Standardkonfiguration von Web Server Plug-ins in SSL

Wenn Sie eine neue Web-Server-Definition erstellen, ordnet WebSphere Application Server das Web Server Plug-in einem CMS-Keystore (Certificate Management Services) für einen bestimmten Knoten zu. Der Keystore enthält alle Unterzeichner für die aktuelle Zelle mit dem selbst signierten oder verketteten Zertifikat, die zu dem Knoten gehört. Das Plug-in kann sicher mit WebSphere Application Server kommunizieren. Dies gilt auch dann, wenn das Plug-in mit aktivierter SSL-Clientauthentifizierung konfiguriert ist.

Wenn Sie die Web-Server-Definition auf dem Knoten myhostNode01 auf webserver1 setzen, erstellt WebSphere Application Server die Keystorekonfiguration. Der Keystore gilt für den Server webserver1 und nur für diesen Server sichtbar. Andere Prozesse können diese Keystoredefinition nicht verwenden.

[IBM i]Das Standardkennwort für den Keystore ist WebAS. Sie können das Standardkeystorekennwort in der Administrationskonsole oder mit dem entsprechenden AdminTask-Befehl ändern. Sie können auch für jeden Verwaltungsbereich einen CMSKeyStore-Eintrag erstellen. Falls es für den Bereich (Zelle):myhostCell01:(Knoten):myhostNode01:(Server):webserver1 bereits einen CMS-Keystore gibt, können Sie keinen weiteren CMSKeyStore-Eintrag erstellen. WebSphere Application Server erstellt ausgehend vom Plug-in-Namen ein selbst signiertes Zertifikat, sofern es für diesen speziellen Knoten noch kein selbst signiertes Zertifikat gibt. Falls bereits ein solches Zertifikat vorhanden ist, wird es in den CMS-Keystore gestellt, zu dem standardmäßig alle Unterzeichner der Zelle hinzugefügt werden.

[AIX Solaris HP-UX Linux Windows][z/OS]Der folgende Beispielcode aus der Datei security.xml zeigt die Konfigurationseinträge für das Web Server Plug-in.
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider" 
location="C:\WASX_e0540.11\AppServer\profiles\AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb" 
type="CMSKS" fileBased="true" createStashFileForCMS="true" 
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
[AIX Solaris HP-UX Linux Windows][z/OS]Der folgende Beispielcode zeigt, wie der CMS-Keystore und die Stash-Datei in der Datei security.xml generiert werden.
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01\nodes
\myhostNode01\servers\webserver1\plugin-key.kdb
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01
\nodes\myhostNode01\servers\webserver1\plugin-key.sth
Das Standardkennwort für den Keystore ist WebAS. Sie können das Standardkeystorekennwort in der Administrationskonsole oder mit dem entsprechenden AdminTask-Befehl ändern. Der folgende Beispielcode zeigt den AdminTask-Befehl, mit dem Sie diesen CMS-Keystore erstellen können.
$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
Beachten Sie die folgenden Hinweise zum obigen Beispiel:
  • Sie können für jeden Verwaltungsbereich nur einen CMSKeyStore-Eintrag erstellen. Falls es für den Bereich (Zelle):myhostCell01:(Knoten):myhostNode01:(Server):webserver1 bereits einen CMS-Keystore gibt, können Sie keinen weiteren CMSKeyStore-Eintrag erstellen.
  • Der URI (Uniform Resource Identifier) für den Keystorenamen lautet /config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb
  • Der Hostname an der Plug-in-Position ist myhost.austin.ibm.com. WebSphere Application Server erstellt ausgehend von diesem Namen ein verkettetes Zertifikat, sofern es für diesen speziellen Knoten noch kein verkettetes Zertifikat gibt. Falls bereits ein solches Zertifikat vorhanden ist, wird es in den CMS-Keystore gestellt, zu dem standardmäßig alle Unterzeichner der Zelle hinzugefügt werden.

Wenn weitere Knoten eingebunden werden, werden die Unterzeichner für diese Knoten nicht automatisch zu jedem Web-Server für den CMS-Keystore hinzugefügt. Das Web Server Plug-in kann erst mit einem neu eingebundenen Knoten kommunizieren, nachdem Sie manuell Unterzeichner mit dem von CMSKeystore angegebenen Keystore ausgetauscht haben. Nutzen Sie zum Austauschen von Unterzeichnern die Zertifikatsmanagementfunktion der Administrationskonsole. Weitere Informationen hierzu finden Sie im Artikel Richtige SSL-Unterzeichnerzertifikate dem Plug-in-Keystore hinzufügen.


Symbol, das den Typ des Artikels anzeigt. Konzeptartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslwebserverplugconf
Dateiname:csec_sslwebserverplugconf.html