[AIX Solaris HP-UX Linux Windows][z/OS]

Configurar SSL Entre o IBM HTTP Server Administration Server e o Gerenciador de Implementação

Configure o Secure Sockets Layer (SSL) entre o gerenciador de implementação para WebSphere Application Server e o servidor de administração do IBM® HTTP Server, o qual é chamado de adminctl.

Sobre Esta Tarefa

O Application Server possui novas funções de gerenciamento de SSL que precisam ser gerenciadas corretamente para IBM HTTP Server para conectar-se a uma solicitação de SSL. Em liberações mais antigas, as conexões SSL usavam certificados simulados padrão que eram trocados entre o IBM HTTP Server e o Application Server. No WebSphere Application Server, você deve configurar o Application Server para aceitar um certificado autoassinado do IBM HTTP Server para que conexões SSL sejam aceitas e transações sejam concluídas.

Se o Application Server e o servidor de administração do IBM HTTP Server não estiverem configurados corretamente, o Application Server mostrará quaisquer erros que foram recebidos no arquivo de log para o gerenciador de implementação. Em situações em que o servidor de administração do IBM HTTP Server está tentando se conectar através de SSL e o Application Server não está configurado, você pode receber um erro semelhante à mensagem a seguir:
-CWPKI0022E: SSL HANDSHAKE FAILURE:  A signer with
SubjectDN "CN=localhost" was sent from target host:port "null:null".
The signer may need to be added to local trust store "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12" 
located in SSL configuration alias "CellDefaultSSLSettings"
 loaded from SSL configuration file "security.xml".  
The extended error message from the SSL handshake
 exception is: "No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h: No trusted certificate found

Procedimento

  1. Obtenha um certificado do servidor. É possível gerar um novo certificado autoassinado ou usar o certificado existente a partir do plug-in do servidor da Web do IBM HTTP Server.
    • Use o certificado autoassinado existente do plug-in do servidor da Web do IBM HTTP Server.
    • Crie um Arquivo do banco de dados de chave CMS e um certificado do servidor autoassinado. Use o utilitário iKeyman para sistemas operacionais distribuídos e a ferramenta gskkyman para sistemas operacionais z/OS. Esta etapa e as etapas posteriores assumirão que você está usando o utilitário iKeyman.
      • [AIX Solaris HP-UX Linux Windows]Use a interface gráfica com o usuário do utilitário iKeyman do IBM HTTP Server ou a linha de comandos para criar um Arquivo do banco de dados de chave CMS e um certificado do servidor autoassinado.
        Use o utilitário iKeyman para criar um certificado autoassinado para o IBM HTTP Server Administration Server e salve o certificado como /conf/admin.kdb.
        Boas Práticas Boas Práticas: Anote a senha e selecione Efetuar Stash da Senha em um Arquivo.bprac
        Os campos a seguir são necessários para o certificado:
        Etiqueta
        adminselfSigned
        Nome Comum
        fully_qualified_host_name
      • [z/OS]O IBM HTTP Server usa a ferramenta gskkyman do z/OS para gerenciamento de chaves para criar um Arquivo do banco de dados de chave CMS, pares de chaves públicas e privadas e certificados autoassinados. Alternativamente, é possível criar um conjunto de chaves SAF no lugar de um Arquivo do banco de dados de chave CMS.
        • Para obter informações sobre gskkyman, consulte Gerenciamento de Chave Usando o Banco de Dados de Chaves z/OS Nativo.
        • Para obter informações sobre como criar conjuntos de chaves SAF, consulte Autenticando com SAF no IBM HTTP Server e Diretiva do Arquivo-chave SSL.
  2. Extraia o certificado para um arquivo usando o utilitário iKeyman.
    1. Selecione o certificado que você criou na Etapa 1. Por exemplo, adminselfSigned.
    2. Clique em Extrair Certificado. O nome do arquivo recomendado para extração é C:\Arquivos de Programas\IBM\HTTPServer\conf\cert.arm.
      Evitar Problemas Evitar Problemas: Não altere o tipo de dado.gotcha
  3. Modifique o arquivo de configuração do Administration Server, que é denominado admin.conf.
    1. Configure o arquivo para carregar o módulo SSL da IBM. Remova o comentário da linha a seguir:
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. Ative o SSL e defina um arquivo-chave para usar. Remova o comentário das linhas a seguir para ativar SSL e defina um arquivo-chave para usar:
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      Evitar Problemas Evitar Problemas: Lembre-se do seguinte:
      • A diretiva de arquivo-chave deve corresponder ao nome e local de um arquivo-chave válido que está instalado em seu sistema.
      • Você deve ter o suporte de SSL da IBM instalado para isto funcionar.
      • O "padrão" em SSLServerCert é a etiqueta, ou nome, do certificado autoassinado que é criado quando o arquivo plugin-key.kdb foi criado.
      • O exemplo anterior usa SSLServerCert porque o certificado autoassinado padrão no plugin-key.kdb não é sinalizado como o certificado padrão.
      gotcha
  4. Inicie o servidor de administração para IBM HTTP Server. Verifique se o arquivo de log não contém erros de GSKIT.
  5. Configure o WebSphere Application Server.
    1. Efetue logon no Console Administrativo para o Application Server e inicie o gerenciador de implementação.
    2. Selecione Segurança > Certificado SSL e Gerenciamento de Chave.
    3. Selecione Gerenciar Configurações de Segurança do Terminal. Você é direcionado para uma lista de terminais de entrada e saída.
    4. Selecione a célula de saída (cellDefaultSSLSettings,null). Selecione células de saída porque, nesta configuração, o Console de Administração para o Application Server é o cliente e o Servidor de Administração do IBM HTTP Server é o servidor.
      Evitar Problemas Evitar Problemas: Esta configuração é a configuração oposto de uma configuração de SSL com o plug-in do IBM HTTP Server e o Application Server.gotcha
    5. Na seção Itens Relacionados, clique em Armazenamentos de Chave e Certificados.
    6. Clique em CellDefaultTrustStore.
    7. Na seção Propriedades Adicionais, clique em Certificados de Assinante.
    8. Coloque o arquivo de certificado em FTP para o Application Server. Não altere o tipo de dado.
    9. No painel de coleção para Certificados de Assinante, clique em Incluir. Insira as informações a seguir nos campos.
      Tabela 1. Informações do Certificado de Assinante
      Nome Valor
      Alias adminselfSigned
      Nome do arquivo file_name
      Por exemplo, insira o seguinte:
      c:\program files\ibm\httpserver\conf\cert.arm
    10. Salve as mudanças na configuração para o console administrativo.
    11. Pare o gerenciador de implementação.
    12. Inicie o Deployment Manager.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
Nome do arquivo: tihs_setupsslwithwas.html