SSL-Kommunikation mit DataPower

Auf der Basis der Standardinstallationen des Anwendungsservers und des DataPower-Gerätemanagers wird die SSL-Kommunikation verwendet, um Befehle zu senden und Ereignisse zu empfangen. Die vom DataPower-Gerätemanager verwendete SSL-Standardkonfiguration kann durch Anpassung der SSL-Verbindung gestärkt werden. Eine Änderung der SSL-Konfiguration ist optional und muss nur dann durchgeführt werden, wenn die Standardkonfiguration für Ihre Anforderungen nicht ausreicht.

SSL wird dazu verwendet, Befehle an jeden bekannten Gerätemanager zu senden. In diesem Szenario verhalten sich der Anwendungsserver und der DataPower-Gerätemanager wie ein SSL-Client, und die DataPower-Geräte fungieren als SSL-Server. Diese SSL-Verbindung verwendet den "ibmPKIX trustmanager" zur Überprüfung des DataPower-Geräts. Weder die Zertifikatskette noch die Zertifikatswiderrufsliste des DataPower-Geräts wird geprüft. Die Standardkonfiguration führt in diesem Szenario auch keine SSL-Clientvalidierung durch.

[z/OS]Das DataPower-Stammzertifikat, das unter Stammverzeichnis_des_Anwendungsservers/profiles/Profilname/etc/DataPower-root-ca-cert.pem enthalten ist, wird als Teil des Standard-Keystores bereitgestellt. Während der Profilerstellung wird dieses Zertifikat automatisch den dateibasierten Keystores hinzugefügt. Da SAF-Schlüsselringe nicht dateibasiert sind, muss das Zertifikat dem RACF-Keystore manuell hinzugefügt werden.

SSL wird auch für Ereignisse verwendet, die der Anwendungsserver und der DataPower-Gerätemanager von jedem verwalteten DataPower-Gerät empfangen. In diesem Szenario sind der Anwendungsserver und der DataPower-Gerätemanager der SSL-Server und die DataPower-Geräte sind der SSL-Client. Die SSL-Clientvalidierung wird in diesem Szenario außerdem standardmäßig nicht ausgeführt.

Die meisten Anpassungen, die für SSL-Verbindungen in WebSphere Application Server verfügbar sind, können auf die vom DataPower-Gerätemanager verwendeten Verbindungen angewendet werden. Zum Anpassen der SSL-Verbindungen, die für die Kommunikation zwischen dem DataPower-Gerätemanager und den DataPower-Geräten verwendet werden sollen, gilt, dass jede Änderung an der SSL-Verbindung auf dem DataPower-Gerätemanager von einer entsprechenden Änderung auf jedem von ihm verwalteten DataPower-Gerät begleitet werden muss. Der DataPower-Gerätemanager verwendet das Profil DataPowerMgr_sslConfig SSL, um eine Verbindung zu den DataPower-Geräten herzustellen, über die die Gerätebefehle gesendet werden sollen. Sie können dieses Profil ändern, um die SSL-Verbindung zu ändern, die zum Senden von Befehlen an die Geräte verwendet wird. Der DataPower-Gerätemanager verwendet den Endpunkt für ankommende Verbindungen DataPowerMgr_inbound_secure auf dem "Dmgr", um Ereignisse von den von ihm verwalteten Geräten zu empfangen. Sie können das von diesem Endpunkt verwendete Profil ändern, um die SSL-Verbindung zu ändern, die zum Senden von Ereignissen von den verwalteten Geräten verwendet wird.
Tipp: Anweisungen dazu, wie die SSL-Konfiguration für die AMP-XML-Verwaltungsschnittstelle in einem DataPower-Gerät geändert werden kann, finden Sie im Abschnitt über die XML-Verwaltungsschnittstelle und die Erstellung eines angepassten SSL-Proxy-Profils im Handbuch "DataPower appliance WebGUI Guide".

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_dp_ssl
Dateiname:csec_dp_ssl.html