Os clientes do WebSphere Application
Server para z/OS
executando o servidor W50100x ou posterior, com o Java™ Development Kit 1.3 nível SR20 ou posterior,
podem modificar seus sistemas WebSphere Application Server para utilizar o SAF (System
Authorization Facility) para JSSE (Java Secure Sockets Extension), assim
como o SSL (Secure Sockets Layer), que elimina a necessidade de manter
certificados duplicados no HFS (Hierarchical File System).
Antes de Iniciar
O WebSphere Application
Server para z/OS executando
nos níveis de manutenção antes do W502000 armazenava informações de certificado digital
em dois locais diferentes por causa das seguintes restrições de SDK (Software Development
Kit):
- O JSSE utilizava os certificados digitais armazenados nos arquivos do sistema
de arquivos hierárquicos
- O SSL utilizava as informações de certificado digital armazenadas no banco
de dados SAF
Os sistemas customizados em W502000 ou mais recente usam o repositório de certificados digitais SAF único, por padrão, e não precisam das seguintes modificações.
Sobre Esta Tarefa
Os clientes do WebSphere Application Server para z/OS
executando o servidor W50100x ou mais recente, com o Java Development
Kit 1.3 nível SR20 ou mais recente, podem modificar seus sistemas WebSphere
Application Server para usar o SAF para JSSE, assim como o SSL (eliminando a
necessidade de manter certificados duplicados no HFS). As instruções a seguir descrevem como ativar esse suporte.
Nota: Os sistemas customizados nos níveis de manutenção no W502000 ou após usam o único repositório de certificado digital (SAF), por padrão, e esses sistemas não precisam das seguintes modificações.
Para
utilizar os certificados do SAF com JSSE:
Procedimento
- Atualize as configurações do conector JMX (Java Management Extensions)
para indicar os nomes de anéis de chaves do SAF para o nó.
- Efetue login no console administrativo utilizando uma identidade com
autoridade de administrador.
- Clique em Servidores > Servidores de aplicativos > server_name.
- Em Infraestrutura do servidor, clique em Administração > Serviços de administração.
- Em Propriedades Adicionais, clique em Conectores JMX.
- No painel Conectores JMX, clique em SOAPConnector.
- Em Propriedades Adicionais, clique em Propriedades Personalizadas.
- Na página Propriedades Customizadas, clique em sslConfig.
- Na página sslConfig, veja o campo Valor. Verifique se
este campo indica node_name/DefaultSSLSettings, em que nodename representa
o nome do nó no qual o servidor de aplicativos reside. Registre o nome do nó para uma etapa subsequente.
- Selecione node_name/RACFJSSESettings da lista
junto ao campo Valor, em que node_name é igual ao nome do nó
registrado anteriormente.
- Clicar em OK. A página Propriedades Customizadas aparece com uma mensagem indicando
que as alterações são feitas na configuração local. Não clique em Salvar porque existem alterações adicionais que são requeridas.
- Clique em Servidores > Servidores de aplicativos e repita as subetapas anteriores
para cada um dos demais servidores de aplicativos na célula.
- Atualize as configurações do conector JMX (Java Management Extensions)
para indicar os nomes de anéis de chaves do SAF para o nó do gerenciador de implementação.
- Clique em Administração do sistema > Gerenciador de implementação.
- Em Propriedades adicionais, clique em Serviços de administração
> Conectores JMX.
- No painel Conectores JMX, clique em SOAPConnector.
- Em Propriedades Adicionais, clique em Personalizar Propriedades.
- Na página Propriedades Customizadas, clique em sslConfig.
- Na página sslConfig, veja o campo Valor. Este campo exibe dmnode/DefaultSSLSettings,
em que dmnode representa o nome do nó do gerenciador de implementação. Registre o nome do nó para uma etapa subsequente.
- Selecione dmnode/RACFJSSESettings da lista próxima ao campo Valor,
em que dmnode representa o nome do nó do Deployment Manager.
- Clicar em OK. Após algum tempo, a página Propriedades customizadas aparece com uma mensagem indicando que mudanças foram feitas na configuração local. Não clique em Salvar neste momento, porque
existem alterações adicionais que são requeridas.
