FileNet P8 Application Engine, FileNet P8 Content Engine, Versão 5.0.+              

Ativando SSL para Content Engine

Quando você ativa SSL, um certificado do servidor é incluído no servidor Directory Services (para autenticação). Além disso, o certificado CA é incluído em dois locais diferentes no servidor Content Engine (o local do caminho do JDK é para autorização). Tome cuidado para garantir que o certificado adequado seja incluído em cada um dos três locais.

Para ativar SSL para Content Engine:

  1. Obtenha e instale um certificado do servidor e um certificado CA no serviço de diretório. Esses certificados estão disponíveis a partir de autoridades de certificação independentes, como VeriSign, ou você pode gerar seus próprios certificados se tiver o software de gerenciamento de certificado instalado.
  2. Ative SSL no serviço de diretório e configure o número da porta SSL. O número da porta SSL padrão é 636; entretanto, se você tiver mais de um serviço de diretório que está utilizando SSL no servidor, talvez seja necessário você utilizar um número da porta não padrão. Consulte a documentação do servidor de diretórios para obter instruções.
  3. No servidor Content Engine, inclua o certificado CA no keystore do servidor de aplicativos, caso ele ainda não o contenha.
  4. No servidor Content Engine, inclua o certificado CA no keystore JDK (Java), caso ele ainda não o contenha. Você pode utilizar o keystore padrão ou pode criar seu próprio keystore em um local customizado.
    • Para utilizar o keystore Java padrão JDK, faça o seguinte:
      1. Determine a versão Java que seu servidor de aplicativos utiliza e o local do JAVA_HOME.
      2. Utilize keytool para importar o certificado CA no keystore Java em %JAVA_HOME%\jre\lib\security\cacerts.
      3. Para melhorar a segurança, altere a senha padrão.
    • Para utilizar seu próprio keystore (no lugar do keystore padrão JDK), faça o seguinte:
      1. Inclua os seguintes parâmetros do sistema na linha de comandos Java no script de inicialização do servidor de aplicativos:
        -Djavax.net.ssl.trustStore=
        path_to_your_keystore_file
        -Djavax.net.ssl.trustStorePassword=
        password_of_your_keystore
      2. Utilize o keytool Java para importar o certificado CA em seu próprio keystore.
  5. Utilize Enterprise Manager para ativar SSL para Content Engine e configure o número da porta para corresponder à porta SSL no servidor de diretórios.
  6. Obtenha outro certificado CA e de servidor para Content Engine.
  7. Crie um keystore de identidade customizado no servidor Content Engine e inclua o certificado do servidor no keystore customizado.
  8. Utilizando a ferramenta de administração do servidor de aplicativos, ative SSL e aponte para o keystore de identidade customizado. As direções variam por tipo de servidor de aplicativos; consulte a documentação do servidor de aplicativos para conhecer os procedimentos detalhados.
    Opção Descrição
    WebSphere Application Server Configure um repertório de SSL. Na área de janela esquerda do console administrativo do WebSphere, navegue para Segurança > SSL. Na área de janela direita, selecione o repertório Java Secure Socket Extension (JSSE) e especifique senhas e nomes de arquivos keystore e truststore.
    Oracle WebLogic Server Configure um keystore de identidade customizado. Na área de janela esquerda do console administrativo do WebLogic, navegue para DomainName > Servidores > ServerName. Na área de janela direita, selecione Keystores e SSL e especifique informações do keystore.
    JBoss Application Server Consulte a documentação do servidor de aplicativos.
    Importante: (Apenas WebLogic) O nome em seu certificado deve corresponder ao nome do host especificado no servidor de aplicativos WebLogic. Se o nome do certificado for completo (por exemplo, Host1.filenet.com), o mesmo nome completo do host aparecerá no campo Host (WebLogic > Provedor de Autenticação > Guia do Active Directory > Campo do Host).
  9. Configure clientes para utilizar uma determinada URL para conexão com o Content Engine com base no tipo de servidor de aplicativos e no tipo de transporte de cliente (protocolo). A tabela a seguir fornece URLs de amostra e portas padrão:
    Protocolo SSL Porta Padrão Servidor de Aplicativos URL de Amostra
    HTTP não 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS sim 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP não 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP sim 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (defautl)

    Embora a porta padrão para IIOP com SSL seja a porta 9403, utilize a porta 2809. O servidor de aplicativo da Web resolve o número da porta SSL corretamente.

    HTTP não 7001 WebLogic http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS sim 7002 WebLogic https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) não 7001 WebLogic t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) sim 7002 WebLogic t3s://mycorp.com:7002/FileNet/Engine
    HTTP não 8080 JBoss http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS sim 8443 JBoss https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP não 1099 JBoss jnp://mycorp.com:1099/FileNet/Engine

    Os valores de porta na tabela são valores padrão. Se você alterar a porta na qual seu servidor de aplicativos atende, talvez seja necessário alterar o número da porta utilizado pelo cliente Content Engine.



Feedback

Última atualização: novembro de 2010


© Copyright IBM Corporation 2010.
Este centro de informações foi desenvolvido com a tecnologia Eclipse. (http://www.eclipse.org)