Content Platform Engine, V 5.2.1              

Content Platform Engine 启用 SSL

启用 SSL 时,将把一个服务器证书添加到“目录服务”服务器(用于执行认证)。另外,将在 Content Platform Engine 服务器上的两个不同位置添加 CA 证书(JDK 路径位置用于执行授权)。请小心确保将正确的证书添加到这三个位置。

过程

要对 Content Platform Engine 启用 SSL,请执行下列操作:

  1. 获取服务器证书和 CA 证书并将其安装在目录服务上。您可以从独立认证中心(例如 VeriSign)获取这些证书,也可以生成自己的证书(如果已安装必需的证书管理软件)。
  2. 对目录服务启用 SSL 并设置 SSL 端口号。缺省 SSL 端口号是 636;但是,如果服务器上有多个正在使用 SSL 的目录服务,那么可能需要使用非缺省端口号。请参阅目录服务器文档以获取指示信息。
  3. Content Platform Engine 服务器上,将该 CA 证书添加到应用程序服务器密钥库(如果该密钥库尚未包含此证书)。
  4. Content Platform Engine 服务器上,将该 CA 证书添加到 JDK (Java™) 密钥库(如果该密钥库尚未包含此证书)。您可以使用缺省密钥库,也可以在定制位置创建自己的密钥库。
    • 要使用 JDK 缺省 Java 密钥库,请执行下列操作:
      1. 确定应用程序服务器所使用的 Java 版本以及 JAVA_HOME 位置。
      2. 使用 keytool 将此 CA 证书导入到 Java 密钥库中的 %JAVA_HOME%\jre\lib\security\cacerts 位置。
      3. 为了改善安全性,请更改缺省密码。
    • 要使用您自己的密钥库(而不是 JDK 缺省密钥库),请执行下列操作:
      1. 对应用程序服务器启动脚本中的 Java 命令行添加下列系统参数:
        -Djavax.net.ssl.trustStore= path_to_your_keystore_file
        -Djavax.net.ssl.trustStorePassword= password_of_your_keystore
      2. 使用 Java keytool 将此 CA 证书导入到您自己的密钥库中。
  5. 如果尚未启动 Administration Console for Content Platform Engine,请将其启动:
    1. 在任何计算机上,打开浏览器并浏览到 Administration Console for Content Platform Engine“登录”页面:
      • 在标准可用性环境中,“登录”页面位于 http://CPE_Server:port/acceCPE_Server 是部署了 Content Platform Engine 的系统的名称。port 是部署 Content Platform Engine 的应用程序服务器使用的 HTTP 端口。
      • 在高可用性环境中,“登录”页面位于 http://virtual_server:port/accevirtual_server 是部署 Content Platform Engine 的集群的负载均衡器或代理服务器的名称。port 是负载均衡器或代理服务器的端口号。
    2. gcd_admin 用户身份登录。
  6. 使用 IBM® Administration Console for Content Platform Engine 将端口号设为与目录服务器上的 SSL 端口号相匹配:
    1. 选择导航窗格中的域节点。
    2. 选择详细信息窗格中的属性,打开“目录配置”的下拉列表,然后选择目录服务器类型。
    3. 将“目录服务器端口”值设为与目录服务器上的 SSL 端口相匹配。
    4. 单击关闭
  7. Content Platform Engine 获取另一个服务器和 CA 证书。
  8. Content Platform Engine 服务器上创建定制身份密钥库,并将服务器证书添加到定制密钥库中。
  9. 通过使用应用程序服务器管理工具,启用 SSL 并指向定制身份密钥库。指示信息随应用程序服务器类型不同而有所变化;请参阅应用程序服务器文档以了解详细过程。
    选项 描述
    WebSphere® Application Server 配置 SSL 指令表。在 WebSphere 管理控制台的左窗格中,浏览到“安全性”>“SSL”。在右窗格中,选择 Java 安全套接字扩展 (JSSE) 指令表并指定密钥以及信任文件名和密码。
    Oracle WebLogic Server 设置定制身份密钥库。在 WebLogic 管理控制台的左窗格中,浏览到 DomainName > 服务器 > ServerName。在右窗格中,选择密钥库和 SSL 并指定密钥库信息。
    JBoss Application Server 请参阅应用程序服务器文档。
    要点: (仅限于 WebLogic)证书中的名称必须与 WebLogic 应用程序服务器中指定的主机名匹配。如果证书中的名称是标准名称(例如 Host1.filenet.com),那么“主机”字段(WebLogic > 认证提供程序 > “Active Directory”选项卡 > “主机”字段)必须包含同一个标准主机名称。
  10. 将客户机配置成,根据应用程序服务器类型和客户机传输(协议)类型使用特定 URL 来连接到 Content Platform Engine。下表列示了缺省端口和样本 URL:
    表 1. 缺省端口和样本 URL
    协议 SSL 缺省端口 应用程序服务器 样本 URL
    HTTP 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine(缺省)

    虽然具有 SSL 的 IIOP 的缺省端口是端口 9403,请使用端口 2809。Web 应用程序服务器将正确地解析 SSL 端口号。

    HTTP 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine
    HTTP 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine

    此表中的端口值是缺省值。如果更改应用程序服务器所侦听的端口,那么可能需要更改 Content Platform Engine 客户机所使用的端口号。

  11. (AIX®、HPUX、HPUXi、Linux、Linux on System z® 和 Solaris 上的 Oracle WebLogic Server 10.3.2 或更高版本)移除密钥库 (cacerts) 中具有 SHA 256 RSA 加密的所有证书。例如,如果您正在使用 IBM JRE V1.6 SR7,请移除以下三个证书:secomscrootca2keynectisrootcaglobalsignr3ca


最近一次更新时间: 2015 年 10 月
p8pin261.htm

© Copyright IBM Corporation 2013, 2015.