

SSL-Zertifikate für dynamisches Routing
Es sind drei Typen von SSL-Zertifikaten für das Feature "Dynamic Routing" für Liberty relevant: das Memberzertifikat, das Controllerzertifikat und das Zertifikat für dynamisches Routing. Jeder der drei Zertifikatstypen hat ein zugehöriges SSL-SSL-Unterzeichnerzertifikat. Ein SSL-Unterzeichnerzertifikat garantiert die Gültigkeit des unterzeichneten Zertifikats.
- Memberzertifikat
- Das Zertifikat, das von einem Verbundmember vorgelegt wird, wenn der Web-Server als Proxy-Server bei der Weiterleitung einer Clientanforderung an ein Member über SSL fungiert.
- Controllerzertifikat
- Das Zertifikat, das dem Plug-in von einem Verbundcontroller vorgelegt wird, wenn das Plug-in versucht, eine Verbindung zum Service für dynamisches Routing auf einem Verbundcontroller herzustellen.
- Zertifikat für dynamisches Routing
- Das Zertifikat, das dem Controller vom Plug-in vorgelegt wird, wenn das Plug-in versucht, eine Verbindung zum Service für dynamisches Routing auf einem Verbundcontroller herzustellen.
Bei SSL-Kommunikation von Anforderungen, die über einen Proxy-Server an die Verbundmember weitergeleitet werden, muss der Web-Server davon ausgehen, dass das Memberzertikat gültig ist. Damit der Web-Server die Gültigkeit des Memberzertifikats anerkennen kann, muss sich das Unterzeichnerzertifikat des Members im Web-Server-Keystore befinden.
Der Keystore ist die .kdb-Datei, die über das Element <Property Name="Keyfile" value=…/> xml in der Datei plugin-cfg.xml referenziert wird.
- Das Plug-in muss die Gültigkeit des Controllerzertifikats anerkennen.
- Der Controller muss die Gültigkeit des Zertifikats für dynamisches Routing anerkennen.
- Das Zertifikat für dynamisches Routing muss für den Zugriff auf den Service für dynamisches Routing berechtigt sein.
- Das Zertifikatssubjekt stimmt mit dem Standardzertifikatssubjekt überein, das vom Service für dynamisches Routing verwendet wird. Das Standardzertifikatssubjekt wird standardmäßig erstellt, wenn der dynamicRouting-Befehl setup oder die genKeystore-Optionen verwendet werden. Es folgt ein Beispiel für das Standardzertifikatssubjekt:
DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
Das Zertifikatssubjekt stimmt mit dem Wert des Attributs certificateSubject des <dynamicRouting>-XML-Elements in der Datei server.xml des Verbundcontrollers überein. Wenn der Wert angegeben ist, wird das Zertifikatssubjekt anstelle des Standardzertifikatssubjekts verwenden, wenn der dynamicRouting-Befehl setup oder die genKeystore-Optionen verwendet werden. Sehen Sie sich hierzu das folgende Beispiel an:
<dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
- Das Zertifikatssubjekt entspricht einem Benutzer in der Sicherheitsregistry, dem die Administratorrolle zugeordnet wurde. Ein Zertifikat für dynamisches Routing, das ein Subjekt mit Administratorrolle hat, ermöglicht den Zugriff über die DMZ auf Verwaltungsfunktionen im Verbund. Wenn dieser Zertifikattyp verwendet wird, um auf den Service für dynamisches Routing zuzugreifen, wird in der Protokolldatei eine Fehlernachricht angezeigt, die Kommunikation wird jedoch erfolgreich ausgeführt.
Der dynamicRouting-Befehl setup und die genKeystore-Optionen generieren Keystores mit allen Zertifikaten, die erforderlich sind, um die sichere Netzkommunikation zwischen dem Web-Server und den Servern in einem Verbund zu gewährleisten. Sie müssen keine Änderungen vornehmen, wenn Sie die Standardsicherheitskonfiguration verwenden möchten.
- Die Unterzeichnerzertifikate des Members für alle Verbünde befinden sich in der .kdb-Datei, die über das
XML-Element <Property Name="Keyfile" value=…/> in der Datei plugin-cfg.xml referenziert wird. Anmerkung: Dies ist nur erforderlich, wenn das Plug-in SSL bei der Weiterleitung von Clientanforderungen verwendet.
<Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
- Das Unterzeichnerzertifikat des Controllers muss sich in der .kdb-Datei befinden, die über das XML-Element
<Property name="keyring" value=…/> des <Connector>-Elements für den Controller in der Datei plugin-cfg.xml referenziert wird.
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- Das Unterzeichnerzertifikat für dynamisches Routing muss sich im folgenden Verzeichnis aller Controller befinden:
${server.output.dir}/resources/ collective/collectiveTrust.jks)
- Das Zertifikat für dynamisches Routing für einen Verbund muss sich in der .kdb-Datei befinden, die über das XML-Element
<Property name="keyring" value=…/> des <Connector>-Elements für den Controller in der Datei plugin-cfg.xml referenziert wird. Sehen Sie sich hierzu das folgende Beispiel an:
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- Das Zertifikatssubjekt im Zertifikat für dynamisches Routing ist eine der folgenden Optionen:
“DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
Der Wert des Attributs certificateSubject des <dynamicRouting>-XML-Elements in den server.xml-Dateien des Controllers in einem Verbund.
- Ein Benutzer mit der Administratorrolle im Verbund. Diese Option wird nicht empfohlen.