JMS-Client- und JMS-Ressourcenadapterverbindungen sichern

Es sind zwei Ansätze für die Konfiguration von Secure Sockets Layer (SSL) für Thin Client for JMS mit WebSphere Application Server und Resource Adapter for JMS mit WebSphere Application Server verfügbar. Der globale Konfigurationsansatz betrifft alle eigenständigen abgehenden Verbindungen vom Prozess, und der private Ansatz betrifft nur die Client- bzw. Ressourcenadapterverbindungen vom Prozess.

Informationen zu diesem Vorgang

Thin Client for JMS mit WebSphere Application Server und Resource Adapter for JMS mit WebSphere Application Server verwenden Standard-JSSE (Java™ Secure Socket Extension), das alle unterstützten JREs für die Herstellung von SSL-Verbindungen unterstützen. Informationen zu JSSE finden Sie in der JSSE-Dokumentation.

Der globale Konfigurationsansatz verwendet globale JRE-Eigenschaften und betrifft alle abgehenden SSL-Verbindungen, die von Ihrer Anwendung eingeleitet werden. Für eine JRE, die für die Verbindung von SSL-Verbindungen zu WebSphere Application Server konfiguriert ist, müssen Sie gewöhnlich die folgenden "javax.net.ssl"-Systemeigenschaften definieren:
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs= 
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov

Mit dem privaten Konfigurationsansatz können Sie Sicherheitseinstellungen festlegen, die für Verbindungen über Thin Client for JMS mit WebSphere Application Server bzw. Resource Adapter for JMS mit WebSphere Application Server spezifisch sind. Sie können die Systemeigenschaft "com.ibm.ws.sib.client.ssl.properties" konfigurieren, um die Position einer IBM SSL-Eigenschaftendatei anzugeben. Wenn diese Systemeigenschaft nicht konfiguriert ist, wird versucht, die Eigenschaftendatei stattdessen aus dem Klassenpfad zu laden.

Der Client ruft den Wert, den er für eine bestimmte SSL-Eigenschaft verwendet, wie folgt ab:
  • Wenn für die Eigenschaft in der Eigenschaftendatei mit den IBM SSL-Eigenschaften ein Wert definiert ist, verwendet der Client diesen Wert.
  • Wenn es keinen Wert für die Eigenschaft in der Eigenschaftendatei gibt und eine geeignete Eigenschaft in den zugeordneten JRE-Systemeigenschaften enthalten ist, verwendet der Client diesen Wert.
  • Wenn keine geeignete "javax.net.ssl"-Eigenschaft definiert ist, verwendet der Client den Standardwert.
In der folgenden Tabelle sind die IBM SSL-Eigenschaftsschlüssel, die in der IBM SSL-Eigenschaftendatei konfiguriert werden können, und die entsprechenden "javax.net.ssl.*"-Systemeigenschaftsschlüssel und Standardwerte zusammengefasst.
Tabelle 1. IBM SSL-Eigenschaftswerte und entsprechende globale JRE-Eigenschaften und Standardwerte. In der ersten Spalte der Tabelle werden die IBM SSL-Eigenschaftenschlüssel und in der zweiten Spalte die entsprechenden globalen JRE-Eigenschaftenschlüssel aufgeführt. Die dritte Spalte enthält die Standardwerte für die Eigenschaften.
IBM SSL-Eigenschaft Globale JRE-Eigenschaft Standardwert
com.ibm.ssl.keyStoreType javax.net.ssl.keyStoreType JKS
com.ibm.ssl.keyStore javax.net.ssl.keyStore Ohne
com.ibm.ssl.keyManager javax.net.ssl.keyStoreProvider IbmX509
com.ibm.ssl.trustManager javax.net.ssl.trustStoreProvider IbmX509
com.ibm.ssl.keyStorePassword javax.net.ssl.keyStorePassword Ohne
com.ibm.ssl.protocol Ohne SSL
com.ibm.ssl.contextProvider Ohne IBMJSSE2
com.ibm.ws.sib.jsseProvider Ohne com.ibm.jsse2.IBMJSSEProvider2
com.ibm.ssl.trustStore javax.net.ssl.trustStore Ohne
com.ibm.ssl.trustStoreType javax.net.ssl.trustStoreType JKS
com.ibm.ssl.trustStorePassword javax.net.ssl.trustStorePassword Ohne
Sie können beispielsweise eine Datei "ssl.properties" erstellen, die die folgenden Eigenschaften und Werte enthält:
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS

Sie können das Tool "PropFilePasswordEncoder" im Verzeichnis "bin" von WebSphere Application Server verwenden, um Kennwörter, die in Eigenschaftendateien mit unverschlüsseltem Text gespeichert sind, zu verschlüsseln. Weitere Informationen finden Sie unter Kennwörter in Dateien codieren.

Anmerkungen:
  1. SSL-Verbindungen von SUN-JREs, die den Thin Client for JMS mit WebSphere Application Server verwenden, können die PKCS12-Standard-Keystores und -Truststores von WebSphere Application Server nicht verwenden. Wenn Sie den Client über SUN-JREs sicher ausführen möchten, müssen Sie die Zertifikate zuerst mit einem IBM Software Development Kit (SDK) aus dem Trust-Store extrahieren. Anschließend können Sie diese Zertifikate in einen Keystore importieren, den die Sun-JRE ordnungsgemäß erkennt, z. B. einen JKS-Keystore.
  2. SSL-Verbindungen werden von der IBM JRE, die mit WebSphere Application Server bereitgestellt wird, nicht unterstützt. Es muss eine in WebSphere Application Server installierte JRE verwendet werden.

Vorgehensweise

  1. Ermitteln Sie die erforderlichen Key- und Truststore-Dateien.
  2. Definieren Sie die "javax.net.ssl"-Systemeigenschaften für den globalen Konfigurationsansatz.
  3. Für den privaten Konfigurationsansatz geben Sie, wie im folgenden Beispiel gezeigt, mit der Systemeigenschaft "com.ibm.ws.sib.client.ssl.properties" die Datei an, aus der die SSL-Eigenschaften geladen werden sollen:
    -Dcom.ibm.ws.sib.client.ssl.properties=c:/ssl.properties

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjj_thirdparty_ssl
Dateiname:tjj_thirdparty_ssl.html