配置与 Liberty 的安全 JMX 连接

您可以在 Liberty 上使用 SSL 来访问受保护的 Java™ 管理扩展 (JMX) 连接器。由 Liberty 功能部件 restConnector-1.0 启用安全 JMX 连接。

关于此任务

通过 Liberty 功能部件 restConnector-1.0 来启用 REST 连接器。单个管理员角色会保护通过 REST 连接器进行的远程访问。此外,需要 SSL 才能保持通信机密。restConnector-1.0 功能部件已经包含 ssl-1.0 功能部件。

注: Liberty 上部署的应用程序可以不受限制地访问其 MBeanServer 目录。

下列部分描述如何配置和访问 Liberty 上的 REST 连接器。

过程

  1. server.xml 文件中通过使用以下代码来启用 REST 连接器。
    <featureManager>
         <feature>restConnector-2.0</feature>
    </featureManager>
  2. server.xml 文件中配置 SSL 证书

    确保证书 subjectDN 的 CN 值是运行该服务器的机器的主机名,并且信任库的 jConsole 连接中包含该服务器的证书。

  3. server.xml 文件中将用户或组配置到管理员角色。
  4. 访问 REST 连接器。

    可从 Java 客户机或直接通过 HTTPS 调用来访问 Liberty REST 连接器。Java 客户机使用该连接器的客户端(在 wlp/clients/restConnector.jar 中)并实现 javax.management.MBeanServerConnection 接口。HTTPS 调用使用该连接器的服务器端。至于服务器端的 HTTPS 调用,可进行 HTTPS 调用的任何编程语言(例如,C++、JavaScript、curl、Ruby 和 Perl)都可使用 REST API。这些 REST API 包含用于管理的端点 (JMX)、文件传输、集合体路由和集合体部署。

    • JMX 客户机应用程序或者通过使用 Java SDK 中提供的 jConsole 工具来访问 REST 连接器。使用 -J 标志将系统属性作为 Java 选项来传递,以及将类路径设为包含连接器类文件。连接器类文件打包在 clients/restConnector.jar 文件中。
      • 使用 SSL 证书的下列属性:
        -J-Djavax.net.ssl.trustStore=<location of your client trust store>
        -J-Djavax.net.ssl.trustStorePassword=<password for the trust store>
        -J-Djavax.net.ssl.trustStoreType=<type of trust store>
        以下示例显示将 jConsole 工具和 SSL 配置一起使用:
        jconsole -J-Djava.class.path=%JAVA_HOME%/lib/jconsole.jar;
                                     %JAVA_HOME%/lib/tools.jar;
                                     %WLP_HOME%/clients/restConnector.jar
                 -J-Djavax.net.ssl.trustStore=key.jks 
                 -J-Djavax.net.ssl.trustStorePassword=Liberty 
                 -J-Djavax.net.ssl.trustStoreType=jks

        jConsole 启动后,选择远程进程,然后输入 JMX 服务 URL。对于配置了 restConnector-2.0 功能部件的启动的 Liberty 服务器,此 URL 可在 ${server.output.dir}/logs/state/com.ibm.ws.jmx.rest.address 中找到。

      • For z/OS platforms对于 z/OS,请使用下列系统属性:
        -J-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
        -J-Djavax.net.ssl.trustStore=<SAF keyring>
        -J-Djavax.net.ssl.trustStorePassword=<password to SAF>
        -J-Djavax.net.ssl.trustStoreType=JCERACFKS 
    • 使用 HTTPS 调用直接访问 REST 连接器。

      要使用 HTTPS 调用来访问 REST 连接器,您需要 2014 年 8 月发布的 WebSphere® Application Server Liberty Beta 或更高版本。

      1. 使用浏览器打开 https://<host>:<port>/IBMJMXConnectorREST/api,然后输入您在步骤 3 中指定的管理凭证。
      2. 检查可用 REST API。每项具有其行为、输入、输出、查询参数和头的描述。
    注: 可以将一些 JMX REST 连接选项指定为系统属性。请参阅“Liberty API - WebSphere JMX REST 连接器 API”。

用于指示主题类型的图标 任务主题

文件名:twlp_admin_restconnector.html