对 Content Platform Engine 启用 SSL
启用 SSL 时,将把一个服务器证书添加到“目录服务”服务器(用于执行认证)。另外,将在 Content Platform Engine 服务器上的两个不同位置添加 CA 证书(JDK 路径位置用于执行授权)。请小心确保将正确的证书添加到这三个位置。
过程
要对 Content Platform Engine 启用 SSL,请执行下列操作:
- 获取服务器证书和 CA 证书并将其安装在目录服务上。您可以从独立认证中心(例如 VeriSign)获取这些证书,也可以生成自己的证书(如果已安装必需的证书管理软件)。
- 对目录服务启用 SSL 并设置 SSL 端口号。缺省 SSL 端口号是 636;但是,如果服务器上有多个正在使用 SSL 的目录服务,那么可能需要使用非缺省端口号。请参阅目录服务器文档以获取指示信息。
- 在 Content Platform Engine 服务器上,将该 CA 证书添加到应用程序服务器密钥库(如果该密钥库尚未包含此证书)。
- 在 Content Platform Engine 服务器上,将该 CA 证书添加到 JDK (Java™)
密钥库(如果该密钥库尚未包含此证书)。您可以使用缺省密钥库,也可以在定制位置创建自己的密钥库。
- 要使用 JDK 缺省 Java 密钥库,请执行下列操作:
- 确定应用程序服务器所使用的 Java 版本以及 JAVA_HOME 位置。
- 使用 keytool 将此 CA 证书导入到 Java 密钥库中的 %JAVA_HOME%\jre\lib\security\cacerts 位置。
- 为了改善安全性,请更改缺省密码。
- 要使用您自己的密钥库(而不是 JDK 缺省密钥库),请执行下列操作:
- 对应用程序服务器启动脚本中的 Java 命令行添加下列系统参数:
-Djavax.net.ssl.trustStore= path_to_your_keystore_file -Djavax.net.ssl.trustStorePassword= password_of_your_keystore
- 使用 Java keytool 将此 CA 证书导入到您自己的密钥库中。
- 对应用程序服务器启动脚本中的 Java 命令行添加下列系统参数:
- 要使用 JDK 缺省 Java 密钥库,请执行下列操作:
- 如果尚未启动 Administration Console for Content Platform
Engine,请将其启动:
- 在任何计算机上,打开浏览器并浏览到 Administration Console for Content Platform
Engine“登录”页面:
- 在标准可用性环境中,“登录”页面位于 http://CPE_Server:port/acce。CPE_Server 是部署了 Content Platform Engine 的系统的名称。port 是部署 Content Platform Engine 的应用程序服务器使用的 HTTP 端口。
- 在高可用性环境中,“登录”页面位于 http://virtual_server:port/acce。virtual_server 是部署 Content Platform Engine 的集群的负载均衡器或代理服务器的名称。port 是负载均衡器或代理服务器的端口号。
- 以 gcd_admin 用户身份登录。
- 在任何计算机上,打开浏览器并浏览到 Administration Console for Content Platform
Engine“登录”页面:
- 使用 IBM® Administration
Console for Content Platform Engine 将端口号设为与目录服务器上的 SSL 端口号相匹配:
- 选择导航窗格中的域节点。
- 选择详细信息窗格中的属性,打开“目录配置”的下拉列表,然后选择目录服务器类型。
- 将“目录服务器端口”值设为与目录服务器上的 SSL 端口相匹配。
- 单击关闭。
- 为 Content Platform Engine 获取另一个服务器和 CA 证书。
- 在 Content Platform Engine 服务器上创建定制身份密钥库,并将服务器证书添加到定制密钥库中。
- 通过使用应用程序服务器管理工具,启用 SSL 并指向定制身份密钥库。指示信息随应用程序服务器类型不同而有所变化;请参阅应用程序服务器文档以了解详细过程。
选项 描述 WebSphere® Application Server 配置 SSL 指令表。在 WebSphere 管理控制台的左窗格中,浏览到“安全性”>“SSL”。在右窗格中,选择 Java 安全套接字扩展 (JSSE) 指令表并指定密钥以及信任文件名和密码。 Oracle WebLogic Server 设置定制身份密钥库。在 WebLogic 管理控制台的左窗格中,浏览到 DomainName > 服务器 > ServerName。在右窗格中,选择密钥库和 SSL 并指定密钥库信息。 JBoss Application Server 请参阅应用程序服务器文档。 要点: (仅限于 WebLogic)证书中的名称必须与 WebLogic 应用程序服务器中指定的主机名匹配。如果证书中的名称是标准名称(例如 Host1.filenet.com),那么“主机”字段(WebLogic > 认证提供程序 > “Active Directory”选项卡 > “主机”字段)必须包含同一个标准主机名称。 - 将客户机配置成,根据应用程序服务器类型和客户机传输(协议)类型使用特定 URL
来连接到 Content Platform Engine。下表列示了缺省端口和样本 URL:
表 1. 缺省端口和样本 URL 协议 SSL 缺省端口 应用程序服务器 样本 URL HTTP 否 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/ HTTPS 是 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/ IIOP 否 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine IIOP 是 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine(缺省)
虽然具有 SSL 的 IIOP 的缺省端口是端口 9403,请使用端口 2809。Web 应用程序服务器将正确地解析 SSL 端口号。
HTTP 否 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/ HTTPS 是 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/ T3 (IIOP) 否 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine T3S (IIOP) 是 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine HTTP 否 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/ HTTPS 是 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/ JNP 否 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine 此表中的端口值是缺省值。如果更改应用程序服务器所侦听的端口,那么可能需要更改 Content Platform Engine 客户机所使用的端口号。
- (AIX®、HPUX、HPUXi、Linux、Linux on System z® 和 Solaris 上的 Oracle WebLogic Server 10.3.2 或更高版本)移除密钥库 (cacerts) 中具有 SHA 256 RSA 加密的所有证书。例如,如果您正在使用 IBM JRE V1.6 SR7,请移除以下三个证书:secomscrootca2、keynectisrootca 和 globalsignr3ca。
最近一次更新时间: 2015 年 10 月
p8pin261.htm
© Copyright IBM Corporation 2013, 2015.