SSL für Content Platform Engine aktivieren
Wenn Sie SSL aktivieren, wird dem Directory Services-Server ein Serverzertifikat zur Authentifizierung hinzugefügt. Darüber hinaus wird an zwei unterschiedlichen Positionen auf dem Content Platform Engine-Server das Zertifikat einer Zertifizierungsstelle hinzugefügt (die JDK-Pfadposition dient der Autorisierung). Stellen Sie unbedingt sicher, dass an den drei Positionen jeweils die richtigen Zertifikate eingefügt werden.
Vorgehensweise
So aktivieren Sie SSL für Content Platform Engine:
- Beziehen und installieren Sie ein Serverzertifikat und das Zertifikat einer Zertifizierungsstelle für den Verzeichnisservice. Sie erhalten diese Zertifikate von unabhängigen Zertifizierungsstellen wie z. B. VeriSign; alternativ können Sie Ihre eigenen Zertifikate generieren, wenn Sie die notwendige Software für das Zertifikatsmanagement installiert haben.
- Aktivieren Sie SSL im Verzeichnisservice und legen Sie die SSL-Portnummer fest. Die Standardnummer für den SSL-Port ist 636, wenn jedoch auf Ihrem Server SSL von mehreren Verzeichnisservices verwendet wird, müssen Sie möglicherweise eine andere Portnummer als die Standardnummer verwenden. Anleitungen hierzu finden Sie in der Dokumentation zu Ihrem Verzeichnisserver.
- Fügen Sie dem Keystore des Anwendungsservers auf dem Content Platform Engine-Server das Zertifikat einer Zertifizierungsstelle hinzu, sofern es dort nicht bereits vorhanden ist.
- Fügen Sie dem JDK-Keystore (für Java™) auf dem Content Platform Engine-Server das Zertifikat der Zertifizierungsstelle hinzu, sofern es dort nicht bereits vorhanden ist. Sie können den Standard-Keystore verwenden oder Ihren eigenen an einer benutzerdefinierten Position erstellen.
- Führen Sie die folgenden Schritte aus, um den JDK-Java-Standard-Keystore zu verwenden:
- Ermitteln Sie, welche Java-Version Ihr Anwendungsserver verwendet, sowie die Position von JAVA_HOME.
- Verwenden Sie das Keytool, um das Zertifikat einer Zertifizierungsstelle in den Java-Keystore unter %JAVA_HOME%\jre\lib\security\cacerts zu importieren.
- Ändern Sie zur Verbesserung der Sicherheit das Standardkennwort.
- Führen Sie die folgenden Schritte aus, um Ihren eigenen Keystore anstelle des JDK-Standard-Keystores zu verwenden:
- Fügen Sie im Startscript Ihres Anwendungsservers der Java-Befehlszeile die folgenden Systemparameter hinzu:
-Djavax.net.ssl.trustStore= Pfad_zu_Ihrer_Keystore-Datei -Djavax.net.ssl.trustStorePassword= Kennwort_für_Ihren_Keystore
- Verwenden Sie das Java-Keytool, um das Zertifikat einer Zertifizierungsstelle in Ihren eigenen Keystore zu importieren.
- Fügen Sie im Startscript Ihres Anwendungsservers der Java-Befehlszeile die folgenden Systemparameter hinzu:
- Führen Sie die folgenden Schritte aus, um den JDK-Java-Standard-Keystore zu verwenden:
- Starten Sie Administration Console for Content Platform Engine, sofern nicht
bereits geschehen:
- (Für alle Computer) Öffnen Sie einen Browser und navigieren Sie zur Anmeldeseite von Administration Console for Content Platform Engine:
- In einer Standardverfügbarkeitsumgebung befindet sich die Anmeldeseite unter http://CPE-Server:Port/acce. CPE-Server ist der Name des Systems, auf dem Content Platform Engine implementiert ist. Port ist der HTTP-Port, der von dem Anwendungsserver verwendet wird, auf dem Content Platform Engine implementiert ist.
- In einer Hochverfügbarkeitsumgebung befindet sich die Anmeldeseite unter http://virtueller_Server:Port/acce. virtueller_Server ist der Name der Lastausgleichsfunktion oder des Proxy-Servers, auf dem die Cluster von Content Platform Engine implementiert sind. Port ist die Portnummer der Lastausgleichsfunktion oder des Proxy-Servers.
- Melden Sie sich als GCD-Administrator an.
