Clientkonfigurationsdatei ssl.client.props
Mit der Datei ssl.client.props können Sie SSL (Secure Sockets Layer) für Clients konfigurieren. In früheren Releases von WebSphere Application Server wurden SSL-Eigenschaften in der Datei sas.client.props bzw. soap.client.props oder als Systemeigenschaften angegeben. Durch die Konsolidierung der Konfigurationen ist die Verwaltung der Sicherheit in WebSphere Application Server mit der serverseitigen Konfigurationsverwaltung vergleichbar. Die Datei ssl.client.props können Sie mit mehreren SSL-Konfigurationen konfigurieren.
SSL-Konfiguration für Clients definieren
Clientlaufzeiten hängen von den Konfigurationen von WebSphere Application Server in ssl.client.props ab.
Führen Sie über die Befehlszeile das Script setupCmdLine.bat aus, um
die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben.
Führen Sie über die Befehlszeile das Script setupCmdLine.sh aus, um
die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben.
Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei
ssl.client.props zeigt. Sie können die Variable CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei
setupCmdLine.bat verwendet.
Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei
ssl.client.props zeigt. Sie können die Variable CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei
setupCmdLine.sh verwendet.
Führen Sie über die Befehlszeile das Script setupCmdLine aus, um
die Systemeigenschaft "com.ibm.SSL.ConfigURL" anzugeben. Das Script "setupclient" setzt auch die Variable CLIENTSSL. Die Eigenschaft "com.ibm.SSL.ConfigURL" referenziert einen Datei-URL, der auf die Datei
ssl.client.props zeigt.
Sie können die Variable
CLIENTSSL in der Befehlszeile jedes Scripts angeben, das die Datei
setupCmdLine verwendet.
com.ibm.ssl.alias=DefaultSSLSettings
com.ibm.ssl.alias=DefaultSSLSettings
Wenn Sie die Datei
soap.client.props nicht modifizieren möchten, können Sie die administrative SSL-Konfiguration in der Datei ssl.client.props ändern. ![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
-Djava.security.properties=profile_root/properties/java.security
Eigenschaften in der Datei "ssl.client.props"
Nachfolgend sind die Standardeigenschaften in der Datei ssl.client.props detailliert und nach Abschnitten innerhalb der Datei beschrieben. Wenn Sie die Systemeigenschaften "javax.net.ssl" angeben, überschreiben diese die Einstellungen in der Datei ssl.client.props.Globale Eigenschaften:
Globale
SSL-Eigenschaften sind prozessspezifische Eigenschaften, die die FIPS-Unterstützung, den Standard-SSL-Alias, die
Eigenschaft "user.root"
für die Stammposition der Keystore- und Truststore-Pfade usw. angeben.
Globale
SSL-Eigenschaften sind prozessspezifische Eigenschaften, die die FIPS-Unterstützung, den Standard-SSL-Alias, das
Profilstammverzeichnis
für die Stammposition der Keystore- und Truststore-Pfade usw. angeben.
Eigenschaft | Standardeinstellung | Beschreibung |
---|---|---|
com.ibm.ssl.defaultAlias | DefaultSSLSettings | Gibt den Standardalias an, der verwendet wird, wenn das Protokoll, das die JSSEHelper-API zum Abrufen einer SSL-Konfiguration aufruft, keinen Aliasnamen angibt. Diese Eigenschaft ist der endgültige Arbiter, wenn um die Entscheidung geht, welche SSL-Konfiguration verwendet werden soll. |
com.ibm.ssl.validationEnabled | false | Wenn diese Eigenschaft auf true gesetzt ist, wird jede SSL-Konfiguration beim Laden validiert. Verwenden Sie diese Eigenschaft für Debugzwecke, um in der Produktion unnötige Leistungseinbußen zu vermeiden. |
