![[17.0.0.3 und höher]](../ng_v17003plus.gif)
Filter für abgehende Verbindungen für SSL-Konfigurationen
Mit SSL-Filtern für abgehende Verbindungen können Sie Liberty so konfigurieren, dass mehrere SSL-Konfigurationen für abgehende Verbindungen zu einem Host oder zu Host/Port-Kombinationen verwendet werden können.
Liberty verwendet die SSL-Standardkonfiguration standardmäßig für eingehende und abgehende SSL-Verbindungen. Benutzer können in Liberty auch einen globalen Standardwert für abgehende Verbindungen konfigurieren, der es ihnen erlaubt, eine einzige SSL-Konfiguration für den Standardwert für abgehende Verbindungen zu konfigurieren. Weitere Informationen zum Konfigurieren von SSL-Einstellungen für abgehende Verbindungen finden Sie unter SSL-Einstellungen für abgehende Kommunikation konfigurieren.
SSL-Filter für abgehende Verbindungen werden im Element outboundConnection konfiguriert, das im Element ssl verschachtelt ist. Mit dem Element outboundConnection können Sie einen Host oder eine Host/Port-Kombination als Ziel für die abgehende SSL-Verbindung angeben.
Attribute des Elements "OutboundConnection"
Attribut | Beschreibung | Standardwert |
---|---|---|
host | Der Zielhost der abgehenden Verbindung. | Kein Standardwert, aber der Benutzer muss einen Hostnamen angeben. |
port | Der Zielport der abgehenden Verbindung. | Kein Standardwert. Wenn das Attribut "port" nicht konfiguriert wird, sucht der Filter nach Hostnamen, die einem beliebigen Port auf dem Zielserver zugeordnet sind. |
clientCertificate | Die abgehende SSL-Verbindung verwendet diesen Zertifikatsalias, wenn die Verbindung einen Server als Ziel hat, der die Clientzertifikatsauthentifizierung unterstützt bzw. erfordert. | Kein Standardwert. Wenn das Attribut fehlt und die Verbindung die Clientzertifikatsauthentifizierung erfordert, verwendet Java Secure Socket Extension (JSSE) das an den Server gesendete Zertifikat. |
- Hostname, Kurzname oder vollständig qualifizierter Hostname. Die Definition muss der für die abgehende Verbindung verwendeten Definition exakt entsprechen. Wenn die abgehende Verbindung den Hostkurznamen verwendet, verwendet der Filter für den Abgleich nur den Kurznamen.
- Für das Attribut "host" kann auch ein Stern (*) angegeben werden. Wenn der Stern (*) verwendet und kein Port angegeben wird, entspricht dies allen abgehenden Verbindungen. Wenn der globale Standardwert für abgehende Verbindungen mit dem Attribut outboundSSLRef im Element sslDefault angegeben wird, tritt ein Konflikt auf. Das Attribut outboundSSLRef hat Vorrang.
- Die Hostzeichenfolge muss mit *. beginnen, um eine Domänennamensübereinstimmung zu finden. Wenn der Wert * an einer anderen Position in der Zeichenfolge angegeben wird, wird dieser als Literal * behandelt. Die abgehende Verbindung muss mit einem vollständig qualifizierten Hostnamen hergestellt werden, damit die Domäne übereinstimmt.
Der Port muss mit dem Port, der für die abgehende Verbindung verwendet wird, exakt übereinstimmen. Wenn kein Port angegeben ist, entspricht jeder Port auf dem angegebenen Host dem Filter.
Das Attribut clientCertificate ist optional. Es wird verwendet, wenn der Server, der das Ziel der abgehenden SSL-Verbindung ist, ein Clientzertifikat erfordert. Wenn der Server kein Zertifikat erfordert, wird das Attribut nicht verwendet. Wenn der Server ein Zertifikat erfordert und kein Zertifikat angegeben ist, verwendet die Verbindung das Attribut clientKeyAlias, das im übergeordneten Element ssl angegeben ist. Wenn keine der Attribute konfiguriert ist, wählt JSSE das für die Verbindung zu verwendende Zertifikat aus.
Vorrangstellung von SSL-Konfigurationen für abgehende Verbindungen
- Direkte Referenz
- Wenn ein Feature eine zu verwendende SSL-Konfiguration direkt anfordert, wird diese Konfiguration verwendet.
- outboundConnection-Filter zuordnen
- Wenn keine direkte Referenz angefordert wird, wird versucht, den abgehenden Aufruf dem outboundConnection-Elementfilter zuzuordnen.
- SSL-Standardkonfiguration für abgehende Verbindungen
- Wenn keine Übereinstimmung mit dem SSL-Filter für abgehende Verbindungen gefunden wird, wird die mit dem Attribut outboundSSLRef angegebene SSL-Konfiguration verwendet.
