SSL-Konfigurationen (Secure Sockets Layer) enthalten die Attribute,
die Sie benötigen, um das Verhalten der Client- und Server-SSL-Endpunkte zu steuern. Sie erstellen
SSL-Konfigurationen mit eindeutigen Namen in bestimmten Verwaltungsbereichen in der
Eingangs- und Ausgangsbaumstruktur in der Konfigurationstopologie. Diese Tasks zeigt Ihnen, wie
Sie SSL-Konfigurationen, einschließlich Datenschutzniveau sowie Trust- und Key-Manager-Einstellungen definieren.
Vorbereitende Schritte
Sie müssen entscheiden, für welchen Geltungsbereich Sie eine SSL-Konfiguration
definieren müssen, z. B. Zelle, Knotengruppe, Knoten, Server, Cluster oder Endpunkt (absteigend nach Spezifik).
Wenn Sie beispielsweise eine SSL-Konfiguration auf Knotenebene definieren, können nur die Prozesse auf diesem Knoten die
SSL-Konfiguration laden. Alle Prozesse am Endpunkt der Zelle können eine SSL-Konfiguration auf Zellenebene verwenden,
die in der Topologie höher angesiedelt ist.
Außerdem müssen Sie auf der Basis der Prozesse, auf die sich die Konfiguration auswirkt, festlegen, welcher Geltungsbereich der
neuen SSL-Konfiguration zugeordnet wird.
Eine SSL-Konfiguration für eine Hardwareverschlüsselungseinheit kann beispielsweise einen Keystore erfordern, der nur auf einem
bestimmten Knoten verfügbar ist. Möglicherweise benötigen Sie aber auch SSL-Konfiguration für eine Verbindung zu einem bestimmten
SSL-Host und -Port.
Weitere Informationen hierzu finden Sie im Artikel Dynamische Auswahl abgehender Verbindungen für SSL-Konfigurationen.
Fehler vermeiden: Die Datei "security.xml" ist eingeschränkt.
Wenn Sie Änderungen an der Datei "security.xml" vornehmen, müssen Sie deshalb sicherstellen, dass Ihre
Benutzer-ID die Berechtigung der Administratorrolle hat.
Wenn Sie eine Benutzer-ID mit der Berechtigung der Rolle "Operator" (Bedienung) haben, können Sie eine
Knotensynchronisation durchführen, aber die an der Datei "security.xml" vorgenommenen Änderungen werden nicht synchronisiert.
gotcha
Informationen zu diesem Vorgang
Führen Sie in der Administrationskonsole die folgenden Schritte aus:
Vorgehensweise
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkt verwalten.
- Wählen Sie je nach Prozess, den Sie konfigurieren, entweder in der Struktur "Eingehend" oder in der Struktur "Abgehend" einen SSL-Konfigurationslink aus.
- Wenn der Geltungsbereich bereits einer Konfiguration und einem Alias zugeordnet ist,
sind der SSL-Konfigurationsalias und der Zertifikatsalias in runden Klammern angegeben.
- Wenn keine Informationen in Klammern angegeben sind, ist kein Geltungsbereich zugeordnet.
Stattdessen übernimmt der Geltungsbereich die Konfigurationseigenschaften
des ersten übergeordneten Geltungsbereichs, der einer SSL-Konfiguration und einem Zertifikatsalias zugeordnet ist.
Der Geltungsbereich "Zelle" muss einer SSL-Konfiguration zugeordnet sein, weil er sich am Anfang
der Topologie befindet und die SSL-Standardkonfiguration
für die eingehende bzw. abgehende Verbindung darstellt.
- Klicken Sie auf SSL-Konfigurationen. Sie können jede der
SSL-Konfigurationen, die in diesem Geltungsbereich konfiguriert sind, anzeigen und auswählen.
Außerdem können Sie diese Konfigurationen für jeden Geltungsbereich weiter unten in der Topologie anzeigen und auswählen.
- Klicken Sie auf Neu, um die Anzeige "SSL-Konfiguration" aufzurufen. Sie können erst dann Links für "Weitere Eigenschaften" auswählen, wenn Sie einen Konfigurationsnamen eingeben und auf
Anwenden klicken.