com.ibm.ssl.performURLHostNameVerification | false | Wenn diese Eigenschaft auf true gesetzt ist, wird die Prüfung des
URL-Hostnamens durchgesetzt. Werden HTTP-URL-Verbindungen zu Zielservern hergestellt,
muss der allgemeine Name (CN, Common Name) des Serverzertifikats mit dem Namen des Zielhosts übereinstimmen. Andernfalls wird die Verbindung von der Prüffunktion für Hostnamen zurückgewiesen. Bei
Auswahl des es false wird diese Überprüfung nicht durchgeführt. Diese Eigenschaft
definiert als globale Eigenschaft die Standardprüffunktion für Hostnamen. Jedes javax.net.ssl.HttpsURLConnection-Objekt
kann die Prüfung von Hostnamen für diese bestimmte Instanz aktivieren, indem es die Methode
setHostnameVerifier mit der eigenen HostnameVerifier-Instanz aufruft. ![]() |
com.ibm.security.useFIPS | false | Wenn diese Eigenschaft auf true gesetzt ist, werden für SSL-Anwendungen und andere JCE-spezifische Anwendungen (Java™ Cryptography Extension) FIPS-konforme Algorithmen verwendet. Normalerweise wird diese Eigenschaft nur aktiviert, wenn es für die Betriebsumgebung erforderlich ist. |
com.ibm.websphere.security.FIPSLevel | false | Gibt die Stufe des zu verwendenden Sicherheitsstandards an. Gültige Werte sind: 140-2, SP800-131, transition. Die Eigenschaft "com.ibm.security.useFIPS" muss auf true gesetzt sein, damit Suite B aktiviert wird. Die Eigenschaft muss in der Datei ssl.client.props im Abschnitt für die globalen Eigenschaften eingegeben werden, vorzugsweise nach "com.ibm.security.useFIPS". |
com.ibm.websphere.security.suiteB | false | Gibt die Stufe des zu verwendenden Sicherheitsstandards von Suite B an. Gültige Werte sind "128" und "192". Damit Sie die Eigenschaft "com.ibm.security.useFIPS" aktivieren können, muss sie auf true gesetzt sein. Die Eigenschaft muss in der Datei ssl.client.props im Abschnitt für die globalen Eigenschaften eingegeben werden, vorzugsweise nach "com.ibm.security.useFIPS". |
![]() |
![]() |
![]() |
Eigenschaften für die Zertifikatserstellung:
Mit den Eigenschaften für Zertifikaterstellung können Sie die Werte des selbst signierten Standardzertifikats für die wichtigsten Attribute eines Zertifikats angeben. Sie können die im Keystore gespeicherten Werte für den definierten Namen (DN), das Verfallsdatum, die Schlüsselgröße und den Aliasnamen angeben.Eigenschaft | Standardeinstellung | Beschreibung |
---|---|---|
com.ibm.ssl.defaultCertReqAlias | Standardaliasname | Diese Eigenschaft gibt den Standardalias an, mit dem das im Keystore erstellte selbst signierte Zertifikat referenziert wird. Falls es bereits einen solchen Aliasnamen gibt, werden an den Standardalias die Zeichen _# angehängt. Das Nummernzeichen (#) steht hier für eine ganze Zahl. Als erste Zahl wird 1 verwendet. Diese Zahl wird so lange erhöht, bis der Aliasname eindeutig ist. |
com.ibm.ssl.defaultCertReqSubjectDN | cn=${hostname}, o=IBM,c=US | Diese Eigenschaft verwendet die Eigenschaft für den DN, den Sie beim Erstellen des Zertifikats definiert haben. Die Variable ${hostname} wird in den Namen des Hosts aufgelöst, auf dem sich das Zertifikat befindet. Sie können wohlgeformte definierte Namen verwenden, wie sie vom X.509-Zertifikat angegeben werden. |
com.ibm.ssl.defaultCertReqDays | 365 | Diese Eigenschaft gibt den Gültigkeitszeitraum des Zertifikats an. Dieser Zeitraum kann bei nur einem Tag liegen, aber auch auf die maximale Anzahl von Tagen für ein Zertifikat gesetzt werden, die bei annähernd 15 Jahren liegt. |
