[AIX Solaris HP-UX Linux Windows][z/OS]

在 IBM HTTP Server 管理服务器和 Deployment Manager 之间配置 SSL

在 WebSphere® Application Server 的 Deployment Manager 和 IBM® HTTP Server 管理服务器(称为 adminctl)之间配置安全套接字层 (SSL)。

关于此任务

Application Server 有一些新的 SSL 管理功能,需要正确管理这些功能才能使 IBM HTTP Server 通过 SSL 请求进行连接。在较早发行版中,SSL 连接使用在 IBM HTTP Server 和 Application Server 之间交换的缺省虚拟证书。在 WebSphere Application Server 中,您必须将 Application Server 配置为接受来自 IBM HTTP Server 的自签名证书,以便接受 SSL 连接并完成事务。

如果 Application Server 和 IBM HTTP Server 管理服务器配置不正确,那么 Application Server 将会在 Deployment Manager 的日志文件中显示接收到的所有错误。在 IBM HTTP Server 管理服务器尝试通过 SSL 进行连接,但未配置 Application Server 的情况下,您可能会接收到类似以下消息的错误:
-CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with
SubjectDN "CN=localhost" was sent from target host:port "null:null".
The signer may need to be added to local trust store "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12"
located in SSL configuration alias "CellDefaultSSLSettings"
 loaded from SSL configuration file "security.xml".
The extended error message from the SSL handshake
 exception is: "No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException:
com.ibm.jsse2.util.h: No trusted certificate found

过程

  1. 获取服务器证书。 可以生成新的自签名证书,也可以使用来自 IBM HTTP Server Web 服务器插件的现有证书。
    • 使用来自 IBM HTTP Server Web 服务器插件的现有自签名证书。
    • 创建 CMS 密钥数据库文件和自签名服务器证书。对于分布式操作系统,请使用 iKeyman 实用程序;对于 z/OS® 操作系统,请使用 gskkyman 工具。此步骤及后面的步骤假定您使用 iKeyman 实用程序。
      • [AIX Solaris HP-UX Linux Windows]使用 IBM HTTP Server iKeyman 实用程序图形用户界面或命令行来创建 CMS 密钥数据库文件和自签名服务器证书。
        使用 iKeyman 实用程序为 IBM HTTP Server 管理服务器创建自签名证书,并将该证书另存为 /conf/admin.kdb
        最佳实践 最佳实践: 记下密码并选择将密码隐藏在文件文件bprac
        对于证书,下列字段是必填字段:
        标签
        adminselfSigned
        公共名
        fully_qualified_host_name
      • [z/OS]IBM HTTP Server 通过用于密钥管理的 z/OS gskkyman 工具来创建 CMS 密钥数据库文件、公用和专用密钥对以及自签名证书。或者,您可以创建 SAF 密钥环来代替 CMS 密钥数据库文件。
        • 有关 gskkyman 的信息,请参阅“使用本机 z/OS 密钥数据库进行密钥管理”。
        • 有关创建 SAF 密钥环的信息,请参阅“在 IBM HTTP Server 上使用 SAF 进行认证”和“SSL Keyfile 伪指令”。
  2. 使用 iKeyman 实用程序将证书抽取到文件。
    1. 选择您在步骤 1 中创建的证书。例如,adminselfSigned
    2. 单击抽取证书 建议要抽取的文件名是 C:\Program Files\IBM\HTTPServer\conf\cert.arm
      避免故障 避免故障: 请勿更改数据类型。gotcha
  3. 修改管理服务器配置文件,此文件的名称为 admin.conf
    1. 配置此文件以装入 IBM SSL 模块。 取消对下面一行的注释:
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. 启用 SSL 并定义要使用的密钥文件。 取消对以下各行的注释以启用 SSL 并定义要使用的密钥文件:
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      避免故障 避免故障: 请了解下列事项:
      • 密钥文件伪指令必须与系统上安装的有效密钥文件的名称和位置相匹配。
      • 必须安装 IBM SSL 支持,此功能才能起作用。
      • SSLServerCert 中的“缺省值”是创建 plugin-key.kdb 文件时所创建的自签名证书的标签或名称。
      • 前面的示例使用 SSLServerCert,这是因为 plugin-key.kdb 中的缺省自签名证书未标记为缺省证书。
      gotcha
  4. 启动 IBM HTTP Server 的管理服务器。确认日志文件不包含 GSKIT 错误。
  5. 配置 WebSphere Application Server。
    1. 登录到 Application Server 的管理控制台并启动 Deployment Manager。
    2. 选择安全性 > SSL 证书和密钥管理
    3. 选择管理端点安全性配置 系统会将您定向至入站和出站端点的列表。
    4. 选择出站单元 (cellDefaultSSLSettings,null)。 选择出站单元的原因是,在此设置中,Application Server 的管理控制台是客户机,而 IBM HTTP Server 管理服务器是服务器。
      避免故障 避免故障: 此设置是使用 IBM HTTP Server 插件和 Application Server 的 SSL 设置的相反配置。gotcha
    5. 在“相关项”部分中,单击密钥库和证书
    6. 单击 CellDefaultTrustStore
    7. 在“其他属性”部分中,单击签署者证书
    8. 将证书文件通过 FTP 传输到 Application Server。请勿更改数据类型。
    9. 在“签署者证书”的收集面板中,单击添加 在各字段中输入以下信息。
      表 1. 签署者证书信息
      名称
      别名 adminselfSigned
      文件名 file_name
      例如,输入以下内容:
      c:\program files\ibm\httpserver\conf\cert.arm
    10. 将配置更改保存到管理控制台。
    11. 停止 Deployment Manager。
    12. 启动 Deployment Manager。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
文件名:tihs_setupsslwithwas.html