- (Für alle Computer) Öffnen Sie einen Browser und navigieren Sie zur Anmeldeseite von Administration Console for Content Platform Engine:
- Verwenden Sie IBM® Administration Console for Content Platform Engine, um die Portnummer so festzulegen, dass sie mit der SSL-Portnummer auf dem Verzeichnisserver übereinstimmt:
- Wählen Sie den Domänenknoten im Navigationsteilfenster aus.
- Wählen Sie Eigenschaften im Detailteilfenster aus, öffnen Sie die Dropdown-Liste für Verzeichniskonfigurationen und wählen Sie den Typ Ihres Verzeichnisservers aus.
- Setzen Sie den Portwert für Directory Server so, dass er mit dem SSL-Port in Directory Server übereinstimmt.
- Klicken Sie auf Schließen.
- Beziehen Sie für Content Platform Engine ein weiteres Serverzertifikat und ein weiteres Zertifikat einer Zertifizierungsstelle.
- Erstellen Sie auf dem Content Platform Engine-Server einen benutzerdefinierten Identitätskeystore und fügen Sie diesem benutzerdefinierten Keystore das Serverzertifikat hinzu.
- Aktivieren Sie SSL mit dem Verwaltungstool des Anwendungsservers und verweisen Sie auf den benutzerdefinierten Identitätskeystore. Je nach Anwendungsservertyp sind die Anweisungen hierzu unterschiedlich; weitere Informationen zur detaillierten Vorgehensweise finden Sie in der Dokumentation zu Ihrem Anwendungsserver.
Option Bezeichnung WebSphere Application Server SSL-Repertoire konfigurieren. Navigieren Sie im linken Fensterbereich der WebSphere-Administrationskonsole zu Sicherheit > SSL. Wählen Sie im rechten Fensterbereich Ihr JSSE-Repertoire (Java Secure Socket Extension) aus und geben Sie den Schlüssel sowie Trustdateinamen und Kennwörter an. Oracle WebLogic Server Benutzerdefinierten Identitätskeystore einrichten. Navigieren Sie im linken Fensterbereich der WebLogic-Administrationskonsole zu Domänenname > Server > Servername. Wählen Sie im rechten Fensterbereich die Keystores und SSL aus und geben Sie die Keystore-Informationen an. JBoss Application Server Weitere Informationen finden Sie in der Dokumentation zu Ihrem Anwendungsserver. Wichtig: (Nur WebLogic) Der Name in Ihrem Zertifikat muss mit dem Hostnamen übereinstimmen, der auf Ihrem WebLogic-Anwendungsserver angegeben ist. Ist der Name im Zertifikat vollständig qualifiziert (z. B. Host1.filenet.com), muss derselbe vollständig qualifizierte Hostname im Hostfeld angezeigt werden (WebLogic > Authentication Provider > Registerkarte 'Active Directory' > Host field). - Konfigurieren Sie Clients so, dass abhängig vom Anwendungsservertyp und Protokolltyp für den Clienttransport eine bestimmte URL zum Verbinden mit Content Platform Engine verwendet wird.
In der folgenden Tabelle sehen Sie die Standardports und die Beispiel-URLs:
Tabelle 1. Standardports und Beispiel-URLs Protokoll SSL Standard-
portAnwendungsserver Beispiel-URL HTTP nein 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/ HTTPS ja 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/ IIOP nein 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine IIOP ja 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine (Standard)
Port 9403 ist zwar der Standardport für IIOP mit SSL, verwenden Sie jedoch 2809. Der Webanwendungsserver löst die SSL-Portnummer korrekt auf.
HTTP nein 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/ HTTPS ja 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/ T3 (IIOP) nein 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine T3S (IIOP) ja 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine HTTP nein 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/ HTTPS ja 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/ JNP nein 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine Die Portwerte in der Tabelle sind Standardwerte. Wenn Sie den Port ändern, an dem Ihr Anwendungsserver empfangsbereit ist, müssen Sie möglicherweise die Portnummer ändern, die der Client von Content Platform Engine verwendet.
- (Version 10.3.2 oder älter von Oracle WebLogic Server on AIX, HPUX, HPUXi, Linux, Linux on System z, Solaris) Entfernen Sie alle Zertifikate mit SHA-256-RSA-Verschlüsselung (cacerts) im Keystore. Wenn Sie z. B. IBM JRE Version 1.6 SR7 verwenden, entfernen Sie die folgenden drei Zertifikate: secomscrootca2, keynectisrootca und globalsignr3ca.
Letzte Aktualisierung: Oktober 2015
p8pin261.htm
© Copyright IBM Corp. 2013, 2015.