WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

SOAPInput- und SOAPReply-Knoten für die Verwendung von SSL (HTTPS) konfigurieren

Konfigurieren Sie die SOAP-Knoten für die Kommunikation mit anderen Anwendungen, die HTTPS verwenden, indem Sie eine Schlüsselspeicherdatei erstellen und den Broker für die Verwendung von SSL konfigurieren.

Vorbereitungen: Richten Sie eine PKI-Infrastruktur auf Broker- oder Ausführungsgruppenebene ein: PKI-Infrastruktur konfigurieren.

Führen Sie diese Schritte aus, um die SOAPInput- und SOAPReply-Knoten für die Kommunikation mit anderen Anwendungen unter Verwendung von HTTP über SSL zu konfigurieren:

  1. Bei Verwendung des Brokerempfangsprogramms: Konfigurieren Sie den Broker für die Verwendung von SSL
  2. Bei Verwendung des (integrierten) Ausführungsgruppen-Empfangsprogramms: Konfigurieren Sie eine Ausführungsgruppe für die Verwendung von SSL
  3. Konfiguration testen

Wenn Sie den Broker und die Ausführungsgruppen so konfiguriert haben, dass für einige Ausführungsgruppen das Brokerempfangsprogramm und für andere Ausführungsgruppen das Ausführungsgruppen-Empfangsprogramm verwendet wird, muss für die erste Kategorie von Ausführungsgruppen Schritt 1 und für jede Ausführungsgruppe der zweiten Kategorie Schritt 2 ausgeführt werden.

Welches Empfangsprogramm für HTTP-Nachrichten zu verwenden ist, wird im Abschnitt HTTP-Empfangsprogramme erläutert.

Broker für die Verwendung von SSL konfigurieren

Gehen Sie dazu wie folgt vor:

  1. Aktivieren Sie die SSL-Unterstützung im Broker, indem Sie einen Wert für enableSSLConnector festlegen.
    mqsichangeproperties Brokername
      -b httplistener -o HTTPListener 
      -n enableSSLConnector -v true
  2. Optional: Wenn Sie den Standardport 7083 nicht für HTTPS-Nachrichten verwenden möchten, geben Sie den Port an, an dem der Broker empfangsbereit ist:
    mqsichangeproperties Brokername
      -b httplistener -o HTTPSConnector
      -n port -v Port, an dem HTTPS empfangen werden soll

    Auf UNIX-Systemen können nur die Prozesse, die unter einem privilegierten Benutzerkonto aktiv sind (in der Regel 'Root'), ein Verbindung zu Ports mit niedrigeren Nummern als 1024 herstellen.

    Damit der Broker an diesen Ports empfangsbereit ist, muss es sich bei der Benutzer-ID, unter der der Broker gestartet wird, um den Root-Benutzer handeln.
  3. Optional: Clientauthentifizierung (gegenseitige Authentifizierung) aktivieren:
    mqsichangeproperties Brokername -b httplistener -o HTTPSConnector
      -n clientAuth -v true 
  4. Starten Sie den Broker erneut, wenn Sie eine oder mehrere der Eigenschaften des HTTP-Empfangsprogramms geändert haben.
  5. Optional: Zeigen Sie die Eigenschaften des HTTP-Empfangsprogramms mit folgenden Befehlen an:
    mqsireportproperties Brokername -b httplistener -o AllReportableEntityNames -a 
    mqsireportproperties Brokername -b httplistener -o HTTPListener -a 
    mqsireportproperties Brokername -b httplistener -o HTTPSConnector  -a 

Ausführungsgruppe für die Verwendung von SSL konfigurieren

Gehen Sie dazu wie folgt vor:

  1. Optional: Geben Sie einen bestimmten Port an, den die Ausführungsgruppe auf HTTPS-Anforderungen überwacht, oder geben Sie keinen Wert an, wenn die nächste verfügbare Portnummer verwendet werden soll.
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n explicitlySetPortNumber -v Portnummer
    Auf UNIX-Systemen können nur die Prozesse, die unter einem privilegierten Benutzerkonto aktiv sind (in der Regel 'Root'), ein Verbindung zu Ports mit niedrigeren Nummern als 1024 herstellen. Damit diese Ausführungsgruppe an diesen Ports empfangsbereit ist, muss es sich bei der Benutzer-ID, unter der die Ausführungsgruppe gestartet wird, um den Root-Benutzer handeln.

    Wenn Sie diesen Schritt nicht ausführen, wird der erste verfügbare Port im Standardbereich (7843 - 7884) verwendet.

