IBM Corporation 2010.
本信息中心基于 Eclipse 技术。(http://www.eclipse.org)