- Geben Sie den Namen einer SSL-Konfiguration ein. Dieses Feld ist erforderlich. Der Konfigurationsname
ist der SSL-Konfigurationsalias. Stellen Sie sicher, dass der Aliasname in der Liste der SSL-Konfigurationsaliasnamen,
die bereits für den ausgewählten Geltungsbereich erstellt wurden, eindeutig ist.
Die neue SSL-Konfiguration verwendet diesen Alias für andere Konfigurationstasks.
- Wählen Sie in der Dropdown-Liste einen Truststore-Namen aus. Ein Truststore-Name
verweist auf einen bestimmten Truststore, der Unterzeichnerzertifikate enthält,
mit denen geprüft wird, ob die von fernen Verbindungen bei einem SSL-Handshake
gesendeten Zertifikate gültig sind.
Wenn in der Liste kein Truststore enthalten ist, erstellen Sie unter Verwendung des Artikel Keystore-Konfiguration für vorhandene Keystore-Datei erstellen einen neuen Truststore. Ein Truststore ist ein Keystore, dessen Aufgabe es ist, das Vertrauen
während der Verbindung herzustellen.
- Wählen Sie in der Dropdown-Liste einen Keystore-Namen aus. Ein
Keystore enthält die persönlichen Zertifikate, die eine Unterzeichneridentität
und den privaten Schlüssel darstellen, die WebSphere Application für die Verschlüsselung und die Unterzeichnung
von Daten verwendet.
- Wenn Sie den Keystore-Namen ändern, klicken Sie auf Zertifikatsaliasnamen abrufen, um die Liste der
Zertifikate zu aktualisieren, aus der Sie einen Standardalias auswählen können.
WebSphere Application Server verwendet einen Serveralias für eingehende Verbindungen und einen
Clientalias für abgehende Verbindungen.
- Wenn in der Liste kein Keystore enthalten ist, erstellen Sie anhand der Beschreibungen im Artikel
Keystore-Konfiguration für vorhandene Keystore-Datei erstellen einen neuen Keystore.
- Wählen Sie ein Standardserverzertifikat für eingehende Verbindungen aus. Wählen Sie den Standardwert nur aus, wenn Sie noch keinen SSL-Konfigurationsalias festgelegt und noch keinen Zertifikatsalias ausgewählt haben.
Eine zentral verwaltete SSL-Konfigurationsstruktur kann den Standardalias überschreiben.
Weitere Informationen hierzu finden Sie im Artikel Zentrale Verwaltung von SSL-Konfigurationen.
- Wählen Sie einen Standardclientzertifikatsalias für abgehende Verbindungen aus. Wählen Sie den Standardwert nur aus, wenn die SSL-Serverkonfiguration eine
SSL-Clientauthentifizierung angibt.
- Überprüfen Sie den angegebenen Verwaltungsbereich für die SSL-Konfiguration. Geben Sie in diesem Feld denselben Verwaltungsbereich an, den der Link hatte, den Sie in Schritt 2 ausgewählt haben.
Wenn Sie den Geltungsbereich ändern möchten, müssen Sie in der
Topologiestruktur auf einen anderen Link klicken und mit Schritt 3 fortfahren.
- Klicken Sie auf Anwenden, wenn Sie weitere Eigenschaften konfigurieren möchten.
Wenn nicht, fahren Sie mit Schritt 24 fort.
- Klicken Sie auf Einstellungen für Datenschutzniveau. Die Einstellungen für das Datenschutzniveau definieren den Grad der SSL-Verschlüsselung, die
Integrität des Unterzeichners und die Authentizität des Zertifikats.
- Wählen Sie eine Clientauthentifizierungseinstellung aus, um eine SSL-Konfiguration für eingehende Verbindungen einzurichten und gegebenenfalls festzulegen, dass Clients ihre Zertifikate senden.
- Wenn Sie Ohne auswählen, fordert der Server während des Handshake kein Zertifikat vom Client an.
