適用於分散式平台適用於 z/OS 平台

動態遞送 SSL 憑證

Liberty 動態遞送」有三種相關的 SSL 憑證類型,分別是成員憑證、控制器憑證,以及動態遞送憑證。這三種類型的憑證各有相關聯的 SSL 簽章者憑證。SSL 簽章者憑證是證明其所簽署的憑證是有效的。

下列這三種類型的憑證各有相關聯的簽章者憑證:
成員憑證
當 Web 伺服器嘗試經由 SSL,透過 Proxy 將用戶端要求傳給成員時,群體成員所出示的憑證。
控制器憑證
當外掛程式嘗試連接至群體控制器上的動態遞送服務時,群體控制器出示給該外掛程式的憑證。
動態遞送憑證
當外掛程式嘗試連接至群體控制器上的動態遞送服務時,外掛程式出示給控制器的憑證。

對於藉由 Proxy 傳送給群體成員的要求,當進行 SSL 通訊時,Web 伺服器必須信任成員憑證是有效的。為了讓 Web 伺服器信任該成員憑證是有效的,成員簽章者憑證必須位於 Web 伺服器金鑰儲存庫中。

金鑰儲存庫是 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用 <Property Name="Keyfile" value=…/> xml 元素來參照。

對於外掛程式與動態遞送服務之間的 SSL 通訊,必須符合下列條件:
  • 外掛程式必須信任控制器憑證是有效的。
  • 控制器必須信任動態遞送憑證是有效的。
  • 動態遞送憑證必須獲權存取動態遞送服務。
動態遞送憑證必須滿足下列其中一項條件,才能獲得授權:
  • 憑證主體符合動態遞送使用的預設憑證主體。依預設,當使用 dynamicRouting 指令 setupgenKeystore 選項時,會建立預設憑證主體。預設憑證主體如下:
    DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
  • [17.0.0.1 以及更新版本]憑證主體符合群體控制器 server.xml 中之 <dynamicRouting> XML 元素的 certificateSubject 屬性值。若有指定,則會使用此憑證主體,而非使用 dynamicRouting 指令 setupgenKeystore 選項時的預設值。請參閱下列範例:
    <dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
  • 憑證主體對應至安全登錄中獲指派「管理者」角色的使用者。如果動態遞送憑證的主體具有「管理者」角色,則容許從 DMZ 存取群體中的管理功能。如果使用這種類型的憑證來存取動態遞送服務,日誌中會出現錯誤訊息,但通訊會成功。

dynamicRouting 指令,setupgenKeystore 選項會產生金鑰儲存庫,內含所有必要的憑證,用以確保 Web 伺服器與群體中之伺服器之間的網路通訊是安全的。如果您想使用預設安全配置,就不需進行任何修改。

如果要使用非 dynamicRouting 指令,setupgenKeystore 選項所建立的憑證,必須符合下列條件:
  1. 所有群體的成員簽章者憑證都位於 .kdb 檔,這個檔案是利用 plugin-cfg.xml 檔中的 <Property Name="Keyfile" value=…/> XML 元素來參照。
    註: 只有在外掛程式使用 SSL 透過 Proxy 來傳送用戶端要求時,才需要此項。
    <Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
  2. 控制器簽章者憑證必須位於 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用控制器 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素來參照。
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  3. 動態遞送簽章者憑證必須位於所有控制器的下列目錄中:

    ${server.output.dir}/resources/ collective/collectiveTrust.jks)

  4. 群體的動態遞送憑證必須位於 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用控制器 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素來參照。請參閱下列範例:
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  5. 動態遞送憑證中的憑證主體為下列其中一個選項:
    • “DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
    • [17.0.0.1 以及更新版本]群體控制器 server.xml 檔中之 <dynamicRouting> XML 元素的 certificateSubject 屬性值。
    • 在群體中獲指派「管理者」角色的使用者(不建議)。

指示主題類型的圖示 概念主題

檔名:cwlp_wve_dynroute_cert.html