[AIX Solaris HP-UX Linux Windows][IBM i]

Nach der Migration SSL-Konfigurationen auf Konfigurationsdefinitionen von Version 9.0 aktualisieren

Wenn Sie eine Migration auf Version 9.0 durchführen, können Sie das Format für SSL-Konfigurationen aktualisieren oder das Format der früheren Version weiterverwenden. Wenn Probleme mit den vorhandenen Verwaltungsscripts für SSL-Konfigurationen auftreten, können Sie mit dieser Task Ihre SSL-Konfiguration in das Format von Version 9.0 konvertieren.

Vorbereitende Schritte

Unterstützte Konfigurationen Unterstützte Konfigurationen:

Dieser Artikel beschreibt die Migration von Profilkonfigurationen. Wenn Sie Ihre Anwendungen auf die aktuellste Version migrieren möchten, verwenden Sie WebSphere Application Server Migration Toolkit. Weitere Informationen finden Sie unter Migration Toolkit on WASdev.

sptcfg

Informationen zu diesem Vorgang

[IBM i][AIX Solaris HP-UX Linux Windows]Wenn Sie eine Migration auf Version 9.0 durchführen, können Sie den Befehl "WASPreUpgrade" verwenden, um die Konfiguration der zuvor installierten Version in einem migrationsspezifischen Sicherungsverzeichnis zu sichern. Nach Abschluss der Migration können Sie mit dem Befehl "WASPostUpgrade" die gesicherte Konfiguration abrufen und mit dem Script WASPostUpgrade die vorherige Konfiguration migrieren. Mit dem Parameter -scriptCompatibility des Befehls WASPostUpgrade wird angegeben, ob die Konfigurationsdefinitionen von Version 6.1 oder höher beibehalten werden sollen oder ob ein Upgrade des Formats auf die Konfigurationsdefinitionen von Version 9.0 durchgeführt werden soll. Wenn Sie bei der Migration den Standardwert oder -scriptCompatibility true verwenden, müssen Sie diese Task nicht ausführen. Wenn Sie den Parameter scriptCompatibility während der Migration auf false setzen, stellen Sie möglicherweise fest, dass Ihre vorhandenen Verwaltungsscripts für SSL-Konfigurationen nicht funktionieren. Verwenden Sie in diesem Fall diese Task, um Ihre SSL-Konfigurationsdefinitionen von Version 6.1 oder höher in Version 9.0 zu konvertieren. Bei diesem Prozess wird eine neue SSL-Konfiguration erstellt, die auf der vorhandenen Konfiguration basiert.

Führen Sie die folgenden Schritte aus, um die vorhandene SSL-Konfiguration zu ändern:
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$Installationsstammverzeichnis/etc/MyServerKeyFile.jks"
keyFilePassword="Kennwort" keyFileFormat="JKS" trustFileName="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks"
trustFilePassword="Kennwort" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH"
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>

Vorgehensweise

  1. Erstellen Sie einen Keystore, der auf die Keystore-Attribute in der alten Konfiguration verweist.
    1. Suchen Sie in der vorhandenen Konfiguration die Attribute keyFileName, keyFilePassword und keyFileFormat.
      keyFileName="${Installationsstammverzeichnis}/etc/MyServerKeyFile.jks" keyFilePassword="Kennwort" keyFileFormat="JKS"
    2. Verwenden Sie die Attribute keyFileName, keyFilePassword und keyFileFormat, um ein neues KeyStore-Objekt zu erstellen. Legen Sie für dieses Beispiel den Namen "DefaultSSLSettings_KeyStore" fest.
      Veraltetes Feature Veraltetes Feature: Mit Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation 
      ${Installationsstammverzeichnis}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword
      Kennwort -keyStorePasswordVerify Kennwort }
      depfeat
      Es wird das folgende Konfigurationsobjekt in der Datei security.xml erstellt:
      <keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="Kennwort"
      provider="IBMJCE" location="$Installationsstammverzeichnis/etc/MyServerKeyFile.jks" type="JKS" fileBased="true"
      managementScope="ManagementScope_1"/>
      Anmerkung: Wenn Sie die cryptoHardware-Werte in Ihrer Konfiguration angeben, erstellen Sie das KeyStore-Objekt stattdessen mit diesen Werten. Ordnen Sie den Parameter -keyStoreLocation dem Attribut libraryFile, den Parameter -keyStoreType dem Attribut tokenType und den Parameter -keyStorePassword dem Attribut password zu.
      <cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
  2. Erstellen Sie einen Truststore, der auf die Truststore-Attribute aus der vorhandenen Konfiguration verweist.
    1. Suchen Sie die Attribute trustFileName, trustFilePassword und trustFileFormat in der vorhandenen Konfiguration.
      trustFileName="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks" trustFilePassword="Kennwort" trustFileFormat="JKS"
    2. Verwenden Sie die Attribute trustFileName, trustFilePassword und trustFileFormat, um ein neues KeyStore-Objekt zu erstellen. Legen Sie für dieses Beispiel den Namen "DefaultSSLSettings_TrustStore" fest.
      Veraltetes Feature Veraltetes Feature: Mit Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation
      $Installationsstammverzeichnis/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword Kennwort
      -keyStorePasswordVerify Kennwort }
      depfeat
      Es wird das folgende Konfigurationsobjekt in der Datei security.xml erstellt:
      <keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="Kennwort"
      provider="IBMJCE" location="$Installationsstammverzeichnis/etc/MyServerTrustFile.jks" type="JKS" fileBased="true"
      managementScope="ManagementScope_1"/>
  3. Erstellen Sie eine neue SSL-Konfiguration mit dem neuen Keystore und dem neuen Truststore. Fügen Sie alle anderen Attribute aus der vorhandenen Konfiguration ein, die noch immer gültig sind.

    Verwenden Sie einen neuen Aliasnamen für Ihre aktualisierte SSL-Konfiguration. Es ist nicht möglich, eine neue SSL-Konfiguration zu erstellen, die denselben Namen hat wie die vorhandene Konfiguration.

    Veraltetes Feature Veraltetes Feature: Mit Jacl:
    $AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
     -keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509
    -clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL  }
    depfeat

Ergebnisse

Die neue SSL-Konfiguration lautet:
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2"
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
Anmerkung: Wenn kein Verwaltungsbereich angegeben ist, wird der Standardverwaltungsbereich verwendet.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_migratesecurity
Dateiname:txml_migratesecurity.html