[AIX Solaris HP-UX Linux Windows][z/OS]

SSL zwischen dem Verwaltungsserver von IBM HTTP Server und dem Deployment Manager konfigurieren

Konfigurieren Sie Secure Sockets Layer (SSL) zwischen dem Deployment Manager für WebSphere Application Server und dem Verwaltungsserver von IBM® HTTP Server (adminctl).

Informationen zu diesem Vorgang

Application Server hat neue SSL-Verwaltungsfunktionen, die ordnungsgemäß verwaltet werden müssen, damit IBM HTTP Server eine Verbindung über eine SSL-Anforderung herstellen kann. In früheren Releases verwenden SSL-Verbindungen Standardpseudozertifikate, die zwischen IBM HTTP Server und Application Server ausgetauscht werden. In WebSphere Application Server müssen Sie Application Server so konfigurieren, dass ein selbst signiertes Zertifikat von IBM HTTP Server akzeptiert wird, damit SSL-Verbindungen akzeptiert und Transaktionen ausgeführt werden können.

Wenn Application Server und der Verwaltungsserver von IBM HTTP Server nicht ordnungsgemäß konfiguriert sind, zeigt Application Server alle Fehler, die empfangen werden, in der Protokolldatei für den Deployment Manager an. In Situationen, in denen der Verwaltungsserver von IBM HTTP Server versucht, eine Verbindung über SSL herzustellen, und Application Server nicht dementsprechend konfiguriert ist, können Sie eine Fehlernachricht wie die folgende empfangen:
-CWPKI0022E: FEHLER BEIM SSL-HANDSHAKE: Es wurde ein Unterzeichner mit
SubjectDN "CN=localhost" vom Zielhost host:port "null:null" gesendet.
Der Unterzeichner muss möglicherweise dem lokalen Truststore
"c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12"
im SSL-Konfigurationsalias "CellDefaultSSLSettings" hinzugefügt werden, der aus der
SSL-Konfigurationsdatei "security.xml" geladen wurde.
Die erweiterte Fehlernachricht aus der SSL-Handshake-Ausnahme lautet wie folgt:
"No trusted certificate found".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h: No trusted certificate found

