Clientkonfigurationsdatei ssl.client.props

Mit der Datei ssl.client.props können Sie SSL (Secure Sockets Layer) für Clients konfigurieren. In früheren Releases von WebSphere Application Server wurden SSL-Eigenschaften in der Datei sas.client.props bzw. soap.client.props oder als Systemeigenschaften angegeben. Durch die Konsolidierung der Konfigurationen ist die Verwaltung der Sicherheit in WebSphere Application Server mit der serverseitigen Konfigurationsverwaltung vergleichbar. Die Datei ssl.client.props können Sie mit mehreren SSL-Konfigurationen konfigurieren.

SSL-Konfiguration für Clients definieren

Clientlaufzeiten hängen von den Konfigurationen von WebSphere Application Server in ssl.client.props ab.

[AIX Solaris HP-UX Linux Windows]Führen Sie über die Befehlszeile das Script setupCmdLine.bat aus, um die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben.

[z/OS]Führen Sie über die Befehlszeile das Script setupCmdLine.sh aus, um die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben.

[AIX Solaris HP-UX Linux Windows]Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei ssl.client.props zeigt. Sie können die Variable CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei setupCmdLine.bat verwendet.

[z/OS]Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei ssl.client.props zeigt. Sie können die Variable CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei setupCmdLine.sh verwendet.

[IBM i]Führen Sie über die Befehlszeile das Script setupCmdLine aus, um die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben. Das Script "setupclient" setzt auch die Variable CLIENTSSL. Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei ssl.client.props zeigt. Sie können die Variable CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei setupCmdLine verwendet.

Wenn Sie die Systemeigenschaft "com.ibm.SSL.ConfigURL" angeben, steht die SSL-Konfiguration allen Protokollen zur Verfügung, die SSL verwenden. SSL-Konfigurationen, die in der Datei ssl.client.props referenziert werden, haben auch Aliasnamen, auf die Sie verweisen können. Im folgenden Beispielcode aus der Datei sas.client.props wurden alle SSL-Eigenschaften durch eine Eigenschaft ersetzt, das auf eine SSL-Konfiguration in der Datei ssl.client.props zeigt:
com.ibm.ssl.alias=DefaultSSLSettings
Der folgende Beispielcode zeigt eine Eigenschaft in der Datei soap.client.props, das mit der Eigenschaft "com.ibm.SSL.ConfigURL" vergleichbar ist. Diese Eigenschaft referenziert eine andere SSL-Konfiguration auf der Clientseite:
com.ibm.ssl.alias=DefaultSSLSettings
Wenn Sie die Datei soap.client.props nicht modifizieren möchten, können Sie die administrative SSL-Konfiguration in der Datei ssl.client.props ändern.
Tipp: Unterstützung für SSL-Eigenschaften ist noch in den Dateien sas.client.props und soap.client.props angegeben. Sie sollten aber in Erwägung ziehen, die SSL-Konfigurationen in die Datei ssl.client.props zu verschieben, da diese Datei dem neuen Konfigurationsmodell für Client-SSL entspricht.
[IBM i][z/OS]Wenn Sie einen Client konfigurieren, der "setupCmdLine.sh" nicht aufruft, um eine Verbindung zu einem Anwendungsserver mit aktivierter Sicherheit herzustellen, müssen Sie sicherstellen, dass die folgende Systemeigenschaft in der Clientkonfiguration definiert ist:
-Djava.security.properties=profile_root/properties/java.security 

Eigenschaften in der Datei "ssl.client.props"

Nachfolgend sind die Standardeigenschaften in der Datei ssl.client.props detailliert und nach Abschnitten innerhalb der Datei beschrieben. Wenn Sie die Systemeigenschaften "javax.net.ssl" angeben, überschreiben diese die Einstellungen in der Datei ssl.client.props.

Globale Eigenschaften:

[AIX Solaris HP-UX Linux Windows][z/OS]Globale SSL-Eigenschaften sind prozessspezifische Eigenschaften, die die FIPS-Unterstützung, den Standard-SSL-Alias, die Eigenschaft "user.root" für die Stammposition der Keystore- und Truststore-Pfade usw. angeben.

[IBM i]Globale SSL-Eigenschaften sind prozessspezifische Eigenschaften, die die FIPS-Unterstützung, den Standard-SSL-Alias, das Profilstammverzeichnis für die Stammposition der Keystore- und Truststore-Pfade usw. angeben.