- SSL-Standardkonfiguration
- Wenn keine konfigurierte Standardkonfiguration für abgehende Verbindungen existiert, wird die SSL-Standardkonfiguration verwendet. Die SSL-Standardkonfiguration ist entweder die defaultSSLConfig-Konfiguration oder die mit dem Attribut sslRef im Element sslDefault angegebene Konfiguration.
Konflikte in den Filtern für abgehende Verbindungen
Wenn Konflikte zwischen den Filtern existieren, wird eine Nachricht in die Protokolle geschrieben, in der angegeben wird, welche SSL-Konfiguration verwendet wird. Diese Situation kann beispielsweise eintreten, wenn mehrere outboundConnection-Elemente dieselbe Host/Port-Kombination verwenden.
Wenn das Attribut outboundSSLRef angegeben ist und ein Filter existiert, der den Hostwert * ohne angegebenen Port verwendet, wird die mit dem Attribut outboundSSLRef angegebene Konfiguration verwendet.
Konfigurationsbeispiele
<featureManager>
<feature>transportSecurity-1.0</feature>
</featureManager>
- Beispiel 1.
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" /> <keyStore id="defaultKeyStore" location="key.jks" type="JKS" password=”yourpassword” /> <keyStore id="DefaultTrustStore" location="trust.jks" type="JKS" password="yourpassword" /> <ssl id="alternateSSLSettings" keyStoreRef="alternateKeyStore" trustStoreRef="alternateTrustStore" > <outboundConnection host=”server99.ibm.com” port=”9443” /> </ssl> <keyStore id="alternateKeyStore" location="${server.config.dir}/alternateServerKeyFile.jks" type="JKS" password="yourpassword" /> <keyStore id="alternateTrustStore" location="${server.config.dir}/alternateServerTrustFile.jks" type="JKS" password="yourpassword" />
In dieser Konfiguration wird die SSL-Konfiguration mit dem Namen alternateSSLSettings verwendet, wenn abgehende SSL-Verbindungen den Serverhost server99.ibm.com mit dem Port 9443 als Ziel haben. Alle anderen abgehenden SSL-Verbindungen verwenden die SSL-Standardkonfiguration defaultSSLConfig.
- Beispiel 2.
<sslDefault outboundSSLRef=”outboundSSLSettings” /> <ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" > <outboundConnection host=”otherhost” /> </ssl> <keyStore id="defaultKeyStore" location="key.jks" type="JKS" password=”yourpassword” /> <keyStore id="DefaultTrustStore" location="trust.jks" type="JKS" password="yourpassword" /> <ssl id="alternateSSLSettings" keyStoreRef="alternateKeyStore" trustStoreRef="alternateTrustStore" > <outboundConnection host=”server99.ibm.com” port=”8020” /> <outboundConnection host=”server99.ibm.com” port=”9443” /> </ssl> <keyStore id="alternateKeyStore" location="${server.config.dir}/alternateServerKeyFile.jks" type="JKS" password="yourpassword" /> <keyStore id="alternateTrustStore" location="${server.config.dir}/alternateServerTrustFile.jks" type="JKS" password="yourpassword" /> <ssl id="outboundSSLSettings" keyStoreRef="outboundKeyStore" trustStoreRef="outboundTrustStore" > </ssl> <keyStore id="outboundKeyStore" location="${server.config.dir}/outboundKeyFile.jks" password="yourpassword" /> <keyStore id="outboundTrustStore" location="${server.config.dir}/outboundTrustFile.jks" password="yourpassword" />
In dieser Konfiguration verwenden abgehende SSL-Verbindungen zu einem beliebigen Port auf Host otherhost die SSL-Konfiguration defaultSSLConfig. Abgehende Verbindungen, die den Host server99.ibm.com und Port 9443 oder Port 8020 als Ziel haben, verwenden die SSL-Konfiguration alternateSSLSettings. Alle anderen abgehenden SSL-Verbindungen verwenden die SSL-Standardkonfiguration für abgehende Verbindungen, die mit dem outboundSSLRef-Attribut outboundSSLSettings angegeben ist.
- Beispiel 3.
<ssl id="defaultSSLConfig" keyStoreRef="defaultKeyStore" trustStoreRef="defaultTrustStore" clientKeyAlias=”default” > <outboundConnection host=”server99.ibm.com” port=”9443” clientCertificate=”special” /> </ssl> <keyStore id="defaultKeyStore" location="key.jks" type="JKS" password=”yourpassword” /> <keyStore id="DefaultTrustStore" location="trust.jks" type="JKS" password="yourpassword" />
In dieser Konfiguration verwenden abgehende SSL-Verbindungen die SSL-Standardkonfiguration defaultSSLConfig. Wenn die abgehende SSL-Verbindung Host server99.ibm.com als Ziel hat und ein Clientzertifikat erfordert, wird das Zertifikat special verwendet. Alle anderen abgehenden Verbindungen, die ein Clientzertifikat erfordern, verwenden das Zertifikat default.