動態遞送 SSL 憑證
「Liberty 動態遞送」有三種相關的 SSL 憑證類型,分別是成員憑證、控制器憑證,以及動態遞送憑證。這三種類型的憑證各有相關聯的 SSL 簽章者憑證。SSL 簽章者憑證是證明其所簽署的憑證是有效的。
下列這三種類型的憑證各有相關聯的簽章者憑證:
- 成員憑證
- 當 Web 伺服器嘗試經由 SSL,透過 Proxy 將用戶端要求傳給成員時,群體成員所出示的憑證。
- 控制器憑證
- 當外掛程式嘗試連接至群體控制器上的動態遞送服務時,群體控制器出示給該外掛程式的憑證。
- 動態遞送憑證
- 當外掛程式嘗試連接至群體控制器上的動態遞送服務時,外掛程式出示給控制器的憑證。
對於藉由 Proxy 傳送給群體成員的要求,當進行 SSL 通訊時,Web 伺服器必須信任成員憑證是有效的。為了讓 Web 伺服器信任該成員憑證是有效的,成員簽章者憑證必須位於 Web 伺服器金鑰儲存庫中。
金鑰儲存庫是 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用 <Property Name="Keyfile" value=…/> xml 元素來參照。
對於外掛程式與動態遞送服務之間的 SSL 通訊,必須符合下列條件:
- 外掛程式必須信任控制器憑證是有效的。
- 控制器必須信任動態遞送憑證是有效的。
- 動態遞送憑證必須獲權存取動態遞送服務。
- 憑證主體符合動態遞送使用的預設憑證主體。依預設,當使用 dynamicRouting 指令
setup 或 genKeystore 選項時,會建立預設憑證主體。預設憑證主體如下:
DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
憑證主體符合群體控制器 server.xml 中之 <dynamicRouting> XML 元素的 certificateSubject 屬性值。若有指定,則會使用此憑證主體,而非使用 dynamicRouting 指令 setup 或 genKeystore 選項時的預設值。請參閱下列範例:
<dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
- 憑證主體對應至安全登錄中獲指派「管理者」角色的使用者。如果動態遞送憑證的主體具有「管理者」角色,則容許從 DMZ 存取群體中的管理功能。如果使用這種類型的憑證來存取動態遞送服務,日誌中會出現錯誤訊息,但通訊會成功。
dynamicRouting 指令,setup 和 genKeystore 選項會產生金鑰儲存庫,內含所有必要的憑證,用以確保 Web 伺服器與群體中之伺服器之間的網路通訊是安全的。如果您想使用預設安全配置,就不需進行任何修改。
如果要使用非 dynamicRouting 指令,setup 或 genKeystore 選項所建立的憑證,必須符合下列條件:
- 所有群體的成員簽章者憑證都位於 .kdb 檔,這個檔案是利用 plugin-cfg.xml 檔中的 <Property Name="Keyfile" value=…/> XML 元素來參照。註: 只有在外掛程式使用 SSL 透過 Proxy 來傳送用戶端要求時,才需要此項。
<Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
- 控制器簽章者憑證必須位於 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用控制器 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素來參照。
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- 動態遞送簽章者憑證必須位於所有控制器的下列目錄中:
${server.output.dir}/resources/ collective/collectiveTrust.jks)
- 群體的動態遞送憑證必須位於 .kdb 檔,這個檔案是在 plugin-cfg.xml 檔中,利用控制器 <Connector> 元素的 <Property name="keyring" value=…/> XML 元素來參照。請參閱下列範例:
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- 動態遞送憑證中的憑證主體為下列其中一個選項:
“DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
群體控制器 server.xml 檔中之 <dynamicRouting> XML 元素的 certificateSubject 屬性值。
- 在群體中獲指派「管理者」角色的使用者(不建議)。