Mit Scripting eine SSL-Konfiguration auf Knotenebene erstellen

Eine SSL-Konfiguration (Secure Socket Layer) verweist auf viele andere Konfigurationsobjekte. Die Informationen zu vorhandenen Konfigurationsobjekten helfen Ihnen, gültige Optionen für die neue SSL-Konfiguration auszuwählen, bevor Sie sie erstellen. Diese Informationen sind auch hilfreich, wenn Sie mit dem Befehl createSSLConfig des Objekts AdminTask eine SSL-Konfiguration auf Knotenebene erstellen.

Vorbereitende Schritte

Damit diese Task gestartet werden kann, muss das Tool "wsadmin" aktiv sein. Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".

Fehler vermeiden Fehler vermeiden: Die Datei "security.xml" ist eingeschränkt. Wenn Sie Änderungen an der Datei "security.xml" vornehmen, müssen Sie deshalb sicherstellen, dass Ihre Benutzer-ID die Berechtigung der Rolle "Verwaltung" (Administrator) hat. Wenn Sie eine Benutzer-ID mit der Berechtigung der Rolle "Bedienung" (Operator) haben, können Sie eine Knotensynchronisation durchführen, aber die an der Datei "security.xml" vorgenommenen Änderungen werden nicht synchronisiert.gotcha

Informationen zu diesem Vorgang

Um die Informationen in dieser Task effektiv nutzen zu können, müssen Sie sich mit den Anweisungen im Artikel "SSL-Konfiguration erstellen" vertraut machen.

Führen Sie die folgende Task aus, um eine SSL-Konfiguration auf Knotenebene zu erstellen:

Vorgehensweise

  1. Listen Sie die vorhandenen Konfigurationsobjekte auf. Führen Sie eine der folgenden Aktionen aus:
    • Listen Sie einige der Konfigurationsobjekte auf, die Sie beim Erstellen einer neuen SSL-Konfiguration möglicherweise benötigen.
      Sie können beispielsweise anzeigen, welche Verwaltungsbereiche bereits definiert wurden. Wenn der von Ihnen benötigte noch nicht vorhanden ist, müssen Sie ihn erstellen.
      • Mit Jacl:

        $AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
      • Mit Jython:
        AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Dieser Befehl zeigt einen vorhandenen Zellenbereich und einen vorhandenen Knotenbereich an, den Sie verwenden können. Wenn Sie einen anderen Bereich erstellen möchten, definieren Sie mit dem Befehl createManagementScope des Objekts AdminTask einen anderen. Die gültigen Bereichsparameter sind cell, nodegroup, node, server, cluster und endpoint. Weitere Informationen zu den Einschränkungen für die Geltungsbereiche finden Sie im Artikel "Zentrale Verwaltung von SSL-Konfigurationen".
    • Listen Sie die Keystores, die in der Konfiguration vorhanden sind, auf (Keystores und Truststores).
      • Mit Jacl:

        $AdminTask listKeyStores -all true
      • Mit Jython:
        AdminTask.listKeyStores('-all true')
      Beispielausgabe:
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      Der vorherige Beispielbefehl listet nur die Keystores für den Standardverwaltungsbereich auf, der auch Zellenbereich genannt wird. Wenn Sie die Keystores für andere Bereiche abrufen möchten, geben Sie, wie im Folgenden gezeigt, den Parameter scopeName an.
      • Mit Jacl:

        $AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
      • Mit Jython:
        $AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Beispielausgabe:
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
      NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
    • Listen Sie spezielle Trust oder Key Manager auf. Achten Sie darauf, den Objektnamen für die Trust Manager anzuzeigen. Sie benötigen den Objektnamen für die SSL-Konfiguration, weil Sie mehrere Trust-Manager-Instanzen angeben können.
      • Mit Jacl:

        $AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
      • Mit Jython:
        AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
      Beispielausgabe:
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
  2. Erstellen Sie die knotenbezogene SSL-Konfiguration im Dialogmodus. Nachdem die erforderlichen Informationen vorliegen, müssen Sie entscheiden, ob diese Objekte ausreichen oder ob neue erstellt werden müssen. In diesem Beispiel werden die bereits in der Konfiguration vorhandenen Objekte wiederverwendet, und es wird darauf verzichtet, neue Instanzen in Taskdokumenten zu speichern, die für diese Objekte spezifisch sind.
    • Mit Jacl:

      $AdminTask createSSLConfig -interactive
    • Mit Jython:
      AdminTask.createSSLConfig ('[-interactive]')
    Beispielausgabe:
    Create a SSL Configuration.
    
    *SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
    Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Client Key Alias (clientKeyAlias): default
    Server Key Alias (serverKeyAlias): default
    SSL Type (type): [JSSE]
    Client Authentication (clientAuthentication): [false]
    Security Level of the SSL Configuration (securityLevel): [HIGH]
    Enabled Ciphers SSL Configuration (enabledCiphers):
    JSSE Provider (jsseProvider): [IBMJSSE2]
    Client Authentication Support (clientAuthenticationSupported): [false]
    SSL Protocol (sslProtocol): [SSL_TLS]
    Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
    *Trust Store Name (trustStoreName): NodeDefaultTrustStore
    Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    *Key Store Name (keyStoreName): NodeDefaultKeyStore
    Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Key Manager Name (keyManagerName): IbmX509
    Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    
    Create SSL Configuration
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Befehlszeile wurde generiert: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
    (cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default 
    -trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName 
    NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName 
    NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName 
    IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
  3. Speichern Sie die Konfigurationsänderungen. Weitere Informationen finden Sie im Artikel "Konfigurationsänderungen mit wsadmin speichern".
  4. Synchronisieren Sie den Knoten. Dies gilt nur für eine Network-Deployment-Umgebung. Weitere Informationen finden Sie im Artikel "Knoten mit dem Tool 'wsadmin' synchronisieren".

Ergebnisse

Der Name des erstellten SSL-Konfigurationsobjekts, z. B. (cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), erscheint in der Datei security.xml.
Beispielausgabe für die Datei security.xml:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE" 
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default" 
clientAuthentication="false" securityLevel="HIGH"  jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" 
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1" 
keyManager="KeyManager_1134610924357"/>
</repertoire>

Nächste Schritte

Nachdem Sie das SSL-Konfigurationsobjekt erstellt haben, können Sie es verwenden. Es gibt mehrere Möglichkeiten für die Zuordnung von SSL-Konfigurationen zu Protokollen:
  • Sie können die SSL-Konfiguration über das Programm im Thread definieren.
  • Sie können die SSL-Konfiguration einem Protokoll für abgehende Anforderungen oder einem Zielhost und -port zuordnen.
  • Sie können die SSL-Konfiguration direkt mithilfe des Alias zuordnen.
  • Sie können die SSL-Konfigurationen zentral verwalten, indem Sie sie SSL-Konfigurationsgruppen oder -zonen zuordnen, so dass sie basierend auf der Gruppe mit dem Endpunkt verwendet werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_sslconfigadmintask
Dateiname:txml_sslconfigadmintask.html