Mit dem Befehl "retrieveSigners" in SSL das Vertrauen zwischen Servern herstellen

Sie können der Datei trust.p12 eines Servers ein Unterzeichnerzertifikat hinzufügen und damit diesem Server ermöglichen, sicher mit einem anderen Server zu kommunizieren. Sie können den Befehl retrieveSigners verwenden, um der Datei trust.p12 eines Servers einen Unterzeichner hinzuzufügen, nachdem Sie die Änderungen an der Datei ssl.client.props vorgenommen haben.

Vorbereitende Schritte

Der Server, der als Client kommuniziert, muss identifiziert werden, damit das Vertrauen zwischen den Servern hergestellt werden kann. Sie nehmen die Änderungen an der Datei ssl.client.props vor und führen anschließend den Befehl retrieveSigners auf dem Server aus, der als Client kommuniziert. Wenn beide Server als Client auftreten, müssen diese Schritte für beide Server ausgeführt werden.

Informationen zu diesem Vorgang

In der Datei ssl.client.props wird standardmäßig die SSL-Kommunikation für Clients konfiguriert. Deshalb bearbeitet der Befehl retrieveSigners standardmäßig die Dateien trust.p12 und key.p12 im Verzeichnis Profilstammverzeichnis/etc. Sie können der Datei trust.p12 eines Servers ein Unterzeichnerzertifikat hinzufügen und damit diesem Server ermöglichen, als Client mit einem anderen Server zu kommunizieren. Wenn Sie den Befehl retrieveSigners verwenden, um der Datei trust.p12 eines Servers einen Unterzeichner hinzuzufügen, müssen verschiedene Änderungen an der Datei ssl.client.props vorgenommen werden.

Vorgehensweise

  1. Öffnen Sie die Datei ssl.client.props. Die Datei ssl.client.props befindet sich im Verzeichnis Profilstammverzeichnis/properties.
  2. Entfernen Sie die Kommentarzeichen für den Abschnitt in der Datei ssl.client.props, der mit der Eigenschaft "com.ibm.ssl.alias=AnotherSSLSettings" beginnt.
  3. Entfernen Sie die Kommentarzeichen für den Abschnitt in der Datei ssl.client.props, der mit der Eigenschaft "com.ibm.ssl.trustStoreName=AnotherTrustStore" beginnt.
  4. Geben Sie die Position des Truststore ein, dem der Unterzeichner hinzugefügt werden soll. Wenn Sie den Truststore des Servers für einen Deployment Manager verwenden, befindet sich der Truststore in der Datei Verzeichnis Profilstammverzeichnis/config/cells/Zellenname/trust.p12. Wenn Sie den Truststore für einen Anwendungsserver verwenden, befindet er sich in der Datei Profilstammverzeichnis/config/cells/Zellenname/nodes/Knotenname/trust.p12.
  5. Aktualisieren Sie die verbleibenden Eigenschaften in diesem Abschnitt mit den Werten, die dem verwendeten Truststore zugeordnet sind. Eine Beschreibung dieser Eigenschaften finden Sie im Artikel Clientkonfigurationsdatei ssl.client.props.
  6. Optional: Entfernen Sie die Kommentarzeichen für den Abschnitt, der mit der Eigenschaft "com.ibm.ssl.trustStoreName=AnotherKeyStore" beginnt, und aktualisieren Sie den Abschnitt. In den meisten Szenarien muss ein Unterzeichner nur dem Truststore hinzugefügt werden. In diesem Beispiel wird nur dem Truststore ein Unterzeichner hinzugefügt, aber Sie können auch dem Keystore einen Unterzeichner hinzufügen, indem Sie, wie in den Schritten 3 bis 5 für den Truststore beschrieben, die Eigenschaften aktualisieren.
  7. Speichern Sie die Änderungen, die Sie an der Datei ssl.client.props vorgenommen haben.
  8. Führen Sie den Befehl retrieveSigners aus. Weitere Informationen finden Sie auf der Seite zum Befehl "retrieveSigners".
    retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879

    Beispielausgabe:
    CWPKI0308I: Unterzeichneralias "default_1" wurde dem lokalen Keystore
                         "AnotherTrustStore" mit dem folgenden SHA-Digest hinzugefügt:
                         F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06

Ergebnisse

Nachdem die Schritte erfolgreich ausgeführt wurden, besitzt der Server, der als Client auftritt, ein Unterzeichnerzertifikat des anderen Servers. Mit diesem Unterzeichnerzertifikat kann der Server eine SSL-Verbindung zum anderen Server aufbauen.

Beispiel

Das Beispiel zeigt den geänderten Abschnitt in der Datei ssl.client.props, wobei angenommen wird, dass die Datei trust.p12 des Servers verwendet wird. Es kann jeder vorhandene Truststore verwendet werden, sofern die Eigenschaften für diesen Truststore angegeben werden.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=

# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true

# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true

Nächste Schritte

Nach dem Hinzufügen des Unterzeichners müssen Sie die Datei ssl.client.props bearbeiten und die Abschnitte auf Kommentar setzen, die zum Hinzufügen des Unterzeichnerzertifikats verwendet wurden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_retrievesigners_servertrust
Dateiname:tsec_retrievesigners_servertrust.html