WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

HTTPInput- und HTTPReply-Knoten für die Verwendung von SSL (HTTPS) konfigurieren

Konfigurieren Sie die HTTPInput- und HTTPReply-Knoten für die Kommunikation mit anderen Anwendungen, die HTTPS verwenden, indem Sie eine Schlüsselspeicherdatei erstellen, den Broker oder die Ausführungsgruppe für die Verwendung von SSL konfigurieren und einen Nachrichtenfluss für die Verarbeitung von HTTPS-Anforderungen erstellen.

Vorbereitungen: Richten Sie eine PKI-Infrastruktur auf Brokerebene ein; die entsprechenden Anweisungen finden Sie im Abschnitt PKI-Infrastruktur konfigurieren.

Führen Sie diese Schritte aus, um die HTTPInput- und HTTPReply-Knoten für die Kommunikation mit anderen Anwendungen unter Verwendung von HTTP über SSL zu konfigurieren:

  1. Wenn Sie die Brokerempfangsprogramme verwenden: Konfigurieren Sie den Broker für die Verwendung von SSL
  2. Wenn Sie das Ausführungsgruppen-Empfangsprogramm verwenden: Konfigurieren Sie die Ausführungsgruppe für die Verwendung von SSL
  3. Nachrichtenfluss erstellen
  4. Konfiguration testen

Wenn Sie Ihren Broker und Ihre Ausführungsgruppen so konfiguriert haben, dass das Brokerempfangsprogramm für einige Ausführungsgruppen verwendet wird, und das Ausführungsgruppen-Empfangsprogramm für andere Ausführungsgruppen, müssen Sie Schritte 1 für die erste Gruppe von Ausführungsgruppen und Schritt 2 für jede Ausführungsgruppe in der zweiten Gruppe ausführen.

Im Abschnitt HTTP-Empfangsprogramme finden Sie Informationen darüber, welches Empfangsprogramm für HTTPS-Nachrichten verwendet werden soll.

Broker für die Verwendung von SSL konfigurieren

Gehen Sie dazu wie folgt vor:

  1. Aktivieren Sie die SSL-Unterstützung im Broker, indem Sie einen Wert für enableSSLConnector festlegen.
    mqsichangeproperties Brokername
      -b httplistener -o HTTPListener 
      -n enableSSLConnector -v true
  2. Optional: Wenn Sie den Standardport 7083 nicht für HTTPS-Nachrichten verwenden möchten, geben Sie den Port an, an dem der Broker empfangsbereit ist:
    mqsichangeproperties Brokername
      -b httplistener -o HTTPSConnector
      -n port -v Port, an dem HTTPS empfangen werden soll

    Auf UNIX-Systemen können nur die Prozesse, die unter einem privilegierten Benutzerkonto aktiv sind (in der Regel 'Root'), ein Verbindung zu Ports mit niedrigeren Nummern als 1024 herstellen.

    Damit der Broker an diesen Ports empfangsbereit ist, muss es sich bei der Benutzer-ID, unter der der Broker gestartet wird, um den Root-Benutzer handeln.
  3. Optional: Clientauthentifizierung (gegenseitige Authentifizierung) aktivieren:
    mqsichangeproperties Brokername -b httplistener -o HTTPSConnector
      -n clientAuth -v true 
  4. Starten Sie den Broker erneut, wenn Sie eine oder mehrere der Eigenschaften des HTTP-Empfangsprogramms geändert haben.
  5. Optional: Zeigen Sie die Eigenschaften des HTTP-Empfangsprogramms mit folgenden Befehlen an:
    mqsireportproperties Brokername -b httplistener -o AllReportableEntityNames -a 
    mqsireportproperties Brokername -b httplistener -o HTTPListener -a 
    mqsireportproperties Brokername -b httplistener -o HTTPSConnector  -a 

Ausführungsgruppe für die Verwendung von SSL konfigurieren

Gehen Sie dazu wie folgt vor:

  1. Optional: Geben Sie einen bestimmten Port an, den die Ausführungsgruppe auf HTTPS-Anforderungen überwacht, oder geben Sie keinen Wert an, wenn die nächste verfügbare Portnummer verwendet werden soll.
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n explicitlySetPortNumber -v Portnummer
    Auf UNIX-Systemen können nur die Prozesse, die unter einem privilegierten Benutzerkonto aktiv sind (in der Regel 'Root'), ein Verbindung zu Ports mit niedrigeren Nummern als 1024 herstellen. Damit diese Ausführungsgruppe an diesen Ports empfangsbereit ist, muss es sich bei der Benutzer-ID, unter der die Ausführungsgruppe gestartet wird, um den Root-Benutzer handeln.

