如果您在 WebSphere® Application Server 8.0 上安装了
Content Platform Engine,并且应用程序服务器已配置为遵守联邦信息处理标准,那么必须启用
Configuration Manager 才能连接到该应用程序服务器。
过程
要使 Configuration Manager 能够连接到启用了 FIPS 的 WebSphere Application Server,请执行下列操作:
- 通过完成
Configuring WebSphere Application Server
for SP800-131 standard strict mode 中的指示信息,创建用于对正在运行 WebSphere Application Server
的应用程序服务器启用联邦信息处理标准 (FIPS) 支持的证书。
- 使用 WebSphere 管理控制台来将证书切换为使用 FIPS 标准所支持的签名算法 SHA256withRSA:
- 登录 WebSphere 管理控制台。
- 浏览到 。
- 在常规属性部分中,单击严格,然后从列表中选择 SHA256withRSA。
- 运行 Java™ keytool 命令两次,以将证书导入到以下两个位置:一个位于
WebSphere Application Server,而另一个位于 Content Platform Engine。 keytool 命令语法如下所示(请参阅
Java 文档以了解有关使用
keytool 的完整详细信息):
keytool -import -alias certificate_alias_name
-file certificate_location -keystore keystore_name
-storepass keystore_password
keytool 位于
cpe_install_path/_cejvm/jre/bin(cpe_install_path 是
Content Platform Engine 的安装路径)。
- certificate_alias_name
可以是任意字符串,例如,CECA 或 CE_Name_CA。
- certificate_location
Content Platform Engine 证书位置的路径是
cpe_install_path/_cejvm/jre/lib/security/cacerts。
WebSphere Application Server 证书位置的路径是 was_install_path/profiles/default/etc/DummyClientTrustFile.jks。
cpe_install_path 是 Content Platform Engine 的安装路径。
was_install_path 是
WebSphere Application Server 的安装路径。
- keystore_name
Content Platform Engine 上的缺省密钥库名称是 cacerts。
WebSphere Application Server 上的缺省密钥库名称是 DummyClientTrustFile.jks。
- keystore_password
Content Platform Engine 上的缺省密钥库密码是 changeit。
WebSphere Application Server 上的缺省密钥库密码是 WebAS。
- 通过添加以下行编辑 cpe_install_path/tools/configure/configmgr.ini 文件(cpe_install_path 是 Content Platform Engine 的安装路径):
-Dcom.ibm.security.useFIPS=true
-Dcom.ibm.websphere.security.FIPSLevel=SP800-131
-Dcom.ibm.ssl.protocol=TLSv1.2
- 通过添加以下行编辑 was_install_path/profiles/default/properties/wsadmin.properties 文件(was_install_path 是 WebSphere Application Server 的安装路径):
com.ibm.security.useFIPS=true
com.ibm.websphere.security.FIPSLevel=SP800-131
com.ibm.ssl.protocol=TLSv1.2