Datei DomainZipFile verwenden

Nachfolgend werden Anwendungsfälle für die Datei DomainZipFile für verschiedene Sicherheitsstufen in Mustern beschrieben.

Die Datei DomainZipFile.zip kann im Basic Runtime-, Basic Runtime Sample- und Advanced Runtime-Muster verwendet werden.

Für die Herstellung der Verbindung der Musterscriptpakete zum DataPower-Gerät ist SSL nicht erforderlich. Wenn Sie SSL nicht verwenden, brauchen Sie keine Datei DomainZipFile.zip zu erstellen, sofern Sie kein CLI-Script benötigen, um die durch das Muster erstellte DataPower-Domäne anzupassen. In diesem Fall werden die Daten nicht verschlüsselt, wenn Sie nicht mindestens die Serverauthentifizierung verwenden. Dies stellt ein Sicherheitsrisiko dar, da Benutzer- und Kennwortinformationen während der Kommunikation mit dem Scripting-Client über eine HTTP-Verbindung an DataPower übertragen werden und diese Übertragung ansonsten durch die Zertifikate in der Datei DomainZipFile.zip geschützt wird.

Wenn der DataPower-Host nicht so konfiguriert ist, dass er das Clientzertifikat überprüft, müssen Sie die gegenseitige Authentifizierung zwischen dem Scripting-Client und dem DataPower-Gerät nicht verwenden. Es wird empfohlen, mindestens die Serverauthentifizierung zu verwenden.

Die Fallszenarios in diesem Abschnitt beschreiben unterschiedliche Sicherheitsstufen.

Das Produkt unterstützt die folgenden Fallszenarios:

Fall 1: SSL ist nicht erforderlich

Aus den erwähnten Sicherheitsgründen wird empfohlen, diese Option nur für Entwicklungsszenarios zu verwenden. Wenn Sie SSL nicht verwenden wollen, gehen Sie wie folgt vor:

  1. Setzen Sie den Parameter für 'SCP_host' auf den Wert Unset. Wenn Sie das Basic Runtime- oder Advanced Runtime-Muster verwenden, ist dies der Parameter 'SCP_host' im Script des Pakets 'SOA Policy Gateway 2.0.0.0 - Security'. Wenn Sie das Basic Runtime Sample-Muster verwenden, ist dies der Parameter 'SCP_host' im Script des Pakets 'SOA Policy Gateway 2.0.0.0'. Dadurch wird das Script im betreffenden Muster so eingestellt, dass es die Datei DomainZipFile.zip über SCP nicht abruft.

  2. Setzen Sie die folgenden Parameter in denselben Scriptpaketen wie in Schritt 1 auf den Wert Unset:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Kennwort überprüfen (Verify password)
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Kennwort überprüfen (Verify password)

Fall 2: SSL ist nicht erforderlich, jedoch wird das CLI-Script zur Anpassung der Domäne benötigt

Aus den erwähnten Sicherheitsgründen wird empfohlen, diese Option nur für Entwicklungsszenarios zu verwenden. Gehen Sie wie folgt vor, wenn SSL nicht verwendet werden soll, jedoch ein CLI-Script erforderlich ist:

  1. Setzen Sie den Parameter für 'SCP_host' auf den Wert Unset. Wenn Sie das Basic Runtime- oder Advanced Runtime-Muster verwenden, ist dies der Parameter 'SCP_host' im Script des Pakets 'SOA Policy Gateway 2.0.0.0 - Security'. Wenn Sie das Basic Runtime Sample-Muster verwenden, ist dies der Parameter 'SCP_host' im Script des Pakets 'SOA Policy Gateway 2.0.0.0'. Dadurch wird das Script im betreffenden Muster so eingestellt, dass es die Datei DomainZipFile.zip über SCP nicht abruft.

  2. Setzen Sie die folgenden Parameter in denselben Scriptpaketen wie in Schritt 1 auf den Wert Unset:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Kennwort überprüfen (Verify password)
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Kennwort überprüfen (Verify password)
    Anmerkung: Wenn der Parameter 'SCP_host' den Wert Unset hat, ist eine Datei DomainZipFile.zip nur erforderlich, wenn Sie ein CLI-Script haben, das Sie im Basic Runtime- bzw. Advanced Runtime-Muster ausführen möchten.
  3. Stellen Sie die CLI-Scriptdatei, die Sie verwenden wollen, in das Stammverzeichnis der Datei DomainZipFile.zip. Ein Beispiel für die Struktur der Datei DomainZipFile.zip sieht wie folgt aus:

    /cli.cli

    Diese Datei wird am Ende des DataPower Domain-Scriptpakets ausgeführt. Der Name cli.cli ist ein Beispieldateiname. Der Dateiname darf keine Leerzeichen enthalten.

Fall 3: Serverauthentifizierung des DataPower-Zertifikats durch den Scripting-Client ist erforderlich

Sie müssen alle Zertifikate der DataPower-Zertifikatskette bereitstellen, durch die die XML-Managementschnittstelle (XML Management Interface) geschützt wird. Führen Sie die folgenden Schritte aus, um diese Zertifikate zu finden:
  1. Suchen Sie im SSL-Proxy-Profil nach 'XML Management Interface' und suchen Sie das Kryptoprofil (CryptoProfile). Das Kryptoprofil enthält die Berechtigungsnachweise zur Identifikation, die die Zertifikate enthalten, die zum Schutz der XML-Managementschnittstelle verwendet werden.