    Wenn Sie diesen Schritt nicht ausführen, wird der erste verfügbare Port im Standardbereich (7843 - 7884) verwendet.

  2. Optional: Clientauthentifizierung (gegenseitige Authentifizierung) aktivieren:
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n clientAuth -v true 
  3. Optional: Ändern Sie das SSL-Protokoll. Das Standardprotokoll für den HTTPInput-Knoten ist TLS. Führen Sie folgenden Befehl aus, um es in SSL zu ändern:
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n sslProtocol -v SSL
  4. Starten Sie den Broker erneut, wenn Sie eine oder mehrere der Eigenschaften des Empfangsprogramms geändert haben.
  5. Optional: Zeigen Sie die HTTPS-Eigenschaften mit folgendem Befehl an:
    mqsireportproperties Brokername 
      -e Ausführungsgruppenname -o HTTPSConnector -r 

Nachrichtenfluss für die Verarbeitung von HTTPS-Anforderungen erstellen

Sie können einen einfachen Nachrichtenfluss erstellen, der HTTPS verwenden soll. Hierbei müssen Sie einen HTTPInput-Knoten mit einem HTTPReply-Knoten verbinden. Die beiden wichtigsten Eigenschaften, die auf dem HTTPInput-Knoten festgelegt werden müssen, lauten wie folgt:

  • Pfadsuffix für URL (beispielsweise /* oder /testHTTPS)
  • HTTPS verwenden

/* bedeutet, dass im HTTPInput-Knoten auf Übereinstimmung mit allen Anforderungen überprüft wird, die an das HTTP-Empfangsprogramm für einen bestimmten Port gesendet werden. Diese Option ist sinnvoll für Testzwecke, aber nicht für Produktionssysteme geeignet.

Sie können nun den Nachrichtenfluss für den Broker implementieren. Wenn Sie alle beschriebenen Schritte ausgeführt haben, enthält das lokale Systemprotokoll (unter Windows das Ereignisprotokoll) die Nachricht BIP3132 mit dem Hinweis, dass das HTTPS-Empfangsprogramm gestartet wurde.

Sie können nun das System testen.

Konfiguration testen

Die einfachste Methode, um die korrekte Konfiguration von HTTPS zu prüfen, ist die Verwendung eines Web-Browsers zum Senden einer Anforderung an den Broker über HTTPS.

Starten Sie einen Web-Browser, und geben Sie folgende URL ein:
 https://localhost:7083/testHTTPS
Wenn Sie Änderungen an Ihrer Brokerkonfiguration vorgenommen haben, ändern Sie die entsprechenden Werte in der URL, beispielsweise die Portnummer. Wenn ein Fenster angezeigt wird, in dem Sie dazu aufgefordert werden, das Zertifikat zu akzeptieren, wählen Sie Ja aus. Der Browser aktualisiert das Fenster und zeigt eine leere HTML-Seite an:
  • In Mozilla-Browsern sieht die leere HTML-Seite wie folgt aus:
    <html>   
      <body/> 
    </html>
  • Im Internet Explorer werden folgende Informationen angezeigt:
    XML-Dokument muss über ein Element der höchsten Ebene verfügen. Fehler bei der Verarbeitung der Ressource
    'https://localhost:7083/testHTTPS'

Diese Antworten bedeuten, dass eine leere Seite zurückgegeben wurde. Die Konfiguration wurde also korrekt ausgeführt. Um in die leere Seite Inhalte einzufügen, können Sie dem Nachrichtenfluss einen Compute-Knoten hinzufügen.

Sie können einen anderen HTTPS-Client für die Verarbeitung von HTTPS-Anforderungen verwenden. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen über SSL herzustellen.

Sie können anstelle des Web-Browsers auch einen anderen HTTPS-Client wie Java™ oder .NET Client verwenden. Je nach Clienttyp müssen Sie möglicherweise das (mit Keytool) erstellte Zertifikat aus der Schlüsselspeicherdatei des HTTP-Empfangsprogramms in den Schlüsselspeicher des Clients importieren. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen herzustellen.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:55


TaskthemaTaskthema | Version 8.0.0.5 | ap12234_