Vorgehensweise

  1. Rufen Sie ein Serverzertifikat ab. Sie können ein neues selbst signiertes Zertifikat generieren oder das vorhandene Zertifikat aus dem Web-Server-Plug-in für IBM HTTP Server verwenden.
    • Verwenden Sie das vorhandene selbst signierte Zertifikat aus dem Web-Server-Plug-in für IBM HTTP Server.
    • Erstellen Sie eine CMS-Schlüsseldatenbankdatei und ein selbst signiertes Serverzertifikat. Verwenden Sie das Dienstprogramm iKeyman für verteilte Betriebssysteme und das Tool gskkyman für z/OS-Betriebssysteme. In diesem und in späteren Schritten wird davon ausgegangen, dass Sie das Dienstprogramm iKeyman verwenden.
      • [AIX Solaris HP-UX Linux Windows]Verwenden Sie die grafische Benutzerschnittstelle oder die Befehlszeile von iKeyman in IBM HTTP Server, um eine CMS-Schlüsseldatenbankdatei und ein selbst signiertes Serverzertifikat zu erstellen.
        Verwenden Sie das Dienstprogramm iKeyman, um ein selbst signiertes Zertifikat für den Verwaltungsserver von IBM HTTP Server zu erstellen und das Zertifikat als /conf/admin.kdb zu speichern.
        Bewährtes Verfahren Bewährtes Verfahren: Notieren Sie sich das Kennwort, und wählen Sie die Option Kennwort in einer Datei verstecken aus.bprac
        Die folgenden Felder sind für das Zertifikat erforderlich:
        Kennsatz
        adminselfSigned
        Allgemeiner Name
        vollständig_qualifizierter_Hostname
      • [z/OS]IBM HTTP Server verwendet das z/OS-Tool gskkyman für die Schlüsselverwaltung, um eine CMS-Schlüsseldatenbankdatei, Paare aus öffentlichen und privaten Schlüsseln und selbst signierte Zertifikate zu erstellen. Alternativ können Sie einen SAF-Schlüsselring an Stelle einer CMS-Schlüsseldatenbankdatei erstellen.
        • Informationen zu gskkyman finden Sie in der Dokumentation zur Schlüsselverwaltung mit der nativen z/OS-Schlüsseldatenbank.
        • Informationen zum Erstellen von SAF-Schlüsselringen finden Sie in der Dokumentation zur Authentifizierung mit SAF in IBM HTTP Server und zur SSL-Anweisung "keyfile".
  2. Extrahieren Sie das Zertifikat mit dem Dienstprogramm iKeyman.
    1. Wählen Sie das in Schritt 1 erstellte Zertifikat aus, z. B. adminselfSigned.
    2. Klicken Sie auf Zertifikat extrahieren. Der empfohlene Dateiname für die extrahierte Datei ist C:\Program Files\IBM\HTTPServer\conf\cert.arm.
      Fehler vermeiden Fehler vermeiden: Ändern Sie den Datentyp nicht.gotcha
  3. Ändern Sie die Konfigurationsdatei des Verwaltungsservers, die den Namen admin.conf hat.
    1. Konfigurieren Sie die Datei so, dass das IBM SSL-Modul geladen wird. Entfernen Sie das Kommentarzeichen aus der folgenden Zeile:
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
    2. Aktivieren Sie SSL, und definieren Sie eine zu verwendende Schlüsseldatei. Entfernen Sie die Kommentarzeichen aus den folgenden Zeilen, um SSL zu aktivieren und eine zu verwendende Schlüsseldatei zu definieren:
      SSLEnable
        SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      Fehler vermeiden Fehler vermeiden: Beachten Sie Folgendes:
      • Die Anweisung "Keyfile" muss mit dem Namen und der Position einer gültigen Schlüsseldatei übereinstimmen, die auf Ihrem System installiert ist.
      • Damit dies funktioniert, muss die IBM SSL-Unterstützung installiert sein.
      • Die Angabe "default" in SSLServerCert ist der Kennsatz bzw. der Name des selbst signierten Zertifikats, das bei der Erstellung der Datei plugin-key.kdb erstellt wurde.
      • Im vorherigen Beispiel wird SSLServerCert verwendet, weil das selbst signierte Standardzertifikat in der Datei plugin-key.kdb nicht als Standardzertifikat gekennzeichnet ist.
      gotcha
  4. Starten Sie den Verwaltungsserver für IBM HTTP Server. Vergewissern Sie sich, dass die Protokolldatei keine GSKIT-Fehler enthält.
  5. Konfigurieren Sie WebSphere Application Server.
    1. Melden Sie sich an der Administrationskonsole von Application Server an und starten Sie den Deployment Manager.
    2. Wählen Sie Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln aus.
    3. Wählen Sie Sicherheitskonfigurationen für Endpunkte verwalten aus. Sie werden zu einer Liste mit eingehenden und abgehenden Endpunkten weitergeleitet.
    4. Wählen Sie die abgehende Zelle (cellDefaultSSLSettings,null) aus. Wählen Sie abgehende Zellen aus, weil die Administrationskonsole von Application Server in dieser Konfiguration der Client und der Verwaltungsserver von IBM HTTP Server Administration Server der Server ist.
      Fehler vermeiden Fehler vermeiden: Diese Konfiguration ist das Gegenstück zu einer SSL-Konfiguration mit dem Plug-in für IBM HTTP Server und Application Server.gotcha
    5. Klicken Sie im Abschnitt "Zugehörige Elemente" auf Keystores und Zertifikate.
    6. Klicken Sie auf CellDefaultTrustStore.
    7. Klicken Sie im Abschnitt "Weitere Eigenschaften" auf Unterzeichnerzertifikate.
    8. Senden Sie die Zertifikatsdatei mit FTP an Application Server. Ändern Sie den Datentyp nicht.
    9. Klicken Sie in der Anzeige mit der Sammlung der Unterzeichnerzertifikate auf Hinzufügen. Geben Sie die folgenden Informationen in die Felder ein.
      Tabelle 1. Informationen für Unterzeichnerzertifikate
      Name Wert
      Alias adminselfSigned
      Dateiname Dateiname
      Geben Sie beispielsweise Folgendes ein:
      c:\program files\ibm\httpserver\conf\cert.arm
    10. Speichern Sie die Konfigurationsänderungen in der Administrationskonsole.
    11. Stoppen Sie den Deployment Manager.
    12. Starten Sie den Deployment Manager.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
Dateiname:tihs_setupsslwithwas.html