- Atualize as configurações do conector JMX (Java Management Extensions)
para indicar os nomes de anéis de chaves do SAF para o agente do nó.
- Clique em Administração do sistema > Agentes do nó > Node_name. Registre
o nome do agente do nó para a próxima etapa.
- Em Propriedades adicionais, clique em Serviços de administração
> Conectores JMX.
- No painel Conectores JMX, clique em SOAPConnector.
- Em Propriedades Adicionais, clique em Personalizar Propriedades.
- Na página Propriedades Customizadas, clique em sslConfig.
- Na página sslConfig, veja o campo Valor. Esse campo exibe nodename/DefaultSSLSettings,
em que nodename é o nome do nó no qual o agente do nó reside. Registre o nome do nó para uma etapa subsequente.
- Selecione nodename/RACFJSSESettings da lista próxima ao campo Valor,
em que nodename é o nome de nó gravado anteriormente.
- Clicar em OK. A página Propriedades Customizadas é
exibida com uma mensagem indicando que as alterações foram feitas na configuração local. Não clique em Salvar
nesse momento, pois alterações adicionais são requeridas.
- Clique em Administração do sistema > Agentes do nó e repita as
subetapas anteriores para cada um dos demais servidores de agentes do nó na célula.
- Clique em Salvar quando a mensagem Foram feitas alterações em
sua configuração local. Clique em Salvar para aplicar alterações na
configuração principal for exibida.
- Na página Salvar, selecione a opção Sincronizar Alterações com Nós
e clique em Salvar. Quando as alterações forem salvas, o
console administrativo retornará à home page.
- Atualize o arquivo soap.client.props no diretório
profile_root/properties para indicar os nomes do conjunto de chaves
SAF que são apropriados para a sua configuração. O arquivo soap.client.props é utilizado pelo script wsadmin.sh
e está localizado no arquivo (user.install.root)/properties do servidor de aplicativos ou do gerenciador de
implementação.
O propósito do arquivo
soap.client.props é especificar os valores utilizados pelos clientes
SOAP como wsadmin.sh. Em uma célula configurada antes do WebSphere Application
Server para z/OS, nível de
manutenção W502000, o arquivo soap.client.props indica os nomes
dos armazenamentos de chaves Java
utilizados pelo JSSE. Quando a célula estiver utilizando os anéis de chaves do SAF para
a administração do JSSE, verifique se os anéis de chaves do SAF estão sendo utilizados para os clientes SOAP.
O
arquivo soap.client.props é utilizado pelo script wsadmin.sh.
As alterações nos anéis de chaves do SAF do cliente wsadmin requerem atualizações no arquivo
soap.client.props e a
criação de um anel de chaves para administradores. Especifique os seguintes valores:
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStoreType=JCERACFKS
com.ibm.ssl.keyStore=safkeyring:///yourkeyringName
com.ibm.ssl.keyStorePassword=password
com.ibm.ssl.trustStoreType=JCERACFKS
com.ibm.ssl.trustStore=safkeyring:///yourKeyringName
com.ibm.ssl.trustStorePassword=password
=
O valor de senha especificado não representa uma senha real,
pois é possível utilizar qualquer cadeia. Substitua a cadeia yourKeyringName
pelo anel de chaves administrativo do SAF. O nome do anel de chaves utilizado por todos os administradores do WebSphere e
o ID do usuário da tarefa iniciada administrativa (padrão WSADMSH) devem
ser iguais.
Adicionalmente, um anel de chaves deve ser criado
para cada usuário que utiliza o arquivo wsadmin.sh com o conector SOAP ao utilizar
anéis de chaves do SAF e a segurança estiver ativada.
(Um anel de chaves é criado pelo
processo de customização para o ID do usuário administrativo inicial, como WSADMIN.)
Uma descrição
de como criar conjuntos de chaves para usuários administrativos no SAF é descrita
em considerações de SSL para administradores do WebSphere Application
Server.
- Recicle a célula.