com.ibm.ssl.defaultCertReqKeySize | 1024 | Diese Eigenschaft gibt die Standardschlüsselgröße an. Die gültigen Werte richten sich nach den installierten Sicherheitsrichtliniendateien der Java Virtual Machine (JVM). Standardmäßig begrenzt die Richtliniendatei der zum Produkt gelieferten JVMs die Schlüsselgröße auf 1024. Falls Sie größere Schlüssel verwenden möchten (z. B. mit einer Größe von 2048), müssen Sie die Richtliniendateien von der Website herunterladen. |
Überprüfung des Zertifikatswiderrufs:
Um die Zertifikatswiderrufsprüfung zu aktivieren, können Sie eine Kombination von OCSP-Eigenschaften (Online Certificate Status Protocol) definieren. Diese Eigenschaften werden nur verwendet, wenn Sie die Eigenschaft "com.ibm.ssl.trustManager" auf IbmPKIX setzen. Damit die Widerrufsprüfung im Client ordnungsgemäß verarbeitet werden kann, müssen Sie die Eingabeaufforderung für den Austausch der Sicherheitssignatur inaktivieren. Dazu müssen Sie die Eigenschaft "com.ibm.ssl.enableSignerExchangePrompt" in false ändern. Weitere Informationen finden Sie im Artikel zur Aktivierung der Zertifikatswiderrufsprüfung mit dem Standard-Trust-Manager IbmPKIX.SSL-Konfigurationseigenschaften:
Im Abschnitt mit den SSL-Konfigurationseigenschaften können Sie mehrere SSL-Konfigurationen definieren. Für eine neue SSL-Konfiguration müssen Sie die Eigenschaft "com.ibm.ssl.alias" setzen, weil der Parser eine neue Konfiguration mit diesem Aliasnamen startet. Die SSL-Konfiguration wird mit der Aliaseigenschaft aus einer anderen Datei wie sas.client.props oder soap.client.props referenziert. Mit den in der folgenden Tabelle angegebenen Eigenschaften können Sie neben anderen SSL-Objekten einen javax.net.ssl.SSLContext erstellen.Eigenschaft | Standardeinstellung | Beschreibung |
---|---|---|
com.ibm.ssl.alias | DefaultSSLSettings | Diese Eigenschaft gibt den Namen dieser SSL-Konfiguration an. Sie muss die erste Eigenschaft einer SSL-Konfiguration sein, da mit dieser Eigenschaft auf die Konfiguration verwiesen wird. Wenn Sie diese Eigenschaft ändern, nachdem an anderer Stelle der Konfiguration auf diese Eigenschaft verwiesen wird, verwendet die Laufzeit bei jeder nicht gefundenen Referenz standardmäßig die Eigenschaft "com.ibm.ssl.defaultAlias". Wird eine Anwendung gestartet, die eine nicht mehr gültige SSL-Referenz verwendet, kann die Fehlernachricht trust file is null oder key file is null angezeigt werden. |
com.ibm.ssl.protocol | SSL_TLS | Diese Eigenschaft gibt das für diese SSL-Konfiguration verwendete SSL-Handshake-Protokoll an. Bei dieser Einstellung wird zuerst TLS (Transport Layer Security) versucht. Es werden aber auch alle anderen fernen Handshakeprotokolle, einschließlich SSLv3 und TLSv1, akzeptiert. Gültige Werte für diese Eigenschaft sind unter anderem SSL_TLS, SSL, SSLv2 (nur Clientseite), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 und TLSv1.2. |
com.ibm.ssl.securityLevel | STRONG | Diese Eigenschaft gibt die für den SSL-Handshake verwendete Chiffrierwertgruppe an. Die normale Einstellung ist
STRONG und gibt die 128-Bit-Verschlüsselung als
Mindestverschlüsselung an. Bei Auswahl von MEDIUM wird die 40-Bit-Verschlüsselung verwendet. Wenn Sie
WEAK auswählen, kommen Chiffrierwerte zum Einsatz, die keine Verschlüsselung vornehmen, die Datenintegrität jedoch durch Signieren sicherstellen. Falls Sie eine eigene Liste mit Chiffrierwerten auswählen, setzen Sie
die Eigenschaft "com.ibm.ssl.enabledCipherSuites" auf Kommentar. Anmerkung: Die Verwendung der Systemeigenschaften
"javax.net.ssl" bewirkt, dass immer der Wert HIGH verwendet wird.
