Zentrale Verwaltung von SSL-Konfigurationen

SSL-Konfigurationen für Server werden standardmäßig von einer zentralen Position in der Topologieanzeige der Administrationskonsole verwaltet. Sie können eine SSL-Konfiguration und den Zertifikatsaliasnamen einem bestimmten Verwaltungsbereich zuordnen. Dies ist die effizienteste Methode, Konfigurationen zu modifizieren, wenn sich die Servertopologie ändert.

In früheren Releases wurden SSL-Konfigurationen für jeden Prozess verwaltet. Sie mussten für jede SSL-Konfiguration in der Topologie individuelle Einstellungen verwalten. In diesem Release von WebSphere Application Server bietet die Verwaltungssteuerung der SSL-Konfigurationen mehr Optionen und mehr Flexibilität. Sie können allgemeine Änderungen für die gesamte Topologie auf Zellenebene und unter Verwendung eines bestimmten Endpunktnamens differenzierte Änderungen für einen bestimmten Anwendungsserverprozess vornehmen. Da die SSL-Konfigurationsassoziationen ein Vererbungsverhalten manifestieren, können Sie die Anzahl der Assoziationen verringern, indem Sie nur den Verwaltungsbereich der höchsten Ebene referenzieren, der eine eindeutige Konfiguration benötigt.

In der Topologiesicht enthält die Scoping-Mechanismen. Die SSL-Konfiguration erbt ihren Geltungsbereich, was der Topologiesicht sichtbar wird. Der Geltungsbereich umfasst die Ebene, auf der Sie die Konfiguration erstellt haben, und alle diesem Punkt untergeordneten Ebenen. Wenn Sie beispielsweise eine SSL-Konfiguration auf einem bestimmten Knoten erstellen, ist die Konfiguration für diesen Node Agent und jeden zu diesem Knoten gehörenden Anwendungsserver sichtbar. Anwendungsserver oder Knoten, die nicht zu diesem speziellen Knoten gehören, können diese SSL-Konfiguration nicht sehen.

Ihre Sicherheitsumgebung wirkt sich auf Aspekte wie die Eindeutigkeit der SSL-Konfigurationen sowie die SSL-Konfiguration und die Platzierung der Zertifikatsaliasnamen in der Topologie aus. Außerdem können Sie unterschiedliche Zertifikatsaliasnamen und unterschiedliche SSL-Konfigurationen für eingehende Verbindungen und abgehende Verbindungen konfigurieren.

Zum Konfigurieren der eingehenden und abgehenden Topologien, die gesondert in der Administrationskonsole vorgenommen werden müssen, klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Sicherheitskonfigurationen für Endpunkte verwalten > Eingehend | Abgehend.

Zentral verwaltete Standard-SSL-Konfiguration

Obwohl es einfacher ist, SSL-Konfigurationen zentral in der Topologiesicht der Administrationskonsole zu verwalten, können Sie für die Verwaltung von SSL-Konfigurationen auch wsadmin-Scripting mit AdminTasks verwenden.

Das Konfigurationselement der Datei security.xml kann für die Verwaltung von SSL-Konfigurationassoziationen verwendet werden. Mit dem Konfigurationsobjekt sslConfigGroup werden einer bestimmten SSL-Konfiguration und einem bestimmten Zertifikatalias eine Verbindungsrichtung und ein Verwaltungsbereich zugeordnet. Das Standardzellenattribut sslConfigGroups gibt eine vordefinierte Konfiguration für eingehende und abgehende Verbindungen in der Zelle an, die jeder Endpunkt der Zelle übernimmt. Da Sie bei der Auswahl von SSL-Konfigurationen Vorrangregeln beachten müssen, lesen Sie vor dem Modifizieren Ihrer Konfigurationen mit wsadmin-Scripting den Artikel Kommunikation mit Secure Sockets Layer (SSL) sichern.
<sslConfigGroups xmi:id="SSLConfigGroup_1" 
name="myhostCell01" direction="inbound" certificateAlias="default" 
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01" 
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1" 
scopeName="(cell):myhostCell01" scopeType="cell"/>

Im obigen Beispielcode referenziert das Attribut sslConfigGroups den Zellenverwaltungsbereich. Wenn für dieses Beispiel ein anderer Geltungsbereich beabsichtigt war, finden Sie in der folgenden Liste die Reihenfolge für die Auswahl der Verwaltungsbereiche. Die Verwaltungsbereiche sind absteigend von der höchsten bis zur niedrigsten Priorität sortiert. Jedes Mal, wenn ein Endpunktgeltungsbereich definiert wird, verwendet dieser die angegebene SSL-Konfiguration und den angegebenen Zertifikatsalias.

Endpunktgeltungsbereich
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX" 
scopeType="endpoint"/>
Serverebene
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1" scopeType="server"/>
Clusterebene
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(cluster):myCluster" scopeType="cluster"/>
Knoten als Geltungsbereich
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01" scopeType="node"/>
Knotengruppe als Geltungsbereich
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
Zelle als Geltungsbereich
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01"
scopeType="cell"/>

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcentralmanconfigs
Dateiname:csec_sslcentralmanconfigs.html