Kunden von WebSphere Application Server for z/OS,
die den Server W50100x oder höher mit Java™ Development
Kit 1.3 level SR20 oder höher ausführen, können Ihre Systeme von WebSphere Application
Server so ändern, dass System Authorization Facility (SAF) für Java Secure Sockets Extension (JSSE)
und Secure Sockets Layer (SSL) verwendet werden. Auf diese Weise müssen Zertifikate im hierarchischen Dateisystem (HFS, Hierarchical File System) nicht
doppelt verwaltet werden.
Vorbereitende Schritte
In WebSphere Application Server for z/OS
mit Wartungsstufen vor W502000 wurden Informationen zu digitalen Zertifikaten aufgrund der folgenden SDK-Einschränkungen (Software Development
Kit) an zwei verschiedenen Positionen gespeichert:
- JSSE verwendet digitale Zertifikate, die in Dateien im hierarchischen Dateisystem gespeichert sind.
- SSL verwendet Informationen zu digitalen Zertifikate, die in der SAF-Datenbank gespeichert sind.
Systeme, die
auf W502000 oder höher angepasst wurden, verwenden standardmäßig
das SAF-Repository für digitale Zertifikate. Die folgenden Änderungen sind dafür nicht erforderlich.
Informationen zu diesem Vorgang
Kunden von WebSphere Application Server for z/OS,
die den Server W50100x oder höher mit Java Development
Kit 1.3 SR20 oder höher ausführen, können Ihre Systeme von WebSphere Application
Server so ändern, dass SAF für JSSE und SSL verwendet werden (wodurch die Verwaltung doppelter Zertifikate im hierarchischen Dateisystem entfällt).
Die folgenden Anweisungen beschreiben, wie diese Unterstützung aktiviert wird.
Anmerkung: Systeme, die auf W502000 oder höher angepasst wurden,
verwenden standardmäßig das SAF-Repository für digitale Zertifikate. Die folgenden Änderungen sind dafür nicht erforderlich.
Gehen Sie wie folgt vor, wenn Sie SAF-Zertifikate mit JSSE verwenden möchten:
Vorgehensweise
- Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management
Extensions), um die Namen der SAF-Schlüsselringe für den Knoten anzugeben.
- Melden Sie sich mit einer ID mit Administratorberechtigung an der Administrationskonsole an.
- Klicken Sie auf Server > Anwendungsserver > Servername.
- Klicken Sie unter "Serverinfrastruktur" auf Verwaltung >
Verwaltungsservices.
- Klicken Sie unter "Weitere Eigenschaften" auf JMX-Connector.
- Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
- Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
- Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
- Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert"
Knotenname/DefaultSSLSettings angezeigt wird, wobei Knotenname für den Namen des Knotens steht, auf dem
sich der Anwendungsserver befindet.
Notieren Sie den Knotennamen für nachfolgende Schritte.
- Wählen Sie Knotenname/RACFJSSESettings in der Liste neben dem Feld "Wert" aus, wobei
Knotenname für den Namen steht, den Sie zuvor als Knotennamen notiert haben.
- Klicken Sie auf OK. Die Seite "Angepasste Eigenschaften"
erscheint, auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden.
Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
- Klicken Sie auf Server > Anwendungsserver und wiederholen Sie die vorherigen Teilschritte für jeden der anderen Anwendungsserver in der Zelle.
- Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management
Extensions), um die Namen der SAF-Schlüsselringe für den Deployment-Manager-Knoten anzugeben.
- Klicken Sie auf Systemverwaltung > Deployment Manager.
- Klicken Sie unter "Weitere Eigenschaften" auf Verwaltungsservices > JMX-Connector.
- Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
- Klicken Sie unter
"Weitere Eigenschaften" auf Angepasste Eigenschaften.
- Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
- Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert"
DM-Knoten/DefaultSSLSettings angezeigt wird, wobei DM-Knoten für den Namen des Deployment-Manager-Knotens steht.
Notieren Sie den Knotennamen für nachfolgende Schritte.
- Wählen Sie DM-Knoten/RACFJSSESettings in der Liste neben dem Feld "Wert" aus,
wobei DM-Knoten für den Namen des Deployment-Manager-Knotens steht.
- Klicken Sie auf OK. Kurze Zeit später erscheint die Seite "Angepasste Eigenschaften",
auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden.
Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
- Aktualisieren Sie die JMX-Connector-Einstellungen (Java Management
Extensions), um die Namen der SAF-Schlüsselringe für den Node Agent anzugeben.
- Klicken Sie auf
Systemverwaltung > Node
Agents > Knotenname. Notieren Sie den Node-Agent-Namen für den nächsten Schritt.
- Klicken Sie unter "Weitere Eigenschaften" auf Verwaltungsservices > JMX-Connector.