|
com.ibm.ssl.trustManager | IbmX509 | Diese Eigenschaft gibt den Standard-Trust-Manager an, den Sie für die Validierung des vom Zielserver gesendeten Zertifikats verwenden müssen. Dieser Trust Manager überprüft nicht die Liste der entzogenen Zertifikate (CRL-Prüfung). Sie können diese Eigenschaft auf "IbmPKIX" setzen, wenn eine CRL-Prüfung anhand von CRL-Verteilerlisten im Zertifikat durchgeführt werden soll. Dies ist die Standardmethode für die CRL-Prüfung. Wenn Sie eine eigene CRL-Prüfung durchführen möchten, müssen Sie einen eigenen Trust-Manager implementieren und diesen in der Eigenschaft "com.ibm.ssl.customTrustManagers" angeben. Die Option IbmPKIX kann sich auf die Leistung auswirken, weil sie für die Validierung des Vertrauensverhältnisses IBMCertPath erfordert. Verwenden Sie IbmX509, sofern keine CRL-Überprüfung erforderlich ist. Wenn Sie die OCSP-Eigenschaften verwenden, müssen Sie diesen Eigenschaftswert auf IbmPKIX setzen. |
com.ibm.ssl.keyManager | IbmX509 | Diese Eigenschaft gibt den Standard-Key-Manager für die Auswahl des Clientalias aus dem genannten Keystore an. Dieser Key-Manager wählt den Clientalias aus dem Keystore mit der Eigenschaft "com.ibm.ssl.keyStoreClientAlias" aus. Ist diese Eigenschaft nicht angegeben, wird die Auswahl an JSSE (Java Secure Socket Extension) delegiert. JSSE wählt in der Regel den ersten gefundenen Aliasnamen aus. |
com.ibm.ssl.contextProvider | IBMJSSE2 | Mit diese Eigenschaft wird der JSSE-Provider für die SSL-Kontexterstellung ausgewählt. Wenn Sie eine Java Virtual Machine (JVM) verwenden, sollten den Standardwert IBMJSSE2 übernehmen. Das Client-Plug-in kann den Provider SunJSSE verwenden, wenn eine Sun JVM genutzt wird. |
com.ibm.ssl.enableSignerExchangePrompt | true | Diese Eigenschaft bestimmt, ob eine Aufforderung zum Austausch der Unterzeichner angezeigt wird, wenn im Client-Truststore kein Unterzeichner enthalten ist. Zusammen mit der Aufforderung werden Informationen zum fernen Zertifikat angezeigt, damit WebSphere Application Server entscheiden kann, ob der Unterzeichner vertrauenswürdig ist. Es ist sehr wichtig, dass die Signatur des Zertifikats geprüft wird, denn sie ist die einzige zuverlässige Information, die garantieren kann, dass das Zertifikat nicht vom ursprünglichen Serverzertifikat abweicht. In automatisierten Szenarien sollten Sie diese Eigenschaft inaktivieren, um Ausnahmen beim SSL-Handshake zu vermeiden. eFühren Sie das Script retrieveSigners aus, das den SSL-Austausch der Sicherheitssignatur konfiguriert, um vor Ausführung des Clients die Unterzeichner vom Server herunterzuladen. Wenn Sie die OCSP-Eigenschaften verwenden, müssen Sie diesen Eigenschaftswert auf false setzen. |
com.ibm.ssl.keyStoreClientAlias | default | Mit dieser Eigenschaft wird auf einen Aliasnamen im angegebenen Keystore verwiesen, wenn das Ziel keine Clientauthentifizierung anfordert. Wenn WebSphere Application Server ein selbst signiertes Zertifikat für die SSL-Konfiguration erstellt, bestimmt diese Eigenschaft den Aliasnamen und überschreibt die globale Eigenschaft "com.ibm.ssl.defaultCertReqAlias". |
com.ibm.ssl.customTrustManagers | Standardmäßig auf Kommentar gesetzt | Mit diese Eigenschaft können Sie eigene Trust-Manager, getrennt durch Kommata, angeben. Diese Trust Manager können im Format Algorithmus|Provider oder Klassenname angegeben werden. IbmX509|IBMJSSE2 hat beispielsweise das Format Algorithmus|Provider und die Schnittstelle com.acme.myCustomTrustManager das Format Klassenname. Die Klasse muss die Schnittstelle "javax.net.ssl.X509TrustManager" implementieren. Sie kann optional auch die Schnittstelle "com.ibm.wsspi.ssl.TrustManagerExtendedInfo" implementieren. Diese Trust Manager werden zusätzlich zum Standard-Trust-Manager ausgeführt, der von der Eigenschaft "com.ibm.ssl.trustManager" angegeben wird, und sind kein Ersatz für den Standard-Trust-Manager. |
