WebSphere Message Broker Version 8.0.0.5 Betriebssysteme: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Sehen Sie sich die Informationen zur aktuellen Produktversion im IBM Integration Bus Version 9.0 an.

SSL für externe WebSphere eXtreme Scale-Grids aktivieren

Sie können SSL für ein externes WebSphere eXtreme Scale-Grid aktivieren, indem Sie eine PKI-Infrastruktur einrichten und dann SSL für eine Ausführungsgruppe aktivieren.

Bevor Sie beginnen:

Lesen Sie die Konzeptinformationen in den Abschnitten WebSphere eXtreme Scale-Grids und Verschlüsselung mit öffentlichem Schlüssel.

Sie können SSL für Clientverbindungen mit externen WebSphere eXtreme Scale-Grids aktivieren. Allerdings können Sie kein SSL für Server im eingebetteten globalen Cache aktivieren.

Zur Aktivierung der SSL-Kommunikation müssen Sie den Schlüsselspeicher, den Truststore, Kennwörter und Zertifikate konfigurieren. Importieren Sie zur Aktivierung der Serverauthentifizierung das öffentliche Zertifikat aus dem WebSphere eXtreme Scale-Server in den Truststore des Brokers oder der Ausführungsgruppe. Wenn der Server eine Clientauthentifizierung benötigt, müssen Sie außerdem im Schlüsselspeicher des Brokers oder der Ausführungsgruppe einen privaten Schlüssel erstellen, dem der WebSphere eXtreme Scale-Server vertraut.

Anschließend legen Sie die Eigenschaften für die Ausführungsgruppe fest, um SSL zu aktivieren und das erforderliche Protokoll anzugeben. Darüber hinaus können Sie im Fall mehrerer Schlüssel einen bestimmten Schlüssel festlegen, der verwendet werden soll. SSL-Verbindungen können nur von Ausführungsgruppen aus erfolgen, in denen keine Katalog- oder Container-Server betrieben werden.

In den folgenden Schritten ist beschrieben, wie SSL für ein externes WebSphere eXtreme Scale-Grid aktiviert wird.

  1. Richten Sie mithilfe der Anweisungen im Abschnitt PKI-Infrastruktur konfigurieren eine PKI-Infrastruktur ein. Sie können die PKI-Infrastruktur auf Broker- oder auf Ausführungsgruppenebene einrichten.

    Verbindungen mit externen WebSphere eXtreme Scale-Grids können öffentliche Zertifikate, die sich in der JVM-Datei 'cacerts' befinden, nicht implizit verwenden.

