For distributed platformsFor z/OS platforms

动态路由选择 SSL 证书

有三种类型的 SSL 证书与 Liberty 的动态路由选择相关:成员证书、控制器证书和动态路由选择证书。每种类型的证书都具有相关联的 SSL 签署者证书。SSL 签署者证书保证其签署的证书的有效性。

下列三种类型的证书都具有相关联的签署者证书:
成员证书
Web 服务器尝试使用 SSL 将客户机请求通过代理发送给成员时,集合体成员提供的证书。
控制器证书
插件尝试连接到集合体控制器上动态路由选择服务时集合体控制器为插件提供的证书。
动态路由选择证书
插件尝试连接到集合体控制器上动态路由选择服务时插件为控制器提供的证书。

对于通过代理发送到集合体成员的请求的 SSL 通信,Web 服务器必须信任成员证书是有效的。要使 Web 服务器信任成员证书是有效的,成员签署者证书必须位于 Web 服务器密钥库中。

密钥库是使用 plugin-cfg.xml 文件中的 <Property Name="Keyfile" value=…/>xml 元素引用的 .kdb 文件。

针对插件和动态路由选择服务之间的 SSL 通信,必须满足以下条件:
  • 插件必须信任控制器证书是有效的。
  • 控制器必须信任动态路由选择证书是有效的。
  • 必须授权动态路由选择证书以访问动态路由选择服务。
动态路由选择证书必须满足以下其中一个条件才能对其授权:
  • 证书主体集必须与动态路由选择使用的缺省证书主体集匹配。 使用 dynamicRouting 命令 setupgenKeystore 选项时,缺省情况下会创建缺省证书主体集。以下是缺省证书主体集:
    DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
  • [17.0.0.1 and later]证书主体集与集合体控制器的 server.xml<dynamicRouting> XML 元素的 certificateSubject 属性的值匹配。 如果指定了此属性值,那么在使用 dynamicRouting 命令 setup 或者 genKeystore 选项时,会使用此证书主体集,而不是使用缺省值。请参阅以下示例:
    <dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
  • 证书主体集与安全性注册表中为其分配了管理员角色的用户对应。具有管理员角色的主体集的动态路由选择证书允许从 DMZ 访问集合体中的管理功能。如果使用此类型证书访问动态路由选择服务,那么会在日志中显示一条错误消息,但通信会成功。

dynamicRouting 命令 setupgenKeystore 选项生成具有所有证书的密钥库,需要这些证书以确保 Web 服务器与集合体中服务器之间的网络通信安全。如果要使用缺省安全配置,那么不需要修改任何内容。

要使用非 dynamicRouting 命令 setupgenKeystore 选项创建的证书,必须满足以下条件:
  1. 所有集合体的成员签署者证书位于通过 plugin-cfg.xml 文件中 <Property Name="Keyfile" …/> xml XML 元素引用的 .kdb 文件中。
    注: 仅当插件使用 SSL 代理客户机请求时,才需要此项。
    <Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
  2. 控制器签署者证书必须位于通过 plugin-cfg.xml 文件中控制器的 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素引用的 .kdb 文件中。
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  3. 所有控制器的动态路由选择签署者证书必须位于以下目录:

    ${server.output.dir}/resources/ collective/collectiveTrust.jks)

  4. 集合体的动态路由选择证书必须位于通过 plugin-cfg.xml 文件中控制器的 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素引用的 .kdb 文件中。请参阅以下示例:
    <Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
  5. 动态路由选择证书中的证书主体集为以下其中一个选项:
    • “DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
    • [17.0.0.1 and later]集合体中控制器的 server.xml 文件中 <dynamicRouting> XML 元素的 certificateSubject 属性的值。
    • 集合体中为其分配了管理员角色的用户(不推荐)。

用于指示主题类型的图标 概念主题

文件名:cwlp_wve_dynroute_cert.html