com.ibm.ssl.customKeyManager | Standardmäßig auf Kommentar gesetzt | Mit dieser Eigenschaft können Sie einen (und nur einen) eigenen Key Manager angeben. Der Key Manager ersetzt den Standard-Key-Manager, der von der Eigenschaft "com.ibm.ssl.keyManager" angegeben wird. Der Key Manager wird im Format Algorithmus|Provider oder Klassenname angegeben. Formatbeispiele finden Sie in der Beschreibung zur Eigenschaft "com.ibm.ssl.customTrustManagers". Die Klasse muss die Schnittstelle "javax.net.ssl.X509KeyManager" implementieren. Sie kann optional auch die Schnittstelle "com.ibm.wsspi.ssl.KeyManagerExtendedInfo" implementieren. Der Key Manager ist für die Auswahl des Aliasnamens verantwortlich. |
com.ibm.ssl.dynamicSelectionInfo | Standardmäßig auf Kommentar gesetzt | Diese Eigenschaft aktiviert eine dynamische Assoziation zur SSL-Konfiguration. Die Syntax
einer dynamischen Assoziation sieht wie folgt aus: abgehendes_Protokoll, Zielhost oder
Zielport. Verwenden Sie für mehrere Angaben den vertikalen Balken
(|) als Begrenzer. Für jeden dieser Werte können Sie einen Stern
(*) als Platzhalter angeben. Gültige Werte für abgehendes_Protokoll sind unter anderem
IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS und
ADMIN_SOAP. Wenn die SSL-Konfiguration mittels der dynamischen Auswahlkriterien ausgewählt werden soll, entfernen Sie das Kommentarzeichen für die
Standardeigenschaft, und fügen Sie die Verbindungsinformationen
hinzu. Fügen Sie beispielsweise Folgendes in einer Zeile hinzu:
|
com.ibm.ssl.enabledCipherSuites | Standardmäßig auf Kommentar gesetzt | Mit diese Eigenschaft können Sie eine eigene Cipher-Suite-Liste angeben und die Gruppenauswahl in der Eigenschaft "com.ibm.ssl.securityLevel" außer Kraft setzen. Welche Liste von Chiffrierwerten gültig ist, richtet sich nach dem jeweiligen Provider und den jeweiligen JVM-Richtliniendateien. Verwenden Sie für Cipher Suite ein Leerzeichen als Begrenzer. |
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Diese Eigenschaft verweist auf den Namen einer Keystore-Konfiguration. Falls Sie noch keinen Keystore definiert haben, müssen alle weiteren Keystore-Eigenschaften auf diese Eigenschaft folgen. Nach dem Definieren des Keystore können Sie diese Eigenschaft angeben, um die zuvor angegebene Keystore-Konfiguration zu referenzieren. Neue Keystore-Konfigurationen in der Datei ssl.client.props haben einen eindeutigen Namen. |
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Diese Eigenschaft verweist auf den Namen einer Truststore-Konfiguration. Falls Sie noch keinen Truststore definiert haben, müssen alle weiteren Truststore-Eigenschaften auf diese Eigenschaft folgen. Nach dem Definieren des Truststore können Sie diese Eigenschaft angeben, um die zuvor angegebene Truststore-Konfiguration zu referenzieren. Neue Truststore-Konfigurationen in der Datei ssl.client.props sollten einen eindeutigen Namen haben. |
![[z/OS]](../images/ngzos.gif)
- Wenn Sie die erste Option, z/OS-Sicherheitsprodukt verwenden, auswählen, verweisen die Standardwerte für die Keystore- und Truststore-Konfigurationseigenschaften auf einen Keystore mit einem JCERACFKS-Typ. Dieser Typ verwendet Schlüssel und Zertifikate, die von einem z/OS-Sicherheitsprodukt wie z. B. RACF gespeichert und verwaltet werden. Weitere Informationen finden Sie im Abschnitt "z/OS-Keystores" des Artikels "Keystore-Konfigurationen".
- Wenn Sie die zweite Option, WebSphere Application Server verwenden, oder die dritte Option, Sicherheit nicht aktivieren, auswählen, verweisen die Standardwerte für die Keystore- und Truststore-Konfigurationseigenschaften auf einen Keystore mit einer PKCS12-Datei. Weitere Informationen zu dateibasierten Keystores finden Sie im Abschnitt "Dateibasierte IBMJCE-Keystores (JCEKS, JKS und PKCS12)" des Artikels "Keystore-Konfigurationen".
