Content Platform Engine, Versão 5.2.1              

Ativando o SSL para Content Platform Engine

Quando você ativa SSL, um certificado do servidor é incluído no servidor Directory Services (para autenticação). Além disso, o certificado CA é incluído em dois locais diferentes no servidor Content Platform Engine (o local do caminho do JDK é para autorização). Tome cuidado para garantir que o certificado adequado seja incluído em cada um dos três locais.

Procedimento

Para ativar o SSL para Content Platform Engine:

  1. Obtenha e instale um certificado do servidor e um certificado CA no serviço de diretório. Esses certificados estão disponíveis a partir de autoridades de certificação independentes, como VeriSign, ou você pode gerar seus próprios certificados se tiver o software de gerenciamento de certificado instalado.
  2. Ative SSL no serviço de diretório e configure o número da porta SSL. O número da porta SSL padrão é 636; entretanto, se você tiver mais de um serviço de diretório que está utilizando SSL no servidor, talvez seja necessário você utilizar um número da porta não padrão. Consulte a documentação do servidor de diretórios para obter instruções.
  3. No servidor Content Platform Engine, inclua o certificado CA no keystore do servidor de aplicativos, caso ele ainda não o contenha.
  4. No servidor Content Platform Engine, inclua o certificado CA no keystore JDK (Java™), caso ele ainda não o contenha. É possível usar o keystore padrão ou criar seu próprio keystore em um local customizado.
    • Para usar o keystore JDK Java padrão, execute as etapas a seguir:
      1. Determine a versão Java que seu servidor de aplicativos utiliza e o local do JAVA_HOME.
      2. Utilize keytool para importar o certificado CA no keystore Java em %JAVA_HOME%\jre\lib\security\cacerts.
      3. Para melhorar a segurança, altere a senha padrão.
    • Para usar seu próprio keystore (em vez de o keystore JDK padrão), execute as etapas a seguir:
      1. Inclua os seguintes parâmetros do sistema na linha de comandos Java no script de inicialização do servidor de aplicativos:
         -Djavax.net.ssl.trustStore=
        path_to_your_keystore_file
        -Djavax.net.ssl.trustStorePassword=
        password_of_your_keystore
      2. Utilize o keytool Java para importar o certificado CA em seu próprio keystore.
  5. Inicie o Administration Console for Content Platform Engine se ainda não tiver feito isso:
    1. Em qualquer computador, abra um navegador e navegue até a página de logon do Administration Console for Content Platform Engine:
      • Em um ambiente de disponibilidade padrão, a página de logo está em http://CPE_Server:port/acce. CPE_Server é o nome do sistema em que Content Platform Engine está implementado. port é a porta HTTP que é usada pelo servidor de aplicativos em que o Content Platform Engine está implementado.
      • Em um ambiente de alta disponibilidade, a página de logon está em http://virtual_server:port/acce. virtual_server é o nome do balanceador de carga ou servidor proxy onde os clusters do Content Platform Engine estão implementados. port é o número da porta do balanceador de carga ou servidor proxy.
    2. Efetue logon como o usuário gcd_admin.
  6. Use o IBM® Administration Console for Content Platform Engine para configurar o número da porta para que corresponda ao número da porta SSL no servidor de diretório:
    1. Selecione o nó de domínio na área de janela de navegação.
    2. Selecione Propriedades na área de janela de detalhes, abra a lista suspensa para as Configurações do Diretório e selecione seu tipo de servidor de diretório.
    3. Configure o valor da Porta do Servidor de Diretório para corresponder à porta SSL no servidor de diretório.
    4. Clique em Fechar.
  7. Obtenha outro servidor e o certificado CA para o Content Platform Engine.
  8. Crie um keystore de identidade customizado no servidor Content Platform Engine e inclua o certificado do servidor no keystore customizado.
  9. Utilizando a ferramenta de administração do servidor de aplicativos, ative SSL e aponte para o keystore de identidade customizado. As direções variam por tipo de servidor de aplicativos; consulte a documentação do servidor de aplicativos para conhecer os procedimentos detalhados.
    Opção Descrição
    WebSphere Application Server Configure um repertório de SSL. Na área de janela esquerda do console administrativo do WebSphere, navegue para Segurança > SSL. Na área de janela direita, selecione o repertório Java Secure Socket Extension (JSSE) e especifique senhas e nomes de arquivos keystore e truststore.
    Oracle WebLogic Server Configure um keystore de identidade customizado. Na área de janela esquerda do console administrativo do WebLogic, navegue para DomainName > Servidores > ServerName. Na área de janela direita, selecione Keystores e SSL e especifique informações do keystore.
    JBoss Application Server Consulte a documentação do servidor de aplicativos.
    Importante: (Apenas WebLogic) O nome em seu certificado deve corresponder ao nome do host especificado no servidor de aplicativos WebLogic. Se o nome do certificado for completo (por exemplo, Host1.filenet.com), o mesmo nome completo do host aparecerá no campo Host (WebLogic > Provedor de Autenticação > Guia do Active Directory > Campo do Host).
  10. Configure clientes para utilizar uma determinada URL para conexão com o Content Platform Engine com base no tipo de servidor de aplicativos e no tipo de transporte de cliente (protocolo). A tabela a seguir fornece URLs de amostra e portas padrão:
    Tabela 1. Portas padrão e URLs de amostra
    Protocolo SSL Porta Padrão Servidor de Aplicativos URL de Amostra
    HTTP não 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS sim 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP não 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP sim 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (defautl)

    Embora a porta padrão para IIOP com SSL seja a porta 9403, utilize a porta 2809. O servidor de aplicativo da Web resolve o número da porta SSL corretamente.

    HTTP não 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS sim 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) não 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) sim 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine
    HTTP não 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS sim 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP não 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine

    Os valores de porta na tabela são valores padrão. Se você alterar a porta na qual seu servidor de aplicativos atende, talvez seja necessário alterar o número da porta utilizado pelo cliente Content Platform Engine.

  11. (Oracle WebLogic Server 10.3.2 ou mais velho no AIX, HPUX, HPUXi, Linux, Linux on System z, Solaris) Remova todos os certificados que têm criptografia SHA 256 RSA no keystore (cacerts). Por exemplo, se você estiver usando o IBM JRE versão 1.6 SR7, remova esses três certificados: secomscrootca2, keynectisrootca e globalsignr3ca.


Última atualização: Março de 2016
p8pin261.htm

© Copyright IBM Corporation 2013, 2016.