  2. Fügen Sie diese Zertifikate der Datei DomainZipFile.zip hinzu.

    Das Format sieht wie folgt aus:
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    Wenn Sie das Szenario mit mehreren Domänen verwenden, kann die Datei zwei verschiedene Verzeichnisse dataPowerHostName enthalten, die jeweils die folgenden Dateien für die DataPower-Zertifikatskette enthalten:
    • clientCertificate.crt clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Anmerkung: Die DataPower-Zertifikatskettendateien müssen den Typ .crt oder .pem haben und dürfen nur das Zertifikat selbst enthalten. Die hier verwendeten Namen der .crt- oder .pem-Dateien sind Beispiele. Der Dateiname darf keine Leerzeichen enthalten.
  3. Optional: Wenn Sie nur die Serverauthentifizierung für das Script aus dem Paket 'SOA Policy Gateway 2.0.0.0 - Security', das von dem Basic Runtime- und dem Advanced Runtime-Muster verwendet wird, oder nur das Script 'SOA Policy Gateway 2.0.0.0 - Sample' im Basic Runtime Sample-Muster benötigen, verwenden Sie Unset als Wert für die folgenden Parameter in diesen Scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Kennwort überprüfen (Verify password)
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Kennwort überprüfen (Verify password)
  4. Optional: Wenn ein CLI-Script erforderlich ist:

    Stellen Sie die CLI-Scriptdatei, die Sie verwenden wollen, in das Stammverzeichnis der Datei DomainZipFile.zip. Ein Beispiel für die Struktur der Datei DomainZipFile.zip sieht wie folgt aus:

    /cli.cli

    Diese Datei wird am Ende des DataPower Domain-Scriptpakets ausgeführt. Der Name cli.cli ist ein Beispieldateiname. Der Dateiname darf keine Leerzeichen enthalten.

Fall 4: Gegenseitige Authentifizierung mit dem DataPower-Gerät ist erforderlich

In diesem Fall erfordern der Client und der DataPower-Server eine Überprüfung der Zertifikate des jeweils anderen. Dies ist nur erforderlich, wenn der DataPower-Host im SSL-Proxy-Profil für die XML-Managementschnittstelle (XML Management Interface) zur Überprüfung der Zertifikate des Clients konfiguriert ist.
  1. Fügen Sie diese Zertifikate der Datei DomainZipFile.zip hinzu.

    Das Format sieht wie folgt aus:
    • clientCertificate.crt
    • clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Anmerkung: Die DataPower-Zertifikatskettendateien müssen den Typ .crt oder .pem haben und dürfen nur das Zertifikat selbst enthalten. Die hier verwendeten Namen der .crt- oder .pem-Dateien sind Beispiele. Der Dateiname darf keine Leerzeichen enthalten.

    Die Clientzertifikatdatei und die Clientschlüsseldatei können die Daten in der Zertifikats- bzw. Schlüsseldatei vor der Zeile enthalten, die wie folgt aussieht: -----BEGIN CERTIFICATE-----.

  2. Optional: Wenn Sie die Serverauthentifizierung für das Script aus dem Paket 'SOA Policy Gateway 2.0.0.0 - Security', das von dem Basic Runtime- und dem Advanced Runtime-Muster verwendet wird, oder das Script 'SOA Policy Gateway 2.0.0.0 - Sample' im Basic Runtime Sample-Muster benötigen, verwenden Sie Unset als Wert für die folgenden Parameter in diesen Scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Kennwort überprüfen (Verify password)
  3. Wenn kein Kennwort für die Datei mit dem öffentlichen Schlüssel vorhanden ist, kann der Wert für die folgenden Parameter Unset sein:
    • CLIENT_PUBLIC_KEY_password
    • Kennwort überprüfen (Verify password)
  4. Die curl-Befehle, die von den Scriptpaketen verwendet werden, gehen von der Annahme aus, dass der Dateityp .pem ist, sodass die Parameter --key-type und --cert-type standardmäßig auf PEM eingestellt sind. Die Zertifikats- und Schlüsseldateien können diesen Inhalt vor -----BEGIN CERTIFICATE----- in der jeweiligen Zertifikats- bzw. Schlüsseldatei enthalten.

  5. Optional: Wenn ein CLI-Script bei Verwendung des Basic Runtime- oder Advanced Runtime-Musters erforderlich ist:

    Stellen Sie die CLI-Scriptdatei, die Sie verwenden wollen, in das Stammverzeichnis der Datei DomainZipFile.zip. Ein Beispiel für die Struktur der Datei DomainZipFile.zip sieht wie folgt aus:

    /cli.cli

    Diese Datei wird am Ende des DataPower Domain-Scriptpakets ausgeführt. Der Name cli.cli ist ein Beispieldateiname. Der Dateiname darf keine Leerzeichen enthalten.

Durch die Auswahl eines Falls haben Sie die entsprechende Sicherheitsstufe mit oder ohne Verwendung der Datei DomainZipFile.zip konfiguriert.

Konzept Konzept

Feedback


Timestamp icon Letzt aktualisiert: 16. Oktober 2012


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/csoa2_using_domainzip.htm