Keystore-Konfigurationen:
SSL-Konfigurationen verweisen auf Keystore-Konfigurationen, die die Position von Zertifikaten angeben. Zertifikate repräsentieren die Identität von Clients, die die SSL-Konfiguration verwenden. Sie können Keystore-Konfigurationen mit anderen SSL-Konfigurationseigenschaften angeben. Sie sollten die Keystore-Konfigurationen jedoch in diesem Abschnitt der Datei ssl.client.props angeben. Der Beginn einer neuen Keystore-Konfiguration wird mit der Eigenschaft "com.ibm.ssl.keyStoreName" angezeigt. Nachdem Sie die Keystore-Konfiguration vollständig definiert haben, kann die Eigenschaft "com.ibm.ssl.keyStoreName" an jeder beliebigen Stelle der Datei auf diese Konfiguration verweisen.![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Eigenschaft | Standardeinstellung | Beschreibung |
---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Diese Eigenschaft gibt den Namen des Keystore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden. |
com.ibm.ssl.keyStore | ${user.root}/etc/key.p12 | Diese Eigenschaft gibt die Position des Keystore in dem für die Eigenschaft
"com.ibm.ssl.keyStoreType" erforderlichen Format an.
In der Regel verweist diese Eigenschaft auf den Namen einer Keystore-Datei. Bei Verschlüsselungstoken referenziert diese
Eigenschaft jedoch eine DLL-Datei
(Dynamic Link Library). ![]() |
com.ibm.ssl.keyStorePassword | WebAS | Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss diesen Verweis. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wird, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Keystore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Keystore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Keystore auf DefaultKeyStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Löschen Sie den Keystore und den Truststore zur selben Zeit, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden. |
com.ibm.ssl.keyStoreType | PKCS12 | Diese Eigenschaft gibt den Keystore-Typ an. Verwenden Sie den Standardwert PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft jeden gültigen Keystore-Typ angeben, der von der JVM in der Providerliste unterstützt wird. |
com.ibm.ssl.keyStoreProvider | IBMJCE | Die Eigenschaft für die IBM® Java Cryptography Extension ist der Keystore-Provider für den Keystore-Typ. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten. |
com.ibm.ssl.keyStoreFileBased | true | Diese Eigenschaft gibt für die Laufzeit an, dass der Keystore dateibasiert ist (sich im Dateisystem befindet). |
com.ibm.ssl.keyStoreReadOnly | false | Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. |
In der folgenden Tabelle
entsprechen die Werte in der Spalte "Standardwerte für ein z/OS-Sicherheitsprodukt" den Standardwerten,
die verwendet werden, wenn die Option z/OS-Sicherheitsprodukt verwenden
in der Anzeige "Auswahl der Verwaltungssicherheit" von
z/OS Profile Management Tool ausgewählt ist. Diese Option ist die erste Option in der Anzeige
"Auswahl der Verwaltungssicherheit". Die Werte in der Spalte "Standardwerte für die Sicherheitseinrichtung von
WebSphere Application Server" entsprechen den Standardwerten,
die verwendet werden, wenn die Option WebSphere Application Server
verwenden in der Anzeige "Auswahl der Verwaltungssicherheit"
von z/OS Profile Management Tool ausgewählt ist. Diese
Option ist die zweite Option in der Anzeige
"Auswahl der Verwaltungssicherheit".