  2. Verwenden Sie eine der folgenden Methoden, um sicherzustellen, dass Sie SSL für eine Ausführungsgruppe aktivieren, die keinen Katalog- oder Container-Server betreibt:
    • Setzen Sie die Richtlinie auf Brokerebene auf none (keine), damit Sie die Rollen für die Ausführungsgruppen manuell angeben können. Wenn Sie beispielsweise sicherstellen möchten, dass eine Ausführungsgruppe keinen Katalog- oder Container-Server betreibt, führen Sie folgenden mqsichangeproperties-Befehl aus:
      mqsichangeproperties Brokername -e execution_group_1 -o ComIbmCacheManager -n enableCatalogService,enableContainerService -v false,false
    • Setzen Sie die Richtlinie auf Brokerebene auf disabled, um den eingebetteten globalen Cache zu inaktivieren und um sicherzustellen, dass keine Ausführungsgruppen WebSphere eXtreme Scale-Serverkomponenten betreiben.
    Verwenden Sie eine der folgenden Methoden, um die Richtlinie auf Brokerebene festzulegen:
    • Führen Sie in der Befehlszeile folgenden Befehl aus und setzen Sie dabei den Parameter -b auf none (Keine) oder disabled (Inaktiviert):
      mqsichangebroker Brokername -b none
    • Klicken Sie im WebSphere Message Broker Explorer mit der rechten Maustaste auf den entsprechenden Broker, klicken Sie auf Eigenschaften und anschließend auf Globaler Cache und setzen Sie dann die Cacherichtlinie auf none (Keine) oder disabled (Inaktiviert).
  3. Optional: Wenn Sie die Richtlinie auf Brokerebene auf none setzen, vergewissern Sie sich, dass die Eigenschaften enableCatalogService und enableContainerService für jede Ausführungsgruppe, für die Sie SSL aktivieren, auf false gesetzt sind.
    Verwenden Sie eine der folgenden Methoden:
    • Führen Sie in der Befehlszeile folgenden Befehl aus und vergewissern Sie sich dann, dass beide Eigenschaften auf 'false' gesetzt sind:
      mqsireportproperties Brokername -e Ausführungsgruppenname -o ComIbmCacheManager -r 
    • Wählen Sie im WebSphere Message Broker Explorer die Eigenschaften für jede Ausführungsgruppe und anschließend Globaler Cache aus. Vergewissern Sie sich, dass die Eigenschaften Katalogserver aktiviert und Container-Server aktiviert nicht ausgewählt sind.
  4. Legen Sie zur Aktivierung von SSL die folgenden Eigenschaften für die entsprechende Ausführungsgruppe fest:
    • Um SSL zu aktivieren, setzen Sie clientsDefaultToSSL auf true.
    • Um ein SSL-Protokoll anzugeben, setzen Sie sslProtocol auf einen Wert, der vom IBM® JSSE2-Sicherheitsprovider erkannt wird.
    • Falls für das externe Grid eine Clientauthentifizierung erforderlich ist und mehrere vertrauenswürdige private Schlüssel im Schlüsselspeicher des Brokers enthalten sind, setzen Sie sslAlias auf den entsprechenden Schlüssel.
    Weitere Informationen zu diesen Eigenschaften finden Sie im Abschnitt Parameterwerte für die Cache-Manager-Komponente.
    Verwenden Sie eine der folgenden Methoden, um diese Eigenschaften für die Ausführungsgruppe festzulegen:
    • Führen Sie in der Befehlszeile den Befehl mqsichangeproperties wie in folgendem Beispiel aus:
      mqsichangeproperties Brokername -e execution_group_1 -o ComIbmCacheManager 
      -n clientsDefaultToSSL,sslProtocol,sslAlias -v true,SSL_TLS,ProdKey
    • Wählen Sie im WebSphere Message Broker Explorer die Eigenschaften für jede Ausführungsgruppe und anschließend Globaler Cache aus. Wählen Sie clientsDefaultToSSL aus und legen Sie bei Bedarf das SSL-Protokoll und das SSL-Schlüsselalias fest.
  5. Starten Sie die Ausführungsgruppe erneut. Der Abschnitt mqsireload-Befehl enthält weitere Informationen hierzu.
  6. Stellen Sie mithilfe der Anweisungen im Abschnitt Verbindung zu einem WebSphere eXtreme Scale-Grid herstellen eine Verbindung zum WebSphere eXtreme Scale-Grid her.

Die Einstellungen für den Schlüsselspeicher, Truststore und das Protokoll werden überprüft, wenn die Ausführungsgruppe zum ersten Mal eine Verbindung herstellt (entweder zum eingebetteten Grid oder bei der ersten Fernverbindung). Fehler in der Konfiguration werden als Warnung gemeldet und SSL-Verbindungen werden daraufhin verhindert. Eine Warnung wird beispielsweise ausgegeben, wenn eine Schlüsselspeicherdatei nicht gefunden werden kann, die Datei beschädigt oder das Schlüsselspeicherkennwort falsch ist.

Wenn Sie SSL aktivieren und versuchen, von einer Ausführungsgruppe aus, die WebSphere eXtreme Scale-Serverkomponenten betreibt, eine Verbindung herzustellen, schlägt die Verbindung mit einer ausführlichen Ausnahmebedingungsnachricht (BIP7144) fehl. In dieser Nachricht wird der Grund für das Fehlschlagen der Verbindung erläutert. Wenn eine Ausnahmebedingung im Zusammenhang mit einem SSL-Handshake auftritt, schlägt der Nachrichtenfluss fehl und die Ausnahmebedingungsnachricht BIP7147 wird ausgegeben.

Bemerkungen | Marken | Downloads | Bibliothek | Support | Feedback

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Letzte Aktualisierung:
        
        Letzte Aktualisierung: 2015-02-28 16:22:32


TaskthemaTaskthema | Version 8.0.0.5 | bc23797_