- Klicken Sie in der Anzeige "JMX-Connector" auf SOAPConnector.
- Klicken Sie unter
"Weitere Eigenschaften" auf Angepasste Eigenschaften.
- Klicken Sie auf der Seite "Angepasste Eigenschaften" auf sslConfig.
- Vergewissern Sie sich, dass auf der Seite "sslConfig" im Feld "Wert"
Knotenname/DefaultSSLSettings angezeigt wird, wobei Knotenname für den Namen des Knotens
steht, auf dem sich der Node Agent befindet.
Notieren Sie den Knotennamen für nachfolgende Schritte.
- Wählen Sie Knotenname/RACFJSSESettings in der Liste
neben dem Feld "Wert" aus, wobei Knotenname für den Namen des Knotens steht, den Sie zuvor notiert haben.
- Klicken Sie auf OK. Die Seite "Angepasste Eigenschaften"
erscheint, auf der Sie in einer Nachricht darauf hingewiesen werden, dass Änderungen an der lokalen Konfiguration vorgenommen wurden.
Klicken Sie nicht auf Speichern, weil weitere Änderungen erforderlich sind.
- Klicken Sie auf Systemverwaltung > Node Agents und wiederholen Sie die vorherigen Teilschritte
für jeden der anderen Node-Agent-Server in der Zelle.
- Klicken Sie auf Speichern, wenn die folgende Nachricht erscheint: Es wurden Änderungen an der lokalen
Konfiguration vorgenommen. Klicken Sie auf Speichern, um die Änderungen auf die Masterkonfiguration anzuwenden.
- Wählen Sie auf der Seite "Speichern" die Option
Änderungen mit Knoten synchronisieren aus und klicken Sie auf Speichern. Nachdem
Sie die Änderungen gespeichert haben, wird die Startseite der Administrationskonsole
wieder angezeigt.
- Aktualisieren Sie die Datei soap.client.props im Verzeichnis
Profilstammverzeichnis/properties, um die Namen der SAF-Schlüsselringe für Ihre Konfiguration anzugeben. Die Datei soap.client.props wird vom Script wsadmin.sh verwendet und befindet sich in der Datei
(user.install.root)/properties des Anwendungsservers oder Deployment Manager.
In der Datei soap.client.props werden die Werte angegeben, die von SOAP-Clients wie
wsadmin.sh verwendet werden. In einer Zelle, die mit einer Instanz von
WebSphere Application Server
for z/OS vor Wartungsstufe W502000 konfiguriert wurde,
enthält die Datei soap.client.props
die Namen der von JSSE verwendeten Java-Keystores.
Sobald Ihre Zelle SAF-Schlüsselringe für die JSSE-Verwaltung verwendet, vergewissern Sie sich, dass
SAF-Schlüsselringe für SOAP-Clients verwendet werden.
Die Datei soap.client.props
wird vom Script wsadmin.sh verwendet.
Änderungen an den SAF-Schlüsselringen des wsadmin-Clients
erfordern eine Aktualisierung der Datei
soap.client.props und die Erstellung eines Schlüsselrings für Administratoren.
Geben Sie die folgenden Werte an:
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStoreType=JCERACFKS
com.ibm.ssl.keyStore=safkeyring:///NameIhresSchlüsselrings
com.ibm.ssl.keyStorePassword=Kennwort
com.ibm.ssl.trustStoreType=JCERACFKS
com.ibm.ssl.trustStore=safkeyring:///NameIhresSchlüsselrings
com.ibm.ssl.trustStorePassword=Kennwort
=
Der angegebene Kennwortwert stellt kein echtes Kennwort dar, weil Sie eine
beliebige Zeichenfolge verwenden können.
Ersetzen Sie die Zeichenfolge NameIhresSchlüsselrings durch den SAF-Schlüsselring, den Sie für die
Verwaltung verwenden.
Der Schlüsselringname, der von allen WebSphere-Administratoren und von der
Benutzer-ID mit Administratorberechtigung für gestartete Tasks (standardmäßig
WSADMSH) verwendet wird, muss immer identisch sein.
Außerdem muss ein Schlüsselring für jeden Benutzer erstellt werden, der die Datei
wsadmin.sh mit dem SOAP-Connector verwendet, wenn SAF-Schlüsselringe verwendet werden und die Sicherheit aktiviert ist.
(Ein Schlüsselring wird vom Anpassungsprozess für Ihre anfängliche Benutzer-ID mit Administratorberechtigung, z. B.
WSADMIN, erstellt.)
Wie Schlüsselringe für Benutzer mit Verwaltungsaufgaben
in SAF erstellt werden, wird in den SSL-Hinweisen für Administratoren von
WebSphere Application Server
beschrieben.
- Stoppen Sie die Zelle und starten Sie sie dann erneut.