- Wenn Sie Unterstützt auswählen, fordert der Server ein Clientzertifikat an. Falls der Client kein Zertifikat hat, kann der Handshake trotzdem erfolgreich sein.
- Wenn Sie Erforderlich auswählen, fordert der Server ein Clientzertifikat an. Falls der Client kein Zertifikat hat,
schlägt der Handshake fehl.
Wichtig: Das Unterzeichnerzertifikat, das den Client darstellt, muss in dem Truststore enthalten sein,
den Sie für die SSL-Konfiguration auswählen.
Standardmäßig vertrauen die Server in einer Zelle einander, weil sie denselben
Truststore trust.p12 verwenden, der sich im Zellenverzeichnis des Konfigurationsrepository
befindet. Wenn Sie jedoch Keystores und Truststores verwenden, die Sie erstellen, sollten die Unterzeichner ausgetauscht werden, bevor Sie
Unterstützt oder Erforderlich auswählen.
- Wähle Sie ein Protokoll für den SSL-Handshake aus.
- Das Standardprotokoll SSL_TLS unterstützt die Clientprotokolle TLSv1 und SSLv3.
- Das Protokoll TLSv1 unterstützt TLS und TLSv1. Die SSL-Serververbindung muss dieses Protokoll unterstützen, damit der
Handshake fortgesetzt werden kann.
- SSLv2
- SSLv3
- Das Protokoll SSLv3 unterstützt SSL und SSLv3. Die SSL-Serververbindung muss dieses Protokoll unterstützen, damit der
Handshake fortgesetzt werden kann.
- TLS ist TLSv1
- TLSv1
- SSL_TLSv2 ist SSLv3 und TLSv1, TLSv1.1, TLSv1.2
- TLSv1.1
- TLSv1.2
Wichtig: Verwenden Sie das Protokoll SSLv2 nicht für die SSL-Serververbindung. Verwenden Sie es nur, wenn es auf Clientseite
erforderlich ist.
- Wählen Sie eine der folgenden Optionen aus:
- Ein vordefinierter JSSE-Provider (Java Secure Socket Extension). Es wird empfohlen, den
Provider IBMJSSE2 auf allen Plattformen mit entsprechender Unterstützung zu verwenden, da
er für den SSL-Kanal des Kanalframeworks erforderlich ist. Wenn die FIPS-Option (Federal Information
Processing Standard) aktiviert ist, wird IBMJSSE2 in Kombination mit dem
Verschlüsselungsprovider IBMJCEFIPS verwendet.
- Ein angepasster JSSE-Provider. Geben Sie im Feld Angepasster Provider einen Providernamen ein.
- Wählen Sie zwischen den folgenden Cipher-Suite-Gruppen:
- Wenn Sie Stark auswählen, kann WebSphere Application Server 128-Bit-Vertraulichkeitsalgorithmen
für die Verschlüsselung und Signaturalgorithmen für Integrität verwenden. Eine starke
Cipher Suite kann sich jedoch auf die Leistung der Verbindung auswirken.
- Wenn Sie Mittel auswählen, kann WebSphere Application Server 40-Bit-Verschlüsselungsalgorithmen
und Signaturalgorithmen für Integrität verwenden.
- Wenn Sie Schwach auswählen, unterstützt WebSphere Application Server Signaturalgorithmen für Integrität, führt aber keine Verschlüsselung durch.
Wählen Sie diese Option mit Bedacht aus, weil Kennwörter und andere sensible Daten, die im Netz übertragen werden, für einen IP-Sniffer
sichtbar sind.
- Wenn Sie Angepasst auswählen, können Sie bestimmte Verschlüsselungen auswählen. Wenn Sie die
in einer Cipher-Suite-Gruppe aufgelisteten Verschlüsselungen ändern, ändert sich der Gruppennamen in "Custom" (Angepasst).
- Klicken Sie auf Ausgewählte Verschlüsselungen aktualisieren aus, um eine Liste der verfügbaren Verschlüsselungen für jeden
Verschlüsselungsgrad anzuzeigen.