![[z/OS]](../images/ngzos.gif)
Eigenschaft | Standardwerte für ein z/OS-Sicherheitsprodukt | Standardwerte für die Sicherheit für WebSphere Application Server | Beschreibung |
---|---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | ClientDefaultKeyStore | Diese Eigenschaft gibt den Namen des Keystore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden. |
com.ibm.ssl.keyStore | safreyring:///Ihr_Schlüsselring Dieser Wert wird in der Anzeige "SSL-Anpassung" von z/OS Profile Management Tool definiert. |
${user.root}/etc/key.p12 | Diese Eigenschaft gibt die Position des Keystore in dem für die Eigenschaft "com.ibm.ssl.keyStoreType" erforderlichen Format an. In der Regel verweist diese Eigenschaft auf den Namen einer Keystore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei (Dynamic Link Library). |
com.ibm.ssl.keyStorePassword | password | WebAS | Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss diesen Verweis. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wird, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Keystore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Keystore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Keystore auf DefaultKeyStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Löschen Sie den Keystore und den Truststore zur selben Zeit, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden. |
com.ibm.ssl.keyStoreType | JCERACFKS | PKCS12 | Diese Eigenschaft gibt den Keystore-Typ an. Verwenden Sie den Standardwert PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft jeden gültigen Keystore-Typ angeben, der von der JVM in der Providerliste unterstützt wird. Der Typ kann für Verschlüsselungseinheiten JCERACFKS oder JCECCAKS sein. |
com.ibm.ssl.keyStoreProvider | IBMJCE | IBMJCE | Die Eigenschaft für die IBM Java Cryptography Extension ist der Keystore-Provider für den Keystore-Typ. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten. |
com.ibm.ssl.keyStoreFileBased | false | true | Diese Eigenschaft gibt für die Laufzeit an, dass der Keystore dateibasiert ist (sich im Dateisystem befindet). |
com.ibm.ssl.keyStoreReadOnly | true | false | Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. Beispielsweise können Sie schreibgeschützte Keystores nicht über die Administrationskonsole oder mit Scripts ändern. SAF-Schlüsselringe, die von WebSphere Application Server for z/OS verwendet werden, sind immer schreibgeschützt. |
Truststore-Konfigurationen:
SSL-Konfigurationen verweisen auf Truststore-Konfigurationen, die die Unterzeichnerzertifikate für Server enthalten, denen dieser Client vertraut. Sie können diese Eigenschaften mit anderen SSL-Konfigurationseigenschaften angeben. Sie sollten Truststore-Konfigurationen jedoch in diesem Abschnitt der Datei ssl.client.props angeben. Der Beginn einer neuen Truststore-Konfiguration wird durch die Eigenschaft "com.ibm.ssl.trustStoreName" angezeigt. Nachdem Sie die Truststore-Konfiguration vollständig definiert haben, kann die Eigenschaft "com.ibm.ssl.trustStoreName" an jeder beliebigen Stelle der Datei auf diese Konfiguration verweisen.
Ein Truststore ist ein Keystore, den JSSE für die Überprüfung der Vertrauensstellung verwendet. Ein Truststore enthält die Unterzeichner, die WebSphere Application Server benötigt, um beim Handshake der fernen Verbindung vertrauen zu können. Falls Sie die Eigenschaft "com.ibm.ssl.trustStoreName=ClientDefaultKeyStore" konfigurieren, können Sie den Keystore als Truststore referenzieren. Weitere Konfigurationsschritte sind für den Truststore nicht erforderlich, denn alle durch den Austausch von Unterzeichnern generierten Unterzeichner werden in den Keystore importiert und von dort aus von der Laufzeit aufgerufen.
In
der folgenden Tabelle entsprechen die Werte in der Spalte "Standardwerte für ein z/OS-Sicherheitsprodukt" den Standardwerten,
die verwendet werden, wenn die Option z/OS-Sicherheitsprodukt verwenden
in der Anzeige "Auswahl der Verwaltungssicherheit" von z/OS Profile Management Tool
ausgewählt ist. Diese Option ist die erste Option in der Anzeige
"Auswahl der Verwaltungssicherheit". Die Werte in der Spalte "Standardwerte für die Sicherheitseinrichtung von
WebSphere Application Server" entsprechen den Standardwerten,
die verwendet werden, wenn die Option WebSphere Application Server
verwenden in der Anzeige "Auswahl der Verwaltungssicherheit"
von z/OS Profile Management Tool ausgewählt ist. Diese
Option ist die zweite Option in der Anzeige
"Auswahl der Verwaltungssicherheit".
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Eigenschaft | Standardeinstellung | Beschreibung |
---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Diese Eigenschaft gibt den Namen des Truststore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden. |
com.ibm.ssl.trustStore | ${user.root}/etc/trust.p12 | Diese Eigenschaft gibt die Position des Truststore in dem für die Eigenschaft
"com.ibm.ssl.trustStoreType" erforderlichen Format an. Die Eigenschaft "com.ibm.ssl.trustStoreType"
gibt den Truststore-Typ an.
