在 Liberty 中啟用 SSL 通訊

如果要在 Liberty 中啟用 SSL 通訊,有一組最基本的 SSL 配置選項。會假設大部分的 SSL 選項需要一些金鑰儲存庫配置資訊。

關於這項作業

SSL 用戶端鑑別是在連線信號交換期間,利用 SSL 憑證來進行。 SSL 信號交換是一系列透過 SSL 通訊協定來交換的訊息,用來進行連線特定的保護協議。 在信號交換期間,安全伺服器會要求用戶端送回憑證或憑證鏈,以進行鑑別。 如果要在 Liberty 中啟用 SSL,請將 ssl-1.0 Liberty 特性連同用於鑑別的金鑰儲存庫資訊程式碼,一起新增到配置根文件檔案 server.xml 中。

依預設,配置根文件檔的路徑和檔名是 path_to_liberty/wlp/usr/servers/server_name/server.xml path_to_liberty 是 Liberty 在作業系統上的安裝位置,而 server_name 是伺服器的名稱。不過,您可以變更路徑。請參閱 自訂 Liberty 環境

程序

  1. server.xml 檔中啟用 ssl-1.0 Liberty 特性。
    <featureManager>
        <feature>ssl-1.0</feature>
    </featureManager>
    註: 如果需要應用程式安全,且要將安全資訊重新導向到安全的埠,您必須新增 appSecurity-2.0 Liberty 特性到 server.xml 檔中。
  2. 新增金鑰儲存庫服務物件項目到 server.xml 檔中。 keyStore 元素稱為 defaultKeyStore,其中含有金鑰儲存庫密碼。 這個密碼可以用明碼或編碼的方式來輸入。 securityUtility encode 選項可用來進行密碼編碼。
    <keyStore id="defaultKeyStore" password="yourPassword" />
    最低配置中的 SAF 金鑰環範例:
    <keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring"
              type="JCERACFKS" password="password" fileBased="false"
              readOnly="true" />

    您必須先設定 RACF® 金鑰環,才能將其配置,以供 Liberty 伺服器使用。伺服器不會建立憑證並將其新增至 RACF。

    您也可以延伸最低 SSL 配置的單一金鑰儲存庫來包括位置和類型。
    <keyStore id="defaultKeyStore" location="myKeyStore.p12" password="yourPassword" type="PKCS12"/>

    此配置是建立 SSL 配置的最小需求。在此配置中,如果在 SSL 起始設定期間,金鑰儲存庫和憑證不存在,伺服器就會加以建立。所提供的密碼長度必須至少 6 個字元。金鑰儲存庫會假設為 JKS 金鑰儲存庫,其稱為 key.jks,並位於伺服器的 home/resources/security 目錄中。如果該檔案不存在,伺服器會為您建立。如果伺服器建立該金鑰儲存庫檔,就也會在其中建立憑證。該憑證是有效期限為 365 天的自簽憑證,其 subjectDN 的 CN 值是執行伺服器的主機名稱,並具有簽章演算法 SHA256withRSA。

    註: Liberty 伺服器建立的憑證不適用於正式作業環境,只為了方便開發人員而建立。在正式作業環境中使用的憑證,必須是由信任的憑證中心所發行或簽署的適當鏈結憑證。如果您想要將自簽憑證用於時間較長或自訂的 subjectDN,可以使用 securityUtility createSSLCertificate 作業來建立憑證。

    location 參數可以是金鑰儲存庫檔的絕對路徑。 如果它是絕對路徑,就會假設已建立金鑰儲存庫檔。 如果已建立金鑰儲存庫檔,在最低 SSL 配置中,也可以指定其他類型的金鑰儲存庫。 當使用最低 SSL 配置時,會利用 SSL 配置預設值來建立 SSL 信號交換的 SSL 環境定義。 依預設,配置通訊協定是 SSL_TLS。您可以使用 HIGH 密碼,128 位元,以及更高的密碼組合。


指示主題類型的圖示 作業主題



「時間戳記」圖示 前次更新: 2016 年 11 月 30 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twlp_sec_ssl
檔名:twlp_sec_ssl.html