Standardkonfiguration von Web Server Plug-ins in SSL
Wenn Sie eine neue Web-Server-Definition erstellen, ordnet WebSphere Application Server das Web Server Plug-in einem CMS-Keystore (Certificate Management Services) für einen bestimmten Knoten zu. Der Keystore enthält alle Unterzeichner für die aktuelle Zelle mit dem selbst signierten oder verketteten Zertifikat, die zu dem Knoten gehört. Das Plug-in kann sicher mit WebSphere Application Server kommunizieren. Dies gilt auch dann, wenn das Plug-in mit aktivierter SSL-Clientauthentifizierung konfiguriert ist.
Wenn Sie die Web-Server-Definition auf dem Knoten myhostNode01 auf webserver1 setzen, erstellt WebSphere Application Server die Keystorekonfiguration. Der Keystore gilt für den Server webserver1 und nur für diesen Server sichtbar. Andere Prozesse können diese Keystoredefinition nicht verwenden.
Das Standardkennwort für den Keystore ist WebAS. Sie können das
Standardkeystorekennwort in der Administrationskonsole oder mit dem entsprechenden
AdminTask-Befehl ändern. Sie können auch für jeden Verwaltungsbereich einen
CMSKeyStore-Eintrag erstellen. Falls es für den Bereich
(Zelle):myhostCell01:(Knoten):myhostNode01:(Server):webserver1 bereits einen CMS-Keystore gibt, können Sie keinen weiteren
CMSKeyStore-Eintrag erstellen. WebSphere Application Server
erstellt ausgehend vom Plug-in-Namen ein selbst signiertes Zertifikat, sofern es für diesen speziellen Knoten noch kein selbst signiertes Zertifikat gibt. Falls bereits ein solches Zertifikat
vorhanden ist, wird es in den
CMS-Keystore gestellt, zu dem standardmäßig alle Unterzeichner der Zelle hinzugefügt werden.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore"
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider"
location="C:\WASX_e0540.11\AppServer\profiles\AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb"
type="CMSKS" fileBased="true" createStashFileForCMS="true"
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01\nodes
\myhostNode01\servers\webserver1\plugin-key.kdb
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01
\nodes\myhostNode01\servers\webserver1\plugin-key.sth
Das Standardkennwort für den Keystore
ist WebAS. Sie können das
Standardkeystorekennwort in der Administrationskonsole oder mit dem entsprechenden
AdminTask-Befehl ändern. Der folgende Beispielcode zeigt den AdminTask-Befehl,
mit dem Sie diesen CMS-Keystore erstellen können. $AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
Beachten Sie die folgenden Hinweise zum obigen Beispiel: - Sie können für jeden Verwaltungsbereich nur einen CMSKeyStore-Eintrag erstellen. Falls es für den Bereich (Zelle):myhostCell01:(Knoten):myhostNode01:(Server):webserver1 bereits einen CMS-Keystore gibt, können Sie keinen weiteren CMSKeyStore-Eintrag erstellen.
- Der URI (Uniform Resource Identifier) für den Keystorenamen lautet /config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb
- Der Hostname an der Plug-in-Position ist myhost.austin.ibm.com. WebSphere Application Server erstellt ausgehend von diesem Namen ein verkettetes Zertifikat, sofern es für diesen speziellen Knoten noch kein verkettetes Zertifikat gibt. Falls bereits ein solches Zertifikat vorhanden ist, wird es in den CMS-Keystore gestellt, zu dem standardmäßig alle Unterzeichner der Zelle hinzugefügt werden.
Wenn weitere Knoten eingebunden werden, werden die Unterzeichner für diese Knoten nicht automatisch zu jedem Web-Server für den CMS-Keystore hinzugefügt. Das Web Server Plug-in kann erst mit einem neu eingebundenen Knoten kommunizieren, nachdem Sie manuell Unterzeichner mit dem von CMSKeystore angegebenen Keystore ausgetauscht haben. Nutzen Sie zum Austauschen von Unterzeichnern die Zertifikatsmanagementfunktion der Administrationskonsole. Weitere Informationen hierzu finden Sie im Artikel Richtige SSL-Unterzeichnerzertifikate dem Plug-in-Keystore hinzufügen.