In der Regel verweist diese Eigenschaft auf den Namen einer Truststore-Datei. Bei Verschlüsselungstoken referenziert diese
Eigenschaft jedoch eine DLL-Datei. ![]() |
com.ibm.ssl.trustStorePassword | WebAS | Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss den Verweis in dieser Eigenschaft. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wurde, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Truststore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Truststore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Truststore auf DefaultTrustStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Sie sollten den Keystore und den Truststore zur selben Zeit löschen, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden. |
com.ibm.ssl.trustStoreType | PKCS12 | Diese Eigenschaft gibt den Truststore-Typ an. Verwenden Sie den Standardtyp PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft einen gültigen, von der JVM-Funktionalität in der Providerliste unterstützten Truststore-Typ angeben. |
com.ibm.ssl.trustStoreProvider | IBMJCE | Diese Eigenschaft gibt den Truststore-Provider für den Truststore-Typ an. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten. |
com.ibm.ssl.trustStoreFileBased | true | Diese Eigenschaft gibt für die Laufzeit an, dass der Truststore dateibasiert ist (sich im Dateisystem befindet). |
com.ibm.ssl.trustStoreReadOnly | false | Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. |
![[z/OS]](../images/ngzos.gif)
Eigenschaft | Standardwerte für ein z/OS-Sicherheitsprodukt | Standardwerte für die Sicherheit für WebSphere Application Server | Beschreibung |
---|---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | ClientDefaultTrustStore | Diese Eigenschaft gibt den Namen des Truststore an, wie er von der Laufzeit referenziert wird. Andere SSL-Konfigurationen können weiter unten in der Datei ssl.client.props auf diesen Namen verweisen, um Duplizierungen zu vermeiden. |
com.ibm.ssl.trustStore | safreyring:///Ihr_Schlüsselring Dieser Wert wird in der Anzeige "SSL-Anpassung" von z/OS Profile Management Tool definiert. |
${user.root}/etc/trust.p12 | Diese Eigenschaft gibt die Position des Truststore in dem für die Eigenschaft "com.ibm.ssl.trustStoreType" erforderlichen Format an. Die Eigenschaft "com.ibm.ssl.trustStoreType" gibt den Truststore-Typ an. In der Regel verweist diese Eigenschaft auf den Namen einer Truststore-Datei. Bei Verschlüsselungstoken referenziert diese Eigenschaft jedoch eine DLL-Datei. |
com.ibm.ssl.trustStorePassword | password | WebAS | Diese Eigenschaft gibt das Standardkennwort an, das dem Zellennamen für das Profil bei Erstellung des Profils entspricht. In der Regel wird dieses Kennwort mit einem {xor}-Algorithmus codiert. Mit iKeyman können Sie das Kennwort im Keystore ändern. Ändern Sie im Anschluss den Verweis in dieser Eigenschaft. Falls Sie das Kennwort nicht kennen und das Zertifikat für Sie erstellt wurde, ändern Sie das Kennwort in dieser Eigenschaft. Löschen Sie dann den Truststore von der Position, an der er sich befindet. Starten Sie den Client neu, um den Truststore unter Verwendung des neuen Kennworts neu zu erstellen. Dies gilt jedoch nur, wenn der Name des Truststore auf DefaultTrustStore endet und die Eigenschaft "fileBased" auf true gesetzt ist. Sie sollten den Keystore und den Truststore zur selben Zeit löschen, damit ein ordnungsgemäßer Austausch der Unterzeichner stattfinden kann, wenn Keystore und Truststore neu erstellt werden. |
com.ibm.ssl.trustStoreType | JCERACFKS | PKCS12 | Diese Eigenschaft gibt den Truststore-Typ an. Verwenden Sie den Standardtyp PKCS12, da dieser die Interoperabilität mit anderen Anwendungen gewährleistet. Sie können für diese Eigenschaft einen gültigen, von der JVM-Funktionalität in der Providerliste unterstützten Truststore-Typ angeben. Der Typ kann für Verschlüsselungseinheiten JCERACFKS oder JCECCAKS sein. |
com.ibm.ssl.trustStoreProvider | IBMJCE | IBMJCE | Diese Eigenschaft gibt den Truststore-Provider für den Truststore-Typ an. Der Provider ist in der Regel IBMJCE oder IBMPKCS11Impl für Verschlüsselungseinheiten. |
com.ibm.ssl.trustStoreFileBased | false | true | Diese Eigenschaft gibt für die Laufzeit an, dass der Truststore dateibasiert ist (sich im Dateisystem befindet). |
com.ibm.ssl.trustStoreReadOnly | true | false | Diese Eigenschaft gibt für die Laufzeit für WebSphere Application Server an, ob der Keystore in der Laufzeit modifiziert werden kann. Beispielsweise können Sie schreibgeschützte Truststores nicht über die Administrationskonsole oder mit Scripts ändern. SAF-Schlüsselringe, die von WebSphere Application Server for z/OS verwendet werden, sind immer schreibgeschützt. |