- Klicken Sie auf OK,um zur Anzeige "Neue SSL-Konfiguration" zurückzukehren.
- Klicken Sie auf Trust- und Key-Manager.
- Wählen Sie für die primäre Vertrauensentscheidung beim SSL-Handshake einen Standard-Trust-Manager aus.
- Wählen Sie IbmPKIX aus, wenn Zertifikatswiderruflisten (CRL, Certificate Revocation List)
mithilfe von CRL-Verteilungspunkten in den Zertifikaten oder dem OSCP (Online Certificate Status Protocol) geprüft werden müssen.
- Wählen Sie IbmX509 aus, wenn keine CRL-Prüfung erforderlich ist, aber eine höhere Leistung.
Sie können gegebenenfalls einen eigenen Trust-Manager konfigurieren, der die CRL-Prüfung durchführt.
- Definieren Sie bei Bedarf einen eigenen Trust-Manager. Sie können einen eigenen Trust-Manager definieren,
der zusammen mit dem ausgewählten Standard-Trust-Manager ausgeführt wird.
Der eigene Trust-Manager muss die JSSE-Schnittstelle "javax.net.ssl.X509TrustManager"
und optional die Schnittstelle "com.ibm.wsspi.ssl.TrustManagerExtendedInfo" implementieren, um
produktspezifische Informationen abzurufen.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen
für Endpunkte verwalten > SSL-Konfiguration > Trust und Key-Manager > Trust-Manager > Neu.
- Geben Sie den eindeutigen Namen eines Trust-Managers ein.
- Wählen Sie die Option Angepasst aus.
- Geben Sie einen Klassenname ein.
- Klicken Sie auf OK. Wenn Sie in die Anzeige "Trust und
Key-Manager" zurückkehren, wird der neue angepasste Trust-Manager im Feld
Zusätzlich angeforderte Trust-Manager angezeigt. Verwenden Sie die Listenfelder, um
bei Bedarf angepasste Trust-Manager hinzuzufügen oder zu entfernen.
- Wählen Sie einen Key-Manager für die SSL-Konfiguration aus. Standardmäßig
ist IbmX509 der einzige Key-Manager, sofern Sie keinen eigenen Key-Manager erstellen.
Wichtig: Wenn Sie einen eigenen Key-Manager implementieren, könnte sich dies auf das Verhalten bei der
Aliasauswahl auswirken, weil der Key-Manager für die Auswahl des Zertifikatsalias aus dem Keystore
verantwortlich ist.
Der angepasste Key-Manager interpretiert die SSL-Konfiguration unter Umständen nicht so, wie es der
Key-Manager IbmX509 von WebSphere Application Server tut. Wenn Sie einen eigenen Key-Manager definieren möchten, klicken Sie auf
Sicherheit > Sichere Kommunikation > SSL-Konfigurationen > SSL-Konfiguration >
Trust und Key-Manager > Key Manager > Neu.
- Klicken Sie auf OK, um die Einstellungen für Trust und Key-Manager zu speichern und zur
Anzeige "Neue SSL-Konfiguration" zurückzukehren.
- Klicken Sie auf Speichern, um die neue SSL-Konfiguration zu speichern.
Ergebnisse
Wichtig: Sie können den Standard-Trust-Manager überschreiben, wenn Sie mindestens einen
eigenen Trust-Manager konfigurieren und die Eigenschaft
"com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined" auf true setzen. Klicken Sie in der Anzeige "SSL-Konfiguration" auf
Angepasste Eigenschaft. Wenn Sie den Standardwert ändern, überlassen Sie jedoch alle
Vertrauensentscheidungen Ihrem Trust-Manager, was für Produktionsumgebungen nicht empfohlen wird.
Verwenden Sie in Testumgebungen einen Pseudo-Trust-Manager, um die Zertifikatvalidierung zu umgehen.
Diese Umgebungen sind nicht sicher.
Nächste Schritte
In diesem Release von WebSphere Application Server können Sie
SSL-Konfigurationen mit einer der folgenden Methoden Protokollen zuordnen: