SSL-Konfigurationen zentral mit Eingangs- und Ausgangsebenen zuordnen

Nachdem Sie eine SSL-Konfiguration erstellt haben, müssen Sie der neuen Konfiguration eine sichere Eingangs- oder Ausgangsverwaltungsebene zuordnen. Sie können die Zuordnung zentral verwalten, so dass Änderungen, die alle untergeordneten Ebenen in der Topologie, die der Konfiguration zugeordnet sind, betreffen, einfach vorgenommen werden können. Ab WebSphere Application Server Version 6.1 sind zentral verwaltete SSL-Konfigurationen die empfohlene und Standardkonfigurationsmethode.

Vorbereitende Schritte

Sie können die Anzahl der Zuordnungen, die Sie für eine SSL-Konfiguration vornehmen müssen, reduzieren, indem Sie die Konfiguration mit der höchsten Verwaltungsebene zuordnen, die eine eindeutige Konfiguration erfordert. SSL-Konfigurationszuordnungen manifestieren ein Vererbungsverhalten. Aufgrund des Vererbungsverhaltens erben alle untergeordneten Ebenen in der Topologie diese SSL-Konfiguration. Eine Zuordnung, die Sie auf Zellenebene vornehmen, betrifft beispielsweise Knoten, Server, Cluster und Endpunkte. Weitere Informationen finden Sie im Artikel Zentrale Verwaltung von SSL-Konfigurationen.

Eine Vorrangstellungsregel bestimmt, welche SSL-Konfiguration auf einer bestimmten Ebene verwendet wird. Die höchste Priorität erhalten die Endpunkte in der Topologie. Wenn Sie eine Zuordnung am Endpunkt treffen, überschreibt diese Zuordnung alle vorherigen Zuordnungen, die Sie auf einer höheren Ebene der Verwaltungstopologie vorgenommen haben.

Informationen zu diesem Vorgang

Führen Sie in der Administrationskonsole die folgenden Schritte aus:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  2. Wählen Sie das Kontrollkästchen Laufzeitumgebung bei Änderungen in der SSL-Konfiguration dynamisch aktualisieren aus, wenn Änderungen, die Sie an einer vorhandenen SSL-Konfiguration vornehmen, dynamisch vorgenommen werden sollen. Die dynamischen SSL-Änderungen werden von allen abgehenden SSL-Übertragungen berücksichtigt. Protokolle, die für eingehende Übertragungen nicht den SSL-Kanal des Channel Framework verwenden, z. B. der Object Request Broker (ORB) und die SOAP-Verwaltungsprotokolle, berücksichtigen dynamische Aktualisierungen nicht. Weitere Informationen finden Sie im Artikel Dynamische Konfigurationsaktualisieren in SSL.
  3. Klicken Sie auf Sicherheitskonfigurationen für Endpunkte verwalten.
  4. Wählen Sie die eingehende oder abgehende Struktur aus. Nach der Auswahl der Struktur können Sie zu diesem Schritt zurückkehren, um die folgenden Schritte für die andere Struktur zu wiederholen.
  5. Klicken Sie in der Topologiestruktur auf den Link für die Zelle, den Knoten, die Knotengruppe, den Server, den Cluster oder Endpunkt, die bzw. den Sie ausgewählt haben. Wenn der Ebene bereits eine SSL-Konfiguration und ein Alias zugeordnet sind, werden diese Objekte in runden Klammern direkt hinter dem Namen der Ebene angezeigt, z. B. Node01(NodeDefaultSSLSettings,default). Wenn der Deployment Manager einen eingebundenen Knoten besitzt, überschreibt die SSL-Konfiguration auf Knotenebene die Konfiguration auf Zellenebene in der Topologie.
  6. Legen Sie fest, ob die übernommenen Werte, die in den schreibgeschützten Feldern angezeigt werden, überschrieben werden sollen. Zu den schreibgeschützten Feldern gehören der Name der Verwaltungsebene, die Richtung sowie Name und Zertifikatalias der übernommenen SSL-Konfiguration.
    • Wenn Sie mit den Werten zufrieden sind, überschreiben Sie sie nicht.
    • Wenn Sie die übernommenen Werte überschreiben möchten, wählen Sie das Kontrollkästchen Übernommene Werte überschreiben aus.
  7. Wählen Sie in der Liste eine SSL-Konfiguration aus.
  8. Klicken Sie auf Zertifikataliasliste aktualisieren. Die Zertifikataliasliste stammt aus dem Keystore, auf den die neue SSL-Konfiguration verweist.
  9. Klicken Sie auf Zertifikate verwalten, wenn Sie die persönlichen Zertifikate verwalten möchten, die in dem von der SSL-Konfiguration referenzierten Keystore enthalten sind.
  10. Klicken Sie auf Zertifikataliasliste aktualisieren, um die Liste mit den Aliasnamen zu aktualisieren.
  11. Wählen Sie einen Zertifikatalias im Keystore aus, der die Identität des Endpunkts darstellen soll.
  12. Klicken Sie auf OK, um die Änderungen zu speichern.
  13. Klicken Sie auf Sicherheitskonfigurationen für Endpunkte verwalten, um zur Topologiestruktur zurückzukehren.
  14. Konfigurieren Sie unter Verwendung der in dieser Task beschriebenen Schritte die entgegengesetzte Richtung. Sie können bei Bedarf auch weitere Ebenen auswählen, die Sie der SSL-Konfiguration zuordnen möchten.

Ergebnisse

Jede SSL-Konfiguration auf der ausgewählten Ebene und untergeordneten Ebenen in der Topologiestruktur haben dieselben SSL-Konfigurationseigenschaften. Die folgenden SSL-Konfigurationsmethoden überschreiben die zentral verwalteten Konfigurationen, die Sie in der Baumstrukturansicht zuordnen:
  • Direkte Auswahl am Endpunkt
  • SSL-Konfigurationen für dynamische abgehende Endpunkte
  • Programmgesteuerte Spezifikationen

Nächste Schritte

Auf jeder Verwaltungsebene können die folgenden Objekte konfiguriert werden: SSL-Konfigurationen für dynamische abgehende Endpunkte, Keystores, Schlüsselsätze, Schlüsselsatzgruppen, Key Manager und Trust Manager. Wie SSL-Konfigurationen werden diese Objekte automatisch zugeordnet, so dass sie weder weiter oben in der Struktur sichtbar sind noch zur Laufzeit von Prozessen weiter oben in der Struktur geladen werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslassocconfigscope
Dateiname:tsec_sslassocconfigscope.html