Sichere JMX-Verbindung zu Liberty konfigurieren

In diesem Abschnitt wird beschrieben, wie Sie mit SSL auf die gesicherten JMX-Connectors (Java™ Management Extensions) in Liberty zugreifen. Die gesicherte JMX-Verbindung wird mit dem Liberty-Feature restConnector-1.0 aktiviert.

Informationen zu diesem Vorgang

Der REST-Connector wird über das Liberty-Feature restConnector-1.0 aktiviert. Der Fernzugriff über den REST-Connector wird durch eine einzelne Administratorrolle geschützt. Außerdem wird SSL benötigt, um die Vertraulichkeit der Kommunikation zu gewährleisten. Das Feature restConnector-1.0 enthält bereits das Feature ssl-1.0.

Anmerkung: Eine in Liberty implementierte Anwendung hat uneingeschränkten Zugriff auf ihr MBeanServer-Verzeichnis.

Im folgenden Abschnitt wird beschrieben, wie Sie den REST-Connector in Liberty konfigurieren und auf diesen zugreifen.

Vorgehensweise

  1. Aktivieren Sie den REST-Connector mit dem folgenden Code in der Datei server.xml.
    <featureManager>
         <feature>restConnector-2.0</feature>
    </featureManager>
  2. Konfigurieren Sie SSL-Zertifikate in der Datei server.xml.

    Vergewissern Sie sich, dass der Wert von "CN" von subjectDN der Hostname der Maschine ist, auf der der Server ausgeführt wird, und dass der Truststore das Zertifikat des Servers in der jConsole-Verbindung enthält.

  3. Konfigurieren Sie einen Benutzer oder eine Gruppe mit der Administratorrolle in der Datei server.xml.
  4. Greifen Sie auf den REST-Connector zu.

    Sie können über einen Java-Client oder direkt über einen HTTPS-Aufruf auf einen Liberty-REST-Connector zugreifen. Ein Java-Client verwendet die Clientseite des Connectors, die sich in wlp/clients/restConnector.jar befindet und die Schnittstellejavax.management.MBeanServerConnection implementiert. HTTPS-Aufrufe verwenden die Serverseite des Connectors. Was serverseitige HTTPS-Aufrufe angeht, kann jede Programmiersprache, die HTTPS-Aufrufe ausführen kann, wie z. B. C++, JavaScript, curl, Ruby und Perl, die REST-APIs verwenden. Die REST-APIs enthalten Endpunkte für Verwaltung (JMX), Dateiübertragung, Verbundrouting und Verbundimplementierung.

    • Greifen Sie über eine JMX-Clientanwendung oder mit dem Tool jConsole, das im Java SDK bereitgestellt wird, auf den REST-Connector zu. Verwenden Sie -J-Flags, um die Systemeigenschaften als Java-Optionen zu übergeben und die Connectorklassendateien im Klassenpfad anzugeben. Die Connectorklassendateien sind in der Datei clients/restConnector.jar gepackt.
      • Verwenden Sie die folgenden Eigenschaften für SSL-Zertifikate:
        -J-Djavax.net.ssl.trustStore=<Position Ihres Client-Truststores>
        -J-Djavax.net.ssl.trustStorePassword=<Kennwort für den Truststore>
        -J-Djavax.net.ssl.trustStoreType=<Typ des Truststores>
        Das folgende Beispiel zeigt das Tool jConsole, das zusammen mit SSL-Konfigurationen verwendet wird:
        jconsole -J-Djava.class.path=%JAVA_HOME%/lib/jconsole.jar;
                                     %JAVA_HOME%/lib/tools.jar;
                                     %WLP_HOME%/clients/restConnector.jar
                 -J-Djavax.net.ssl.trustStore=key.jks 
                 -J-Djavax.net.ssl.trustStorePassword=Liberty 
                 -J-Djavax.net.ssl.trustStoreType=jks

        Wählen Sie nach dem Start des Tools jConsole die Option Ferner Prozess aus, und geben Sie den URL des JMX-Service ein. Für einen gestarteten Liberty-Server mit konfiguriertem Feature restConnector-2.0 finden Sie diese URL in ${server.output.dir}/logs/state/com.ibm.ws.jmx.rest.address.

      • Für z/OS verwenden Sie die folgenden Systemeigenschaften:
        -J-Djava.protocol.handler.pkgs=com.ibm.crypto.provider
        -J-Djavax.net.ssl.trustStore=<SAF-Schlüsselring>
        -J-Djavax.net.ssl.trustStorePassword=<Kennwort für SAF>
        -J-Djavax.net.ssl.trustStoreType=JCERACFKS 
    • Greifen Sie über einen HTTPS-Aufruf direkt auf den REST-Connector zu.

      Wenn Sie HTTPS-Aufrufe für den Zugriff auf REST-Connectors verwenden möchten, benötigen Sie die Betaversion für WebSphere Application Server Liberty vom August 2014 oder eine neuere Version.

      1. Öffnen Sie einen Browser und geben Sie https://<Host>:<Port>/IBMJMXConnectorREST/api ein. Geben Sie anschließend die in Schritt 3 angegebenen Verwaltungsberechtigungsnachweise ein.
      2. Prüfen Sie die verfügbaren REST-APIs. Jedes Element enthält Beschreibungen zu Verhalten, Eingabe, Ausgabe, Abfrageparametern und Headern.
    Anmerkung: Sie können einige JMX-REST-Verbindungsoptionen als Systemeigenschaften angeben. Weitere Informationen finden Sie in unter "Liberty API - WebSphere JMX REST Connector API".

Symbol das den Typ des Artikels anzeigt. Taskartikel

Dateiname: twlp_admin_restconnector.html