  2. Optional: Clientauthentifizierung (gegenseitige Authentifizierung) aktivieren:
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n clientAuth -v true 
  3. Optional: Ändern Sie das SSL-Protokoll. Das Standardprotokoll für den HTTPInput-Knoten ist TLS. Führen Sie folgenden Befehl aus, um es in SSL zu ändern:
    mqsichangeproperties Brokername
      -e Ausführungsgruppenname -o HTTPSConnector
      -n sslProtocol -v SSL
  4. Starten Sie den Broker erneut, wenn Sie eine oder mehrere der Eigenschaften des Empfangsprogramms geändert haben.
  5. Optional: Zeigen Sie die HTTPS-Eigenschaften mit folgendem Befehl an:
    mqsireportproperties Brokername 
      -e Ausführungsgruppenname -o HTTPSConnector -r 

Konfiguration testen

Sie können Ihre Konfiguration mithilfe des Beispiels SOAP Nodes (SOAP-Knoten) testen. Informationen zu Beispielen können nur bei Verwendung des in das WebSphere Message Broker Toolkit integrierten bzw. online verfügbaren Information Center angezeigt werden. Muster können nur ausgeführt werden, wenn das im WebSphere Message Broker Toolkit integrierte Information Center verwendet wird.
  1. Importieren Sie das Muster SOAP Nodes (SOAP-Knoten).
  2. Führen Sie die folgenden Schritte aus, um SSL im Nachrichtenfluss 'SOAPNodesSampleConsumerFlow' zu aktivieren:
    1. Öffnen Sie den untergeordneten Nachrichtenfluss 'Invoke_submitPO'.
    2. Ändern Sie die HTTPTransport-Eigenschaften für den SOAPRequest-Knoten. Nehmen Sie im Feld Web-Service-URL die folgenden Änderungen vor:
      • Ändern Sie http in https.
      • Ändern Sie die Portnummer in die Portnummer des HTTPSConnector-Ports.
      Anmerkung: Die Standardnummer des HTTPSConnector-Ports lautet 7843; wenn dieser jedoch von der Standardeinstellung abweicht, können Sie die in Ihrer Implementierung konfigurierte Portnummer mit folgendem Befehl ermitteln.
      mqsireportproperties Brokername -e Ausführungsgruppenname -o HTTPSConnector  -n port 
      Wenn in Ihrer Implementierung keine weiteren HTTPS-Services konfiguriert sind, gibt der Befehl mqsireportproperties den Wert 0 zurück. In diesem Fall wird vermutlich der Standardport 7843 für den HTTPSConnector-Port verwendet.
    3. Wenn Sie Ihre PKI-Infrastruktur nach den Anweisungen im Abschnitt PKI-Infrastruktur konfigurieren eingerichtet haben, sollten alle weiteren Eigenschaften korrekt eingestellt sein. Andernfalls müssen Sie das entsprechende Protokoll auswählen und die SSL-Eigenschaften an Ihre Konfiguration anpassen.
  3. Aktivieren Sie SSL im Nachrichtenfluss 'SOAPNodesSampleProvider'. Öffnen Sie hierzu die Eigenschaften des SOAPInput-Knotens und wählen Sie im Fenster mit den HTTP-Transport-Eigenschaften die Option HTTPS verwenden aus.
  4. Wandeln Sie 'OrderService_SOAPNodesSampleProviderFlow' und 'submitPO_OrderService_SOAPNodesSampleConsumerFlow' in untergeordnete Nachrichtenflüsse um, sofern sie dies nicht bereits sind. Weitere Informationen zur Umwandlung zwischen Nachrichtenflüssen und untergeordneten Nachrichtenflüssen finden Sie im Abschnitt Konvertierung zwischen Nachrichtenflüssen und untergeordneten Nachrichtenflüssen.
  5. Aktualisieren und implementieren Sie die BAR-Datei.
  6. Testen Sie das Muster. Führen Sie dazu zum Beispiel die folgenden Schritte aus:
    1. Geben Sie die folgende URL in einem Web-Browser ein.
      https://localhost:Portnummer/acmeOrders/WADDR/ProcessOrders
      Dabei ist Portnummer die Portnummer des HTTPSConnector-Ports.
    2. Wenn Sie aufgefordert werden, das Zertifikat zu akzeptieren, klicken Sie auf Ja.

    Wenn Sie in Ihrer PKI-Infrastruktur ein selbst signiertes Zertifikat verwenden, funktioniert das Muster korrekt, wenn im Browserfenster die Nachricht There is a problem with this web site's security certificate (Mit dem Sicherheitszertifikat dieser Website gibt es ein Problem) ausgegeben wird.

    Wenn Sie in Ihrer PKI-Infrastruktur ein Zertifikat einer Zertifizierungsstelle verwenden, funktioniert das Muster korrekt, wenn im Browser neben der URL ein Sperrsymbol angezeigt wird.
    Anmerkung: In Verbindung mit diesem Muster können Sie alle Fehlernachrichten ignorieren.
Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:21:56


TaskthemaTaskthema | Version 8.0.0.5 | ap34021_