Tabelle 1. Eigenschaften in der Datei "ssl.client.props". In dieser Tabelle sind die Eigenschaften der Datei ssl.client.props beschrieben.
Eigenschaft Standardeinstellung Beschreibung
com.ibm.ssl.defaultAlias DefaultSSLSettings Gibt den Standardalias an, der verwendet wird, wenn das Protokoll, das die JSSEHelper-API zum Abrufen einer SSL-Konfiguration aufruft, keinen Aliasnamen angibt. Diese Eigenschaft ist der endgültige Arbiter, wenn um die Entscheidung geht, welche SSL-Konfiguration verwendet werden soll.
com.ibm.ssl.validationEnabled false Wenn diese Eigenschaft auf true gesetzt ist, wird jede SSL-Konfiguration beim Laden validiert. Verwenden Sie diese Eigenschaft für Debugzwecke, um in der Produktion unnötige Leistungseinbußen zu vermeiden.
com.ibm.ssl.performURLHostNameVerification false Wenn diese Eigenschaft auf true gesetzt ist, wird die Prüfung des URL-Hostnamens durchgesetzt. Werden HTTP-URL-Verbindungen zu Zielservern hergestellt, muss der allgemeine Name (CN, Common Name) des Serverzertifikats mit dem Namen des Zielhosts übereinstimmen. Andernfalls wird die Verbindung von der Prüffunktion für Hostnamen zurückgewiesen. Bei Auswahl des es false wird diese Überprüfung nicht durchgeführt. Diese Eigenschaft definiert als globale Eigenschaft die Standardprüffunktion für Hostnamen. Jedes javax.net.ssl.HttpsURLConnection-Objekt kann die Prüfung von Hostnamen für diese bestimmte Instanz aktivieren, indem es die Methode setHostnameVerifier mit der eigenen HostnameVerifier-Instanz aufruft.
Fehler vermeiden Fehler vermeiden: Diese Eigenschaft gilt nicht für SSL-Kanäle. gotcha
com.ibm.security.useFIPS false Wenn diese Eigenschaft auf true gesetzt ist, werden für SSL-Anwendungen und andere JCE-spezifische Anwendungen (Java™ Cryptography Extension) FIPS-konforme Algorithmen verwendet. Normalerweise wird diese Eigenschaft nur aktiviert, wenn es für die Betriebsumgebung erforderlich ist.
com.ibm.websphere.security.FIPSLevel false Gibt die Stufe des zu verwendenden Sicherheitsstandards an. Gültige Werte sind: 140-2, SP800-131, transition. Die Eigenschaft "com.ibm.security.useFIPS" muss auf true gesetzt sein, damit Suite B aktiviert wird. Die Eigenschaft muss in der Datei ssl.client.props im Abschnitt für die globalen Eigenschaften eingegeben werden, vorzugsweise nach "com.ibm.security.useFIPS".
com.ibm.websphere.security.suiteB false Gibt die Stufe des zu verwendenden Sicherheitsstandards von Suite B an. Gültige Werte sind "128" und "192". Damit Sie die Eigenschaft "com.ibm.security.useFIPS" aktivieren können, muss sie auf true gesetzt sein. Die Eigenschaft muss in der Datei ssl.client.props im Abschnitt für die globalen Eigenschaften eingegeben werden, vorzugsweise nach "com.ibm.security.useFIPS".
[z/OS]user.root [z/OS]${WASROOT} [z/OS]Dieses Eigenschaft kann von den Eigenschaften für die Keystore- und Truststore-Position genutzt werden, um den Stammpfad zu den Keystores und Truststores in nur einer einzigen Eigenschaft anzugeben. ${WASROOT} ist das Stammverzeichnis des aktuellen Profils. In der Regel ist diese Eigenschaft auf das Profilstammverzeichnis gesetzt. Sie können diese Eigenschaft aber auch auf jedes Stammverzeichnis der lokalen Maschine setzen, das über eine ausreichende Lese- und ggf. Schreibberechtigung für das Profilstammverzeichnis verfügt.

Eigenschaften für die Zertifikatserstellung:

Mit den Eigenschaften für Zertifikaterstellung können Sie die Werte des selbst signierten Standardzertifikats für die wichtigsten Attribute eines Zertifikats angeben. Sie können die im Keystore gespeicherten Werte für den definierten Namen (DN), das Verfallsdatum, die Schlüsselgröße und den Aliasnamen angeben.
Tabelle 2. Eigenschaften für die Zertifikatserstellung. In dieser Tabelle sind die Eigenschaften für die Zertifikatserstellung beschrieben.
Eigenschaft Standardeinstellung Beschreibung
com.ibm.ssl.defaultCertReqAlias Standardaliasname Diese Eigenschaft gibt den Standardalias an, mit dem das im Keystore erstellte selbst signierte Zertifikat referenziert wird. Falls es bereits einen solchen Aliasnamen gibt, werden an den Standardalias die Zeichen _# angehängt. Das Nummernzeichen (#) steht hier für eine ganze Zahl. Als erste Zahl wird 1 verwendet. Diese Zahl wird so lange erhöht, bis der Aliasname eindeutig ist.
com.ibm.ssl.defaultCertReqSubjectDN cn=${hostname}, o=IBM,c=US Diese Eigenschaft verwendet die Eigenschaft für den DN, den Sie beim Erstellen des Zertifikats definiert haben. Die Variable ${hostname} wird in den Namen des Hosts aufgelöst, auf dem sich das Zertifikat befindet. Sie können wohlgeformte definierte Namen verwenden, wie sie vom X.509-Zertifikat angegeben werden.
com.ibm.ssl.defaultCertReqDays 365 Diese Eigenschaft gibt den Gültigkeitszeitraum des Zertifikats an. Dieser Zeitraum kann bei nur einem Tag liegen, aber auch auf die maximale Anzahl von Tagen für ein Zertifikat gesetzt werden, die bei annähernd 15 Jahren liegt.
com.ibm.ssl.defaultCertReqKeySize 1024 Diese Eigenschaft gibt die Standardschlüsselgröße an. Die gültigen Werte richten sich nach den installierten Sicherheitsrichtliniendateien der Java Virtual Machine (JVM). Standardmäßig begrenzt die Richtliniendatei der zum Produkt gelieferten JVMs die Schlüsselgröße auf 1024. Falls Sie größere Schlüssel verwenden möchten (z. B. mit einer Größe von 2048), müssen Sie die Richtliniendateien von der Website herunterladen.

Überprüfung des Zertifikatswiderrufs:

Um die Zertifikatswiderrufsprüfung zu aktivieren, können Sie eine Kombination von OCSP-Eigenschaften (Online Certificate Status Protocol) definieren. Diese Eigenschaften werden nur verwendet, wenn Sie die Eigenschaft "com.ibm.ssl.trustManager" auf IbmPKIX setzen. Damit die Widerrufsprüfung im Client ordnungsgemäß verarbeitet werden kann, müssen Sie die Eingabeaufforderung für den Austausch der Sicherheitssignatur inaktivieren. Dazu müssen Sie die Eigenschaft "com.ibm.ssl.enableSignerExchangePrompt" in false ändern. Weitere Informationen finden Sie im Artikel zur Aktivierung der Zertifikatswiderrufsprüfung mit dem Standard-Trust-Manager IbmPKIX.

SSL-Konfigurationseigenschaften:

Im Abschnitt mit den SSL-Konfigurationseigenschaften können Sie mehrere SSL-Konfigurationen definieren. Für eine neue SSL-Konfiguration müssen Sie die Eigenschaft "com.ibm.ssl.alias" setzen, weil der Parser eine neue Konfiguration mit diesem Aliasnamen startet. Die SSL-Konfiguration wird mit der Aliaseigenschaft aus einer anderen Datei wie sas.client.props oder soap.client.props referenziert. Mit den in der folgenden Tabelle angegebenen Eigenschaften können Sie neben anderen SSL-Objekten einen javax.net.ssl.SSLContext erstellen.
Tabelle 3. SSL-Konfigurationseigenschaften. In dieser Tabelle sind die SSL-Konfigurationseigenschaften aufgeführt.
Eigenschaft Standardeinstellung Beschreibung
com.ibm.ssl.alias DefaultSSLSettings Diese Eigenschaft gibt den Namen dieser SSL-Konfiguration an. Sie muss die erste Eigenschaft einer SSL-Konfiguration sein, da mit dieser Eigenschaft auf die Konfiguration verwiesen wird. Wenn Sie diese Eigenschaft ändern, nachdem an anderer Stelle der Konfiguration auf diese Eigenschaft verwiesen wird, verwendet die Laufzeit bei jeder nicht gefundenen Referenz standardmäßig die Eigenschaft "com.ibm.ssl.defaultAlias". Wird eine Anwendung gestartet, die eine nicht mehr gültige SSL-Referenz verwendet, kann die Fehlernachricht trust file is null oder key file is null angezeigt werden.
com.ibm.ssl.protocol SSL_TLS Diese Eigenschaft gibt das für diese SSL-Konfiguration verwendete SSL-Handshake-Protokoll an. Bei dieser Einstellung wird zuerst TLS (Transport Layer Security) versucht. Es werden aber auch alle anderen fernen Handshakeprotokolle, einschließlich SSLv3 und TLSv1, akzeptiert. Gültige Werte für diese Eigenschaft sind unter anderem SSL_TLS, SSL, SSLv2 (nur Clientseite), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 und TLSv1.2.
com.ibm.ssl.securityLevel STRONG Diese Eigenschaft gibt die für den SSL-Handshake verwendete Chiffrierwertgruppe an. Die normale Einstellung ist STRONG und gibt die 128-Bit-Verschlüsselung als Mindestverschlüsselung an. Bei Auswahl von MEDIUM wird die 40-Bit-Verschlüsselung verwendet. Wenn Sie WEAK auswählen, kommen Chiffrierwerte zum Einsatz, die keine Verschlüsselung vornehmen, die Datenintegrität jedoch durch Signieren sicherstellen. Falls Sie eine eigene Liste mit Chiffrierwerten auswählen, setzen Sie die Eigenschaft "com.ibm.ssl.enabledCipherSuites" auf Kommentar.
Anmerkung: Die Verwendung der Systemeigenschaften "javax.net.ssl" bewirkt, dass immer der Wert HIGH verwendet wird.
com.ibm.ssl.trustManager IbmX509 Diese Eigenschaft gibt den Standard-Trust-Manager an, den Sie für die Validierung des vom Zielserver gesendeten Zertifikats verwenden müssen. Dieser Trust Manager überprüft nicht die Liste der entzogenen Zertifikate (CRL-Prüfung). Sie können diese Eigenschaft auf "IbmPKIX" setzen, wenn eine CRL-Prüfung anhand von CRL-Verteilerlisten im Zertifikat durchgeführt werden soll. Dies ist die Standardmethode für die CRL-Prüfung. Wenn Sie eine eigene CRL-Prüfung durchführen möchten, müssen Sie einen eigenen Trust-Manager implementieren und diesen in der Eigenschaft "com.ibm.ssl.customTrustManagers" angeben. Die Option IbmPKIX kann sich auf die Leistung auswirken, weil sie für die Validierung des Vertrauensverhältnisses IBMCertPath erfordert. Verwenden Sie IbmX509, sofern keine CRL-Überprüfung erforderlich ist. Wenn Sie die OCSP-Eigenschaften verwenden, müssen Sie diesen Eigenschaftswert auf IbmPKIX setzen.
com.ibm.ssl.keyManager IbmX509 Diese Eigenschaft gibt den Standard-Key-Manager für die Auswahl des Clientalias aus dem genannten Keystore an. Dieser Key-Manager wählt den Clientalias aus dem Keystore mit der Eigenschaft "com.ibm.ssl.keyStoreClientAlias" aus. Ist diese Eigenschaft nicht angegeben, wird die Auswahl an JSSE (Java Secure Socket Extension) delegiert. JSSE wählt in der Regel den ersten gefundenen Aliasnamen aus.
com.ibm.ssl.contextProvider IBMJSSE2 Mit diese Eigenschaft wird der JSSE-Provider für die SSL-Kontexterstellung ausgewählt. Wenn Sie eine Java Virtual Machine (JVM) verwenden, sollten den Standardwert IBMJSSE2 übernehmen. Das Client-Plug-in kann den Provider SunJSSE verwenden, wenn eine Sun JVM genutzt wird.
com.ibm.ssl.enableSignerExchangePrompt true Diese Eigenschaft bestimmt, ob eine Aufforderung zum Austausch der Unterzeichner angezeigt wird, wenn im Client-Truststore kein Unterzeichner enthalten ist. Zusammen mit der Aufforderung werden Informationen zum fernen Zertifikat angezeigt, damit WebSphere Application Server entscheiden kann, ob der Unterzeichner vertrauenswürdig ist. Es ist sehr wichtig, dass die Signatur des Zertifikats geprüft wird, denn sie ist die einzige zuverlässige Information, die garantieren kann, dass das Zertifikat nicht vom ursprünglichen Serverzertifikat abweicht. In automatisierten Szenarien sollten Sie diese Eigenschaft inaktivieren, um Ausnahmen beim SSL-Handshake zu vermeiden. eFühren Sie das Script retrieveSigners aus, das den SSL-Austausch der Sicherheitssignatur konfiguriert, um vor Ausführung des Clients die Unterzeichner vom Server herunterzuladen. Wenn Sie die OCSP-Eigenschaften verwenden, müssen Sie diesen Eigenschaftswert auf false setzen.
com.ibm.ssl.keyStoreClientAlias default Mit dieser Eigenschaft wird auf einen Aliasnamen im angegebenen Keystore verwiesen, wenn das Ziel keine Clientauthentifizierung anfordert. Wenn WebSphere Application Server ein selbst signiertes Zertifikat für die SSL-Konfiguration erstellt, bestimmt diese Eigenschaft den Aliasnamen und überschreibt die globale Eigenschaft "com.ibm.ssl.defaultCertReqAlias".
com.ibm.ssl.customTrustManagers Standardmäßig auf Kommentar gesetzt Mit diese Eigenschaft können Sie eigene Trust-Manager, getrennt durch Kommata, angeben. Diese Trust Manager können im Format Algorithmus|Provider oder Klassenname angegeben werden. IbmX509|IBMJSSE2 hat beispielsweise das Format Algorithmus|Provider und die Schnittstelle com.acme.myCustomTrustManager das Format Klassenname. Die Klasse muss die Schnittstelle "javax.net.ssl.X509TrustManager" implementieren. Sie kann optional auch die Schnittstelle "com.ibm.wsspi.ssl.TrustManagerExtendedInfo" implementieren. Diese Trust Manager werden zusätzlich zum Standard-Trust-Manager ausgeführt, der von der Eigenschaft "com.ibm.ssl.trustManager" angegeben wird, und sind kein Ersatz für den Standard-Trust-Manager.
com.ibm.ssl.customKeyManager Standardmäßig auf Kommentar gesetzt Mit dieser Eigenschaft können Sie einen (und nur einen) eigenen Key Manager angeben. Der Key Manager ersetzt den Standard-Key-Manager, der von der Eigenschaft "com.ibm.ssl.keyManager" angegeben wird. Der Key Manager wird im Format Algorithmus|Provider oder Klassenname angegeben. Formatbeispiele finden Sie in der Beschreibung zur Eigenschaft "com.ibm.ssl.customTrustManagers". Die Klasse muss die Schnittstelle "javax.net.ssl.X509KeyManager" implementieren. Sie kann optional auch die Schnittstelle "com.ibm.wsspi.ssl.KeyManagerExtendedInfo" implementieren. Der Key Manager ist für die Auswahl des Aliasnamens verantwortlich.
com.ibm.ssl.dynamicSelectionInfo Standardmäßig auf Kommentar gesetzt Diese Eigenschaft aktiviert eine dynamische Assoziation zur SSL-Konfiguration. Die Syntax einer dynamischen Assoziation sieht wie folgt aus: abgehendes_Protokoll, Zielhost oder Zielport. Verwenden Sie für mehrere Angaben den vertikalen Balken (|) als Begrenzer. Für jeden dieser Werte können Sie einen Stern (*) als Platzhalter angeben. Gültige Werte für abgehendes_Protokoll sind unter anderem IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS und ADMIN_SOAP. Wenn die SSL-Konfiguration mittels der dynamischen Auswahlkriterien ausgewählt werden soll, entfernen Sie das Kommentarzeichen für die Standardeigenschaft, und fügen Sie die Verbindungsinformationen hinzu. Fügen Sie beispielsweise Folgendes in einer Zeile hinzu:
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites Standardmäßig auf Kommentar gesetzt Mit diese Eigenschaft können Sie eine eigene Cipher-Suite-Liste angeben und die Gruppenauswahl in der Eigenschaft "com.ibm.ssl.securityLevel" außer Kraft setzen. Welche Liste von Chiffrierwerten gültig ist, richtet sich nach dem jeweiligen Provider und den jeweiligen JVM-Richtliniendateien. Verwenden Sie für Cipher Suite ein Leerzeichen als Begrenzer.
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Diese Eigenschaft verweist auf den Namen einer Keystore-Konfiguration. Falls Sie noch keinen Keystore definiert haben, müssen alle weiteren Keystore-Eigenschaften auf diese Eigenschaft folgen. Nach dem Definieren des Keystore können Sie diese Eigenschaft angeben, um die zuvor angegebene Keystore-Konfiguration zu referenzieren. Neue Keystore-Konfigurationen in der Datei ssl.client.props haben einen eindeutigen Namen.
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Diese Eigenschaft verweist auf den Namen einer Truststore-Konfiguration. Falls Sie noch keinen Truststore definiert haben, müssen alle weiteren Truststore-Eigenschaften auf diese Eigenschaft folgen. Nach dem Definieren des Truststore können Sie diese Eigenschaft angeben, um die zuvor angegebene Truststore-Konfiguration zu referenzieren. Neue Truststore-Konfigurationen in der Datei ssl.client.props sollten einen eindeutigen Namen haben.
[z/OS]Die Standardwerte von Keystore- und Truststore-Konfigurationseigenschaften sind von der Sicherheitskonfiguration abhängig, die Sie in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool auswählen. Die folgenden Optionen sind in der Anzeige "Auswahl der Verwaltungssicherheit" verfügbar:
  • Wenn Sie die erste Option, z/OS-Sicherheitsprodukt verwenden, auswählen, verweisen die Standardwerte für die Keystore- und Truststore-Konfigurationseigenschaften auf einen Keystore mit einem JCERACFKS-Typ. Dieser Typ verwendet Schlüssel und Zertifikate, die von einem z/OS-Sicherheitsprodukt wie z. B. RACF gespeichert und verwaltet werden. Weitere Informationen finden Sie im Abschnitt "z/OS-Keystores" des Artikels "Keystore-Konfigurationen".
  • Wenn Sie die zweite Option, WebSphere Application Server verwenden, oder die dritte Option, Sicherheit nicht aktivieren, auswählen, verweisen die Standardwerte für die Keystore- und Truststore-Konfigurationseigenschaften auf einen Keystore mit einer PKCS12-Datei. Weitere Informationen zu dateibasierten Keystores finden Sie im Abschnitt "Dateibasierte IBMJCE-Keystores (JCEKS, JKS und PKCS12)" des Artikels "Keystore-Konfigurationen".

