Wenn Sie eine Migration auf Version 9.0
durchführen, können Sie das Format
für SSL-Konfigurationen aktualisieren oder das Format der früheren Version weiterverwenden. Wenn Probleme mit den vorhandenen
Verwaltungsscripts für SSL-Konfigurationen auftreten, können Sie mit dieser Task Ihre SSL-Konfiguration in das Format
von Version 9.0
konvertieren.
Vorbereitende Schritte
Unterstützte Konfigurationen: Dieser Artikel beschreibt die Migration von Profilkonfigurationen. Wenn Sie Ihre Anwendungen auf die aktuellste Version migrieren möchten, verwenden Sie WebSphere Application Server Migration Toolkit. Weitere Informationen finden Sie unter Migration
Toolkit on WASdev.
sptcfg
Informationen zu diesem Vorgang
![[IBM i]](../images/iseries.gif)
Wenn Sie eine Migration auf Version 9.0
durchführen, können Sie den
Befehl "WASPreUpgrade" verwenden, um die Konfiguration
der zuvor installierten Version in einem migrationsspezifischen Sicherungsverzeichnis zu sichern. Nach Abschluss der
Migration können Sie mit dem Befehl "WASPostUpgrade"
die gesicherte Konfiguration abrufen und mit dem Script WASPostUpgrade
die vorherige Konfiguration migrieren. Mit dem Parameter -scriptCompatibility
des Befehls WASPostUpgrade wird angegeben, ob die Konfigurationsdefinitionen
von Version 6.1 oder höher beibehalten werden sollen oder ob ein Upgrade des Formats auf die Konfigurationsdefinitionen
von Version 9.0
durchgeführt werden soll.
Wenn Sie bei der Migration den Standardwert oder -scriptCompatibility
true verwenden, müssen Sie diese Task nicht ausführen. Wenn Sie den Parameter scriptCompatibility
während der Migration auf false setzen, stellen Sie möglicherweise fest, dass Ihre vorhandenen
Verwaltungsscripts für SSL-Konfigurationen nicht funktionieren. Verwenden Sie in diesem
Fall diese Task, um Ihre SSL-Konfigurationsdefinitionen von Version
6.1 oder höher in Version 9.0
zu konvertieren. Bei diesem Prozess wird eine neue SSL-Konfiguration erstellt, die auf der vorhandenen
Konfiguration basiert.
Führen Sie die folgenden Schritte aus, um die vorhandene SSL-Konfiguration zu ändern:
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$Installationsstammverzeichnis/etc/MyServerKeyFile.jks"
keyFilePassword="Kennwort" keyFileFormat="JKS" trustFileName="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks"
trustFilePassword="Kennwort" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH"
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>
Vorgehensweise
- Erstellen Sie einen Keystore, der auf die Keystore-Attribute in der alten Konfiguration verweist.
- Suchen Sie in der vorhandenen Konfiguration die Attribute keyFileName, keyFilePassword und
keyFileFormat.
keyFileName="${Installationsstammverzeichnis}/etc/MyServerKeyFile.jks" keyFilePassword="Kennwort" keyFileFormat="JKS"
- Verwenden Sie die Attribute keyFileName, keyFilePassword und
keyFileFormat, um ein neues KeyStore-Objekt zu erstellen.
Legen Sie für dieses Beispiel den Namen "DefaultSSLSettings_KeyStore" fest.
Veraltetes Feature: Mit Jacl:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation
${Installationsstammverzeichnis}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword
Kennwort -keyStorePasswordVerify Kennwort }
depfeat
Es wird das folgende
Konfigurationsobjekt in der Datei
security.xml erstellt:
<keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="Kennwort"
provider="IBMJCE" location="$Installationsstammverzeichnis/etc/MyServerKeyFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
Anmerkung: Wenn Sie die
cryptoHardware-Werte in Ihrer Konfiguration angeben, erstellen Sie das KeyStore-Objekt stattdessen mit diesen Werten. Ordnen Sie den Parameter
-keyStoreLocation dem Attribut libraryFile, den Parameter -keyStoreType dem Attribut tokenType
und den Parameter -keyStorePassword dem Attribut password zu.
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
- Erstellen Sie einen Truststore, der auf die Truststore-Attribute aus der vorhandenen Konfiguration verweist.
- Suchen Sie die Attribute trustFileName, trustFilePassword und
trustFileFormat in der vorhandenen Konfiguration.
trustFileName="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks" trustFilePassword="Kennwort" trustFileFormat="JKS"
- Verwenden Sie die Attribute trustFileName, trustFilePassword und
trustFileFormat, um ein neues KeyStore-Objekt zu erstellen. Legen Sie für dieses Beispiel den Namen "DefaultSSLSettings_TrustStore" fest.
Veraltetes Feature: Mit Jacl:
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation
$Installationsstammverzeichnis/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword Kennwort
-keyStorePasswordVerify Kennwort }
depfeat
Es wird das folgende
Konfigurationsobjekt in der Datei
security.xml erstellt:
<keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="Kennwort"
provider="IBMJCE" location="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
- Erstellen Sie eine neue SSL-Konfiguration mit dem neuen Keystore und dem neuen Truststore.
Fügen Sie alle anderen Attribute aus der vorhandenen Konfiguration ein, die noch immer gültig sind.
Verwenden
Sie einen neuen Aliasnamen für Ihre aktualisierte SSL-Konfiguration.
Es ist nicht möglich, eine neue SSL-Konfiguration zu erstellen, die denselben Namen hat wie die vorhandene
Konfiguration.
Veraltetes Feature: Mit Jacl:
$AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
-keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509
-clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL }
depfeat
Ergebnisse
Die neue SSL-Konfiguration lautet:
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2"
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
Anmerkung: Wenn kein Verwaltungsbereich angegeben ist, wird der Standardverwaltungsbereich verwendet.