Eine SSL-Konfiguration (Secure Socket Layer) verweist auf viele andere Konfigurationsobjekte.
Die Informationen zu vorhandenen Konfigurationsobjekten helfen Ihnen, gültige Optionen für die neue SSL-Konfiguration auszuwählen, bevor Sie sie erstellen.
Diese Informationen sind auch hilfreich, wenn Sie mit dem Befehl
createSSLConfig des Objekts AdminTask eine SSL-Konfiguration auf Knotenebene erstellen.
Vorbereitende Schritte
Damit diese
Task gestartet werden kann, muss das Tool "wsadmin" aktiv sein.
Weitere Informationen finden Sie im Artikel "wsadmin-Scripting-Client starten".
Fehler vermeiden: Die Datei "security.xml" ist eingeschränkt.
Wenn Sie Änderungen an der Datei "security.xml" vornehmen, müssen Sie deshalb sicherstellen, dass Ihre
Benutzer-ID die Berechtigung der Rolle "Verwaltung" (Administrator) hat.
Wenn Sie eine Benutzer-ID mit der Berechtigung der Rolle "Bedienung" (Operator) haben, können Sie eine
Knotensynchronisation durchführen, aber die an der Datei "security.xml" vorgenommenen Änderungen werden nicht synchronisiert.
gotcha
Informationen zu diesem Vorgang
Um die Informationen in dieser Task effektiv nutzen zu können, müssen Sie sich mit den Anweisungen im Artikel
"SSL-Konfiguration erstellen" vertraut machen.
Führen Sie die folgende Task aus, um eine SSL-Konfiguration auf Knotenebene zu erstellen:
Vorgehensweise
- Listen Sie die vorhandenen Konfigurationsobjekte auf. Führen Sie eine der folgenden Aktionen aus:
- Listen Sie einige der Konfigurationsobjekte auf, die Sie beim Erstellen einer neuen SSL-Konfiguration möglicherweise benötigen.
Sie können beispielsweise anzeigen, welche Verwaltungsbereiche bereits definiert wurden.
Wenn der von Ihnen benötigte noch nicht vorhanden ist, müssen Sie ihn erstellen.
Mit Jacl:
$AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
Mit Jython:
AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Dieser Befehl zeigt einen vorhandenen Zellenbereich und einen vorhandenen Knotenbereich an, den Sie verwenden können.
Wenn Sie einen anderen Bereich erstellen möchten, definieren Sie mit dem Befehl
createManagementScope
des Objekts AdminTask einen anderen. Die gültigen Bereichsparameter sind
cell, nodegroup, node, server, cluster und endpoint. Weitere Informationen zu den Einschränkungen für die Geltungsbereiche
finden Sie im Artikel "Zentrale Verwaltung von SSL-Konfigurationen".
- Listen Sie die Keystores, die in der Konfiguration vorhanden sind, auf (Keystores und Truststores).
Mit Jacl:
$AdminTask listKeyStores -all true
Mit Jython:
AdminTask.listKeyStores('-all true')
Beispielausgabe:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
Der vorherige Beispielbefehl listet nur die Keystores
für den Standardverwaltungsbereich auf, der auch Zellenbereich genannt wird.
Wenn Sie die Keystores für andere Bereiche abrufen möchten, geben Sie, wie im Folgenden gezeigt, den Parameter
scopeName an.
Mit Jacl:
$AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
Mit Jython:
$AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Beispielausgabe:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
- Listen Sie spezielle Trust oder Key Manager auf. Achten Sie darauf, den Objektnamen für die Trust Manager anzuzeigen.
Sie benötigen den Objektnamen für die SSL-Konfiguration, weil Sie mehrere
Trust-Manager-Instanzen angeben können.
Mit Jacl:
$AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
Mit Jython:
AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
Beispielausgabe:
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
- Erstellen Sie die knotenbezogene SSL-Konfiguration im Dialogmodus. Nachdem die erforderlichen Informationen vorliegen, müssen Sie entscheiden, ob diese Objekte ausreichen oder ob neue erstellt werden müssen.
In diesem Beispiel werden die bereits in der Konfiguration vorhandenen Objekte wiederverwendet, und es wird darauf verzichtet, neue Instanzen
in Taskdokumenten zu speichern, die für diese Objekte spezifisch sind.
Mit Jacl:
$AdminTask createSSLConfig -interactive
Mit Jython:
AdminTask.createSSLConfig ('[-interactive]')
Beispielausgabe:
Create a SSL Configuration.
*SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Client Key Alias (clientKeyAlias): default
Server Key Alias (serverKeyAlias): default
SSL Type (type): [JSSE]
Client Authentication (clientAuthentication): [false]
Security Level of the SSL Configuration (securityLevel): [HIGH]
Enabled Ciphers SSL Configuration (enabledCiphers):
JSSE Provider (jsseProvider): [IBMJSSE2]
Client Authentication Support (clientAuthenticationSupported): [false]
SSL Protocol (sslProtocol): [SSL_TLS]
Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
*Trust Store Name (trustStoreName): NodeDefaultTrustStore
Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
*Key Store Name (keyStoreName): NodeDefaultKeyStore
Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Key Manager Name (keyManagerName): IbmX509
Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Create SSL Configuration
F (Finish)
C (Cancel)
Select [F, C]: [F] F
WASX7278I: Befehlszeile wurde generiert: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
(cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default
-trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName
NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName
NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName
IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
- Speichern Sie die Konfigurationsänderungen. Weitere Informationen finden Sie im Artikel
"Konfigurationsänderungen mit wsadmin speichern".
- Synchronisieren Sie den Knoten. Dies gilt nur für eine Network-Deployment-Umgebung.
Weitere Informationen finden Sie im Artikel "Knoten mit dem Tool 'wsadmin' synchronisieren".
Ergebnisse
Der Name des erstellten SSL-Konfigurationsobjekts, z. B.
(cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), erscheint in der Datei
security.xml.
Beispielausgabe für die Datei
security.xml:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE"
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default"
clientAuthentication="false" securityLevel="HIGH" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1"
keyManager="KeyManager_1134610924357"/>
</repertoire>
Nächste Schritte
Nachdem Sie das SSL-Konfigurationsobjekt erstellt haben, können Sie es verwenden.
Es gibt mehrere Möglichkeiten für die Zuordnung von SSL-Konfigurationen zu Protokollen:
- Sie können die SSL-Konfiguration über das Programm im Thread definieren.
- Sie können die SSL-Konfiguration einem Protokoll für abgehende Anforderungen oder einem Zielhost und -port zuordnen.
- Sie können die SSL-Konfiguration direkt mithilfe des Alias zuordnen.
- Sie können die SSL-Konfigurationen zentral verwalten, indem Sie sie SSL-Konfigurationsgruppen oder -zonen
zuordnen, so dass sie basierend auf der Gruppe mit dem Endpunkt verwendet werden.