Keystore-Konfigurationen:

SSL-Konfigurationen verweisen auf Keystore-Konfigurationen, die die Position von Zertifikaten angeben. Zertifikate repräsentieren die Identität von Clients, die die SSL-Konfiguration verwenden. Sie können Keystore-Konfigurationen mit anderen SSL-Konfigurationseigenschaften angeben. Sie sollten die Keystore-Konfigurationen jedoch in diesem Abschnitt der Datei ssl.client.props angeben. Der Beginn einer neuen Keystore-Konfiguration wird mit der Eigenschaft "com.ibm.ssl.keyStoreName" angezeigt. Nachdem Sie die Keystore-Konfiguration vollständig definiert haben, kann die Eigenschaft "com.ibm.ssl.keyStoreName" an jeder beliebigen Stelle der Datei auf diese Konfiguration verweisen.
[AIX Solaris HP-UX Linux Windows][IBM i]
Tabelle 4. Konfigurationseigenschaften für Keystores. In dieser Tabelle sind die Keystore-Konfigurationseigenschaften aufgeführt.
Eigenschaft Standardeinstellung Beschreibung
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Diese Eigenschaft gibt den Namen des Keystore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden.
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 Diese Eigenschaft gibt die Position des Keystore in dem für die Eigenschaft "com.ibm.ssl.keyStoreType" erforderlichen Format an. In der Regel verweist diese Eigenschaft auf den Namen einer Keystore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei (Dynamic Link Library).
Fehler vermeiden Fehler vermeiden: Wenn Sie eine Verschlüsselungskarte des Typs 4764 verwenden, muss der Keystore-Dateiname für die Clientkonfiguration als 4764.cfg in einer Verzeichnisstruktur Ihrer Wahl angegeben werden, und die entsprechende Eigenschaft "com.ibm.ssl.keyStoreType" muss auf PKCS11 gesetzt werden. Die Datei "4764.cfg" wird nicht mit WebSphere Application Serverbereitgestellt.gotcha
com.ibm.ssl.keyStorePassword WebAS Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss diesen Verweis. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wird, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Keystore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Keystore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Keystore auf DefaultKeyStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Löschen Sie den Keystore und den Truststore zur selben Zeit, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden.
com.ibm.ssl.keyStoreType PKCS12 Diese Eigenschaft gibt den Keystore-Typ an. Verwenden Sie den Standardwert PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft jeden gültigen Keystore-Typ angeben, der von der JVM in der Providerliste unterstützt wird.
com.ibm.ssl.keyStoreProvider IBMJCE Die Eigenschaft für die IBM® Java Cryptography Extension ist der Keystore-Provider für den Keystore-Typ. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten.
com.ibm.ssl.keyStoreFileBased true Diese Eigenschaft gibt für die Laufzeit an, dass der Keystore dateibasiert ist (sich im Dateisystem befindet).
com.ibm.ssl.keyStoreReadOnly false Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann.

[z/OS]In der folgenden Tabelle entsprechen die Werte in der Spalte "Standardwerte für ein z/OS-Sicherheitsprodukt" den Standardwerten, die verwendet werden, wenn die Option z/OS-Sicherheitsprodukt verwenden in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool ausgewählt ist. Diese Option ist die erste Option in der Anzeige "Auswahl der Verwaltungssicherheit". Die Werte in der Spalte "Standardwerte für die Sicherheitseinrichtung von WebSphere Application Server" entsprechen den Standardwerten, die verwendet werden, wenn die Option WebSphere Application Server verwenden in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool ausgewählt ist. Diese Option ist die zweite Option in der Anzeige "Auswahl der Verwaltungssicherheit".

[z/OS]
Tabelle 5. Konfigurationseigenschaften für Keystores. In dieser Tabelle sind die Keystore-Konfigurationseigenschaften aufgeführt.
Eigenschaft Standardwerte für ein z/OS-Sicherheitsprodukt Standardwerte für die Sicherheit für WebSphere Application Server Beschreibung
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore Diese Eigenschaft gibt den Namen des Keystore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden.
com.ibm.ssl.keyStore

safreyring:///Ihr_Schlüsselring

Dieser Wert wird in der Anzeige "SSL-Anpassung" von z/OS Profile Management Tool definiert.

${user.root}/etc/key.p12 Diese Eigenschaft gibt die Position des Keystore in dem für die Eigenschaft "com.ibm.ssl.keyStoreType" erforderlichen Format an. In der Regel verweist diese Eigenschaft auf den Namen einer Keystore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei (Dynamic Link Library).
com.ibm.ssl.keyStorePassword password WebAS Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss diesen Verweis. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wird, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Keystore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Keystore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Keystore auf DefaultKeyStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Löschen Sie den Keystore und den Truststore zur selben Zeit, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden.
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 Diese Eigenschaft gibt den Keystore-Typ an. Verwenden Sie den Standardwert PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft jeden gültigen Keystore-Typ angeben, der von der JVM in der Providerliste unterstützt wird. Der Typ kann für Verschlüsselungseinheiten JCERACFKS oder JCECCAKS sein.
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE Die Eigenschaft für die IBM Java Cryptography Extension ist der Keystore-Provider für den Keystore-Typ. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten.
com.ibm.ssl.keyStoreFileBased false true Diese Eigenschaft gibt für die Laufzeit an, dass der Keystore dateibasiert ist (sich im Dateisystem befindet).
com.ibm.ssl.keyStoreReadOnly true false Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. Beispielsweise können Sie schreibgeschützte Keystores nicht über die Administrationskonsole oder mit Scripts ändern. SAF-Schlüsselringe, die von WebSphere Application Server for z/OS verwendet werden, sind immer schreibgeschützt.

Truststore-Konfigurationen:

SSL-Konfigurationen verweisen auf Truststore-Konfigurationen, die die Unterzeichnerzertifikate für Server enthalten, denen dieser Client vertraut. Sie können diese Eigenschaften mit anderen SSL-Konfigurationseigenschaften angeben. Sie sollten Truststore-Konfigurationen jedoch in diesem Abschnitt der Datei ssl.client.props angeben. Der Beginn einer neuen Truststore-Konfiguration wird durch die Eigenschaft "com.ibm.ssl.trustStoreName" angezeigt. Nachdem Sie die Truststore-Konfiguration vollständig definiert haben, kann die Eigenschaft "com.ibm.ssl.trustStoreName" an jeder beliebigen Stelle der Datei auf diese Konfiguration verweisen.

Ein Truststore ist ein Keystore, den JSSE für die Überprüfung der Vertrauensstellung verwendet. Ein Truststore enthält die Unterzeichner, die WebSphere Application Server benötigt, um beim Handshake der fernen Verbindung vertrauen zu können. Falls Sie die Eigenschaft "com.ibm.ssl.trustStoreName=ClientDefaultKeyStore" konfigurieren, können Sie den Keystore als Truststore referenzieren. Weitere Konfigurationsschritte sind für den Truststore nicht erforderlich, denn alle durch den Austausch von Unterzeichnern generierten Unterzeichner werden in den Keystore importiert und von dort aus von der Laufzeit aufgerufen.

[z/OS]In der folgenden Tabelle entsprechen die Werte in der Spalte "Standardwerte für ein z/OS-Sicherheitsprodukt" den Standardwerten, die verwendet werden, wenn die Option z/OS-Sicherheitsprodukt verwenden in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool ausgewählt ist. Diese Option ist die erste Option in der Anzeige "Auswahl der Verwaltungssicherheit". Die Werte in der Spalte "Standardwerte für die Sicherheitseinrichtung von WebSphere Application Server" entsprechen den Standardwerten, die verwendet werden, wenn die Option WebSphere Application Server verwenden in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool ausgewählt ist. Diese Option ist die zweite Option in der Anzeige "Auswahl der Verwaltungssicherheit".

[AIX Solaris HP-UX Linux Windows][IBM i]
Tabelle 6. Konfigurationseigenschaften für Truststores. In dieser Tabelle sind die Truststore-Konfigurationseigenschaften aufgelistet.
Eigenschaft Standardeinstellung Beschreibung
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Diese Eigenschaft gibt den Namen des Truststore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden.
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 Diese Eigenschaft gibt die Position des Truststore in dem für die Eigenschaft "com.ibm.ssl.trustStoreType" erforderlichen Format an. Die Eigenschaft "com.ibm.ssl.trustStoreType" gibt den Truststore-Typ an. In der Regel verweist diese Eigenschaft auf den Namen einer Truststore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei.
Fehler vermeiden Fehler vermeiden: Wenn Sie eine Verschlüsselungskarte des Typs 4764 verwenden, muss der Keystore-Dateiname für die Clientkonfiguration als 4764.cfg in einer Verzeichnisstruktur Ihrer Wahl angegeben werden, und die entsprechende Eigenschaft "com.ibm.ssl.keyStoreType" muss auf PKCS11 gesetzt werden. Die Datei "4764.cfg" wird nicht mit WebSphere Application Serverbereitgestellt.gotcha
com.ibm.ssl.trustStorePassword WebAS Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss den Verweis in dieser Eigenschaft. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wurde, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Truststore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Truststore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Truststore auf DefaultTrustStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Sie sollten den Keystore und den Truststore zur selben Zeit löschen, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden.
com.ibm.ssl.trustStoreType PKCS12 Diese Eigenschaft gibt den Truststore-Typ an. Verwenden Sie den Standardtyp PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft einen gültigen, von der JVM-Funktionalität in der Providerliste unterstützten Truststore-Typ angeben.
com.ibm.ssl.trustStoreProvider IBMJCE Diese Eigenschaft gibt den Truststore-Provider für den Truststore-Typ an. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten.
com.ibm.ssl.trustStoreFileBased true Diese Eigenschaft gibt für die Laufzeit an, dass der Truststore dateibasiert ist (sich im Dateisystem befindet).
com.ibm.ssl.trustStoreReadOnly false Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann.
[z/OS]
Tabelle 7. Konfigurationseigenschaften für Truststores. In dieser Tabelle sind die Truststore-Konfigurationseigenschaften aufgelistet.
Eigenschaft Standardwerte für ein z/OS-Sicherheitsprodukt Standardwerte für die Sicherheit für WebSphere Application Server Beschreibung
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore Diese Eigenschaft gibt den Namen des Truststore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden.
com.ibm.ssl.trustStore

safreyring:///Ihr_Schlüsselring

Dieser Wert wird in der Anzeige "SSL-Anpassung" von z/OS Profile Management Tool definiert.

${user.root}/etc/trust.p12 Diese Eigenschaft gibt die Position des Truststore in dem für die Eigenschaft "com.ibm.ssl.trustStoreType" erforderlichen Format an. Die Eigenschaft "com.ibm.ssl.trustStoreType" gibt den Truststore-Typ an. In der Regel verweist diese Eigenschaft auf den Namen einer Truststore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei.
com.ibm.ssl.trustStorePassword password WebAS Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss den Verweis in dieser Eigenschaft. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wurde, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Truststore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Truststore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Truststore auf DefaultTrustStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Sie sollten den Keystore und den Truststore zur selben Zeit löschen, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden.
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 Diese Eigenschaft gibt den Truststore-Typ an. Verwenden Sie den Standardtyp PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft einen gültigen, von der JVM-Funktionalität in der Providerliste unterstützten Truststore-Typ angeben. Der Typ kann für Verschlüsselungseinheiten JCERACFKS oder JCECCAKS sein.
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE Diese Eigenschaft gibt den Truststore-Provider für den Truststore-Typ an. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten.
com.ibm.ssl.trustStoreFileBased false true Diese Eigenschaft gibt für die Laufzeit an, dass der Truststore dateibasiert ist (sich im Dateisystem befindet).
com.ibm.ssl.trustStoreReadOnly true false Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. Beispielsweise können Sie schreibgeschützte Truststores nicht über die Administrationskonsole oder mit Scripts ändern. SAF-Schlüsselringe, die von WebSphere Application Server for z/OS verwendet werden, sind immer schreibgeschützt.

Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
Dateiname:rsec_sslclientpropsfile.html