Dynamische Konfigurationsaktualisieren in SSL

Dynamische Konfigurationsaktualisierungen während der SSL-Laufzeit wirken sich auf eingehende und abgehende SSL-Endpunkte aus. Bei eingehenden SSL-Endpunkten können die vom SSL-Kanal implementierten Änderungen nur dynamisch vorgenommen werden. Bei abgehenden SSL-Endpunkten übernehmen alle abgehenden Verbindungen die neuen Konfigurationsänderungen.

Die Funktionalität für dynamische Aktualisierungen in diesem Release zeichnet sich durch mehr Flexibilität und Effizienz aus. Sie können SSL-Konfigurationen ändern, ohne WebSphere Application Server neu starten zu müssen, um die Änderungen in Kraft zu setzen.

Wenn Sie Änderungen dynamisch durchführen möchten, klicken Sie in der Administrationskonsole auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln, und wählen Sie dann das Kontrollkästchen Laufzeitumgebung bei Änderungen in der SSL-Konfiguration dynamisch aktualisieren aus. Sie müssen Ihre Änderungen speichern und dann die Datei security.xml mit fernen Systemen synchronisieren. Ein fernes System muss bestätigen können, dass dynamicallyUpdateSSLConfig=true in der Datei security.xml enthalten ist.

Die SSL-Laufzeit lädt die modifizierte SSL-Konfiguration neu und erstellt eine neue SSLEngine für die modifizierten Verbindungen, die eingehenden Endpunkte zugeordnet sind. Neue abgehende Verbindungen verwenden die neue Konfiguration. Vorhandene Verbindungen nutzen dagegen weiter das alte SSLEngine-Objekt und sind von den Änderungen nicht betroffen.

Tipp: Dynamische Änderungen an der SSL-Konfiguration sollten Sie in Zeiten geringer Systemauslastung durchführen. Verzögerungen durch die Synchronisation können sich negativ auf Verbindungen auswirken, wenn Sie SSL-Konfigurationen in Zeiten hoher Systemauslastung aktualisieren.
Sie können das Attribut dynamicallyUpdateSSLConfig in der Datei security.xml wie folgt aktivieren und dann wieder inaktivieren, um erfolgreiche Aktualisierungen zu gewährleisten:
  1. Setzen Sie dynamicallyUpdateSSLConfig=On.
  2. Speichern Sie die aktualisierte Konfiguration.
  3. Synchronisieren Sie die Datei security.xml mit fernen Systemen.
  4. Setzen Sie das Attribut dynamicallyUpdateSSLConfig auf Off.
Bevor Sie das Attribut dynamicallyUpdateSSLConfig auf off setzen, müssen Sie prüfen, ob alle Knoten die Änderungen empfangen haben. Testen Sie die Änderungen in einer Testumgebung, bevor Sie die Produktionsumgebung aktualisieren.
Tipp: Wenn Sie bestimmte Änderungen, insbesondere administrative SSL-Änderungen, nicht vorab testen, kann es zu Serverausfällen kommen. Verhindert eine Änderung den Aufbau von Vertrauen zwischen zwei Endpunkten, können diese Endpunkte nicht miteinander kommunizieren. Falls administrative Aktualisierungen für SSL-Verbindungen Systemausfälle zur Folge haben, müssen Sie die Knoten möglicherweise inaktivieren, nachdem Sie mit dem Deployment Manager Korrekturen vorgenommen haben. Über die Befehlszeile können Sie die Server manuell synchronisieren, damit diese die neuen SSL-Änderungen empfangen, und dann die Knoten erneut starten.

Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ssldynconfigupdates
Dateiname:csec_ssldynconfigupdates.html