[AIX Solaris HP-UX Linux Windows][z/OS]

在 IBM HTTP Server 管理伺服器與部署管理程式之間配置 SSL

在 WebSphere® Application Server 的部署管理程式與名為 adminctl 的 IBM® HTTP Server 管理伺服器之間,配置 Secure Sockets Layer (SSL)。

關於這項作業

Application Server 有新的 SSL 管理功能,必須加以妥善管理,IBM HTTP Server 才能使用 SSL 要求進行連線。在舊版中,SSL 連線是使用 IBM HTTP Server 與 Application Server 之間交換的預設虛擬憑證。在 WebSphere Application Server 中,您必須配置 Application Server 以接受來自 IBM HTTP Server 的自簽憑證,這樣才會接受 SSL 連線,並完成交易。

如果 Application Server 和 IBM HTTP Server 管理伺服器的配置不正確,Application Server 就會顯示在部署管理程式日誌檔中收到的任何錯誤。如果 IBM HTTP Server 管理伺服器嘗試透過 SSL 來連接,而 Application Server 尚未配置,您可能會收到類似下列的訊息的錯誤:
-CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with
SubjectDN "CN=localhost" was sent from target host:port "null:null".
The signer may need to be added to local trust store "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12" 
located in SSL configuration alias "CellDefaultSSLSettings"
 loaded from SSL configuration file "security.xml".  
The extended error message from the SSL handshake
 exception is: "No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h: No trusted certificate found

程序

  1. 取得伺服器憑證。 您可以產生新的自簽憑證,或是使用來自 IBM HTTP Server Web 伺服器外掛程式的現有憑證。
    • 使用來自 IBM HTTP Server 伺服器外掛程式的現有自簽憑證。
    • 建立 CMS 金鑰資料庫檔和自簽伺服器憑證。若為分散式作業系統,請使用 iKeyman 公用程式,若為 z/OS® 作業系統,則使用 gskkyman 工具。此步驟和後續步驟會假設您是使用 iKeyman 公用程式。
      • [AIX Solaris HP-UX Linux Windows]使用 IBM HTTP Server iKeyman 公用程式圖形使用者介面或指令行來建立 CMS 金鑰資料庫檔和自簽伺服器憑證。
        使用 iKeyman 公用程式來建立 IBM HTTP Server 管理伺服器的自簽憑證,並將憑證儲存成 /conf/admin.kdb
        最佳作法 最佳作法: 請記下密碼,然後選取將密碼隱藏至檔案bprac
        以下是憑證的必要欄位:
        標籤
        adminselfSigned
        通用名稱
        fully_qualified_host_name
      • [z/OS]IBM HTTP Server 使用 z/OS gskkyman 工具來進行金鑰管理,以建立 CMS 金鑰資料庫檔、公開和私密金鑰組,以及自簽憑證。或者,您也可以建立 SAF 金鑰環來代替 CMS 金鑰資料庫檔。
        • 如需 gskkyman 的相關資訊,請參閱「使用原生 z/OS 金鑰資料庫進行金鑰管理」。
        • 如需建立 SAF 金鑰環的相關資訊,請參閱「向 IBM HTTP Server 上的 SAF 鑑別」和「SSL 金鑰檔指引」。
  2. 使用 iKeyman 公用程式,將憑證擷取至檔案。
    1. 選取您在步驟 1 中建立的憑證。例如,adminselfSigned
    2. 按一下擷取憑證 建議用於擷取的檔名為 C:\Program Files\IBM\HTTPServer\conf\cert.arm
      避免困難 避免困難: 請勿變更資料類型。gotcha
  3. 修改 Administration Server 配置檔,其名稱為 admin.conf
    1. 配置此檔案,以載入 IBM SSL 模組。 將下列字行解除註解:
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. 啟用 SSL 並定義所要使用的金鑰檔。 將下列字行解除註解,以啟用 SSL 並定義所要使用的金鑰檔:
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      避免困難 避免困難: 請注意下列事項:
      • 金鑰檔指引必須符合系統上已安裝之有效金鑰檔的名稱和位置。
      • 您必須已安裝 IBM SSL 支援,才能進行此作業。
      • SSLServerCert 中的 "default" 是建立 plugin-key.kdb 檔案時,所建立之自簽憑證的標籤(或名稱)。
      • 前一個範例使用 SSLServerCert,因為 plugin-key.kdb 中的預設自簽憑證未標示為預設憑證。
      gotcha
  4. 啟動 IBM HTTP Server 的管理伺服器。確認日誌檔沒有包含 GSKIT 錯誤。
  5. 配置 WebSphere Application Server。
    1. 登入 Application Server 的管理主控台,並啟動部署管理程式。
    2. 選取安全 > SSL 憑證與金鑰管理
    3. 選取管理端點安全配置 您會被導向入埠和出埠端點清單。
    4. 選取出埠 Cell (cellDefaultSSLSettings,null)。 請選取出埠 Cell,因為在此設定中,Application Server 的管理主控台是用戶端,而 IBM HTTP Server 管理伺服器是伺服器。
      避免困難 避免困難: 此設定是使用 IBM HTTP Server 外掛程式和 Application Server 之 SSL 設定的相反配置。gotcha
    5. 在「相關項目」區段中,按一下金鑰儲存庫和憑證
    6. 按一下 CellDefaultTrustStore
    7. 在「其他內容」區段中,按一下簽章者憑證
    8. 用 FTP 將憑證檔案傳送至 Application Server。請勿變更資料類型。
    9. 在「簽章者憑證」的集合畫面中,按一下新增 在欄位中輸入下列資訊。
      表 1. 簽章者憑證資訊
      名稱
      別名 adminselfSigned
      檔名 file_name
      例如,輸入下列名稱:
      c:\program files\ibm\httpserver\conf\cert.arm
    10. 將配置變更儲存至管理主控台。
    11. 停止部署管理程式。
    12. 啟動部署管理程式。

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
檔名:tihs_setupsslwithwas.html