JMS-Client- und JMS-Ressourcenadapterverbindungen sichern
Es sind zwei Ansätze für die Konfiguration von Secure Sockets Layer (SSL) für Thin Client for JMS mit WebSphere Application Server und Resource Adapter for JMS mit WebSphere Application Server verfügbar. Der globale Konfigurationsansatz betrifft alle eigenständigen abgehenden Verbindungen vom Prozess, und der private Ansatz betrifft nur die Client- bzw. Ressourcenadapterverbindungen vom Prozess.
Informationen zu diesem Vorgang
Thin Client for JMS mit WebSphere Application Server und Resource Adapter for JMS mit WebSphere Application Server verwenden Standard-JSSE (Java™ Secure Socket Extension), das alle unterstützten JREs für die Herstellung von SSL-Verbindungen unterstützen. Informationen zu JSSE finden Sie in der JSSE-Dokumentation.
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs=
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov
Mit dem privaten Konfigurationsansatz können Sie Sicherheitseinstellungen festlegen, die für Verbindungen über Thin Client for JMS mit WebSphere Application Server bzw. Resource Adapter for JMS mit WebSphere Application Server spezifisch sind. Sie können die Systemeigenschaft "com.ibm.ws.sib.client.ssl.properties" konfigurieren, um die Position einer IBM SSL-Eigenschaftendatei anzugeben. Wenn diese Systemeigenschaft nicht konfiguriert ist, wird versucht, die Eigenschaftendatei stattdessen aus dem Klassenpfad zu laden.
- Wenn für die Eigenschaft in der Eigenschaftendatei mit den IBM SSL-Eigenschaften ein Wert definiert ist, verwendet der Client diesen Wert.
- Wenn es keinen Wert für die Eigenschaft in der Eigenschaftendatei gibt und eine geeignete Eigenschaft in den zugeordneten JRE-Systemeigenschaften enthalten ist, verwendet der Client diesen Wert.
- Wenn keine geeignete "javax.net.ssl"-Eigenschaft definiert ist, verwendet der Client den Standardwert.
IBM SSL-Eigenschaft | Globale JRE-Eigenschaft | Standardwert |
---|---|---|
com.ibm.ssl.keyStoreType | javax.net.ssl.keyStoreType | JKS |
com.ibm.ssl.keyStore | javax.net.ssl.keyStore | Ohne |
com.ibm.ssl.keyManager | javax.net.ssl.keyStoreProvider | IbmX509 |
com.ibm.ssl.trustManager | javax.net.ssl.trustStoreProvider | IbmX509 |
com.ibm.ssl.keyStorePassword | javax.net.ssl.keyStorePassword | Ohne |
com.ibm.ssl.protocol | Ohne | SSL |
com.ibm.ssl.contextProvider | Ohne | IBMJSSE2 |
com.ibm.ws.sib.jsseProvider | Ohne | com.ibm.jsse2.IBMJSSEProvider2 |
com.ibm.ssl.trustStore | javax.net.ssl.trustStore | Ohne |
com.ibm.ssl.trustStoreType | javax.net.ssl.trustStoreType | JKS |
com.ibm.ssl.trustStorePassword | javax.net.ssl.trustStorePassword | Ohne |
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS
Sie können das Tool "PropFilePasswordEncoder" im Verzeichnis "bin" von WebSphere Application Server verwenden, um Kennwörter, die in Eigenschaftendateien mit unverschlüsseltem Text gespeichert sind, zu verschlüsseln. Weitere Informationen finden Sie unter Kennwörter in Dateien codieren.
- SSL-Verbindungen von SUN-JREs, die den Thin Client for JMS mit WebSphere Application Server verwenden, können die PKCS12-Standard-Keystores und -Truststores von WebSphere Application Server nicht verwenden. Wenn Sie den Client über SUN-JREs sicher ausführen möchten, müssen Sie die Zertifikate zuerst mit einem IBM Software Development Kit (SDK) aus dem Trust-Store extrahieren. Anschließend können Sie diese Zertifikate in einen Keystore importieren, den die Sun-JRE ordnungsgemäß erkennt, z. B. einen JKS-Keystore.
- SSL-Verbindungen werden von der IBM JRE, die mit WebSphere Application Server bereitgestellt wird, nicht unterstützt. Es muss eine in WebSphere Application Server installierte JRE verwendet werden.