Nachdem Sie eine SSL-Konfiguration erstellt haben, müssen Sie der neuen Konfiguration eine sichere
Eingangs- oder Ausgangsverwaltungsebene zuordnen.
Sie können die Zuordnung zentral verwalten, so dass Änderungen, die
alle untergeordneten Ebenen in der Topologie, die der Konfiguration zugeordnet sind, betreffen,
einfach vorgenommen werden können.
Ab WebSphere Application Server Version 6.1
sind zentral verwaltete SSL-Konfigurationen die empfohlene und Standardkonfigurationsmethode.
Vorbereitende Schritte
Sie können die Anzahl der Zuordnungen, die Sie für
eine SSL-Konfiguration vornehmen müssen, reduzieren, indem Sie die Konfiguration mit der höchsten Verwaltungsebene
zuordnen, die eine eindeutige Konfiguration erfordert.
SSL-Konfigurationszuordnungen manifestieren ein Vererbungsverhalten.
Aufgrund des Vererbungsverhaltens erben alle untergeordneten Ebenen
in der Topologie diese SSL-Konfiguration.
Eine Zuordnung, die Sie auf Zellenebene vornehmen, betrifft beispielsweise
Knoten, Server, Cluster und Endpunkte.
Weitere Informationen finden Sie im Artikel
Zentrale Verwaltung von SSL-Konfigurationen.
Eine Vorrangstellungsregel bestimmt, welche SSL-Konfiguration
auf einer bestimmten Ebene verwendet wird. Die höchste Priorität erhalten die Endpunkte in der Topologie.
Wenn Sie eine Zuordnung am Endpunkt treffen, überschreibt diese Zuordnung alle vorherigen Zuordnungen, die
Sie auf einer höheren Ebene der Verwaltungstopologie vorgenommen haben.
Informationen zu diesem Vorgang
Führen Sie in der Administrationskonsole die folgenden Schritte aus:
Vorgehensweise
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Wählen Sie das Kontrollkästchen Laufzeitumgebung bei Änderungen in der SSL-Konfiguration dynamisch aktualisieren aus, wenn
Änderungen, die Sie an einer vorhandenen SSL-Konfiguration vornehmen, dynamisch vorgenommen werden sollen.
Die dynamischen SSL-Änderungen werden von allen abgehenden SSL-Übertragungen berücksichtigt.
Protokolle, die für eingehende Übertragungen nicht den SSL-Kanal des Channel Framework verwenden, z. B.
der Object Request Broker (ORB) und die SOAP-Verwaltungsprotokolle, berücksichtigen dynamische Aktualisierungen nicht. Weitere Informationen finden Sie im Artikel
Dynamische Konfigurationsaktualisieren in SSL.
- Klicken Sie auf Sicherheitskonfigurationen für Endpunkte verwalten.
- Wählen Sie die eingehende oder abgehende Struktur aus. Nach der Auswahl der Struktur
können Sie zu diesem Schritt zurückkehren, um die folgenden Schritte für die andere Struktur zu wiederholen.
- Klicken Sie in der Topologiestruktur auf den Link für die Zelle, den Knoten, die Knotengruppe, den Server, den Cluster
oder Endpunkt, die bzw. den Sie ausgewählt haben. Wenn der Ebene
bereits eine SSL-Konfiguration und ein Alias zugeordnet sind, werden diese Objekte
in runden Klammern direkt hinter dem Namen der Ebene
angezeigt, z. B. Node01(NodeDefaultSSLSettings,default).
Wenn der Deployment Manager einen eingebundenen Knoten besitzt, überschreibt die SSL-Konfiguration auf Knotenebene
die Konfiguration auf Zellenebene in der Topologie.
- Legen Sie fest, ob die übernommenen Werte, die in den schreibgeschützten Feldern angezeigt werden,
überschrieben werden sollen. Zu den schreibgeschützten Feldern gehören der Name der Verwaltungsebene, die Richtung sowie Name
und Zertifikatalias der übernommenen SSL-Konfiguration.
- Wenn Sie mit den Werten zufrieden sind, überschreiben Sie sie nicht.
- Wenn Sie die übernommenen Werte überschreiben möchten, wählen Sie das Kontrollkästchen
Übernommene Werte überschreiben aus.
- Wählen Sie in der Liste eine SSL-Konfiguration aus.
- Klicken Sie auf Zertifikataliasliste aktualisieren. Die Zertifikataliasliste
stammt aus dem Keystore, auf den die neue SSL-Konfiguration verweist.
- Klicken Sie auf Zertifikate verwalten, wenn Sie die persönlichen Zertifikate verwalten möchten, die
in dem von der SSL-Konfiguration referenzierten Keystore enthalten sind.
- Klicken Sie auf Zertifikataliasliste aktualisieren, um die Liste mit den Aliasnamen zu aktualisieren.
- Wählen Sie einen Zertifikatalias im Keystore aus, der die Identität
des Endpunkts darstellen soll.
- Klicken Sie auf OK, um die Änderungen zu speichern.
- Klicken Sie auf Sicherheitskonfigurationen für Endpunkte verwalten, um zur
Topologiestruktur zurückzukehren.
- Konfigurieren Sie unter Verwendung der in dieser Task beschriebenen Schritte die entgegengesetzte Richtung. Sie können bei Bedarf auch weitere Ebenen auswählen, die Sie der
SSL-Konfiguration zuordnen möchten.
Ergebnisse
Jede SSL-Konfiguration auf der ausgewählten Ebene und untergeordneten Ebenen in der Topologiestruktur
haben dieselben SSL-Konfigurationseigenschaften. Die folgenden SSL-Konfigurationsmethoden überschreiben die zentral verwalteten
Konfigurationen, die Sie in der Baumstrukturansicht zuordnen:
- Direkte Auswahl am Endpunkt
- SSL-Konfigurationen für dynamische abgehende Endpunkte
- Programmgesteuerte Spezifikationen
Nächste Schritte
Auf jeder Verwaltungsebene können die folgenden Objekte konfiguriert werden:
SSL-Konfigurationen für dynamische abgehende Endpunkte, Keystores, Schlüsselsätze, Schlüsselsatzgruppen,
Key Manager und Trust Manager. Wie SSL-Konfigurationen werden diese Objekte automatisch zugeordnet, so dass sie weder
weiter oben in der Struktur sichtbar sind noch zur Laufzeit von Prozessen weiter oben in der Struktur geladen werden.