Mit einem SSL-Konfigurationsrepertoire können Administratoren
eine beliebige Anzahl von SSL-Einstellungen definieren, die für HTTPS- (HyperText Transport
Protocol SSL), IIOPS- (Internet Inter-ORB Protocol SSL) und LDAPS-Verbindungen (Lightweight Directory Access Protocol SSL) verwendet
werden können. Sie können viele dieser SSL-Konfiguration wiederverwenden, indem Sie einfach an mehreren Stellen einen Aliasnamen angeben.
Vorbereitende Schritte
Sie müssen die Administrationskonsole starten.
Informationen zu diesem Vorgang
Mit dem SSL-Konfigurationsrepertoire können Sie eine der hier definierten
SSL-Einstellungen von jeder Position innerhalb der Administrationskonsole, die
SSL-Verbindungen zulässt, auswählen. Das
vereinfacht den SSL-Konfigurationsprozess, da Sie viele dieser SSL-Konfigurationen erneut
verwenden können, indem Sie den Aliasnamen an mehreren Positionen angeben.
Vorgehensweise
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > SSL-Konfiguration, um die Anzeige
"SSL-Konfiguration" zu öffnen.
- Klicken Sie zum Erstellen eines neuen SSL-Alias auf Neue SSL-Konfiguration.
- Geben Sie im Feld Alias den Aliasnamen ein.
- Geben Sie im Feld Name der Schlüsseldatei den SSL-RACF-Schlüsselring an. Alle Repertoires, die von demselben Server (z. B. HTTPS, CSIV2, z/SAS) verwendet
werden, müssen denselben Schlüsselringnamen haben. Wenn die Schlüsselringnamen nicht
identisch sind, wird der HTTPS-Schlüsselringname zum Initialisieren des Servers
verwendet. Wenn Sie den falschen RACF-Schlüsselring angeben, erhält der Server zur Laufzeit eine Fehlernachricht.
Wichtig: z/SAS wird nur zwischen Servern der Version 6.0.x und früheren Versionen unterstützt, die in eine Zelle der Version 6.1 eingebunden wurden.
- Optional: Wählen Sie für das Authentifizierungsprotokoll die Option Clientauthentifizierung aus. Es findet eine Clientauthentifizierung statt, wenn dieses Repertoire für HTTPS ausgewählt ist. Der Wert wird jedoch ignoriert, wenn Sie Common Secure Interoperability
Version 2 (CSIv2) oder z/OS Secure Authentication Services (z/SAS) verwenden.
Klicken Sie zum Aktivieren der Clientauthentifizierung
für CSIv2 auf Sicherheit > Globale Sicherheit. Erweitern Sie unter "Authentifizierung" den Eintrag "RMI/IIOP-Sicherheit", und
klicken Sie auf Eingehende Authentifizierung gemäß CSIv2. Wählen Sie die entsprechende Option für Clientauthentifizierung aus.
Klicken Sie zum Aktivieren der Clientauthentifizierung
für z/SAS auf Sicherheit > Globale Sicherheit. Erweitern Sie unter "Authentifizierung" den Eintrag "RMI/IIOP", und klicken Sie auf
z/SAS-Authentifizierung. Wählen Sie die Option Clientzertifikat aus.
- Wählen Sie im Menü Sicherheitsstufe die Option Stark,
Mittel oder Schwach aus, um die Cipher-Suites-Gruppe anzugeben. Wenn Sie in dieser Anzeige bestimmte Cipher Suites hinzufügen,
haben diese Cipher Suites Vorrang vor der Spezifikation Stark, Mittel oder Schwach.
Wenn
eine Verschlüsselungsliste angegeben ist, wird sie von WebSphere Application Server verwendet.
Ist die
Verschlüsselungsliste leer,
verwendet WebSphere Application Server
die Spezifikation Stark, Mittel, Schwach. In der folgenden Liste sind diese Angaben erläutert:
- Stark
- 128-Bit-Cipher-Suites mit digitaler Signatur.
- Mittel
- 40-Bit-Cipher-Suites mit digitaler Signatur.
- Schwach
- Es wird keine Verschlüsselung durchgeführt, sondern es wird eine digitale Signatur
verwendet.
- Geben Sie das SSL-Zeitlimit für Version 3 im Feld V3-Zeitlimit.
Gibt den Zeitraum an (in Sekunden), in dem das System die Sitzungsschlüssel speichert. Der Bereich ist 0 bis 86400 (1 Tag). Die Standardeinstellung sind 600 Sekunden.
- Wählen Sie die Cipher Suites, die Sie hinzufügen möchten, im Menü Cipher
Suites aus. Standardmäßig ist diese Option nicht definiert, und die
verfügbaren Cipher Suites werden vom Wert der Sicherheitsstufe (Stark,
Mittel oder Schwach) bestimmt. Eine Cipher Suite
ist eine Kombination von Verschlüsselungsalgorithmen, die für eine SSL-Verbindung verwendet werden.
Achtung: Nähere Einzelheiten
finden Sie im Referenzartikel Cipher suites.
- Klicken Sie auf OK, wenn Sie alle Optionen ausgewählt haben.