运行服务器 W50100x 或更高版本(具有 Java™ Development Kit 1.3 级别 SR20 或更高级别)的 WebSphere® Application Server for z/OS® 客户可以修改其 WebSphere Application Server 系统以将系统授权工具 (SAF) 用于 Java 安全套接字扩展 (JSSE) 以及安全套接字层 (SSL),这样就不再需要在分层文件系统 (HFS) 中保留重复证书。
开始之前
由于以下软件开发包 (SDK) 限制,因此运行在 W502000 之前维护级别的 WebSphere Application Server for z/OS 将数字证书信息存储在两个不同的位置:
- 使用 JSSE 的数字证书存储在分层文件系统文件中
- 使用 SSL 的数字证书信息存储在 SAF 数据库中
缺省情况下,在 W502000 或更高版本上定制的系统使用单个 SAF 数字证书存储库,且不需要进行以下修改。
关于此任务
运行服务器 W50100x 或更高版本(具有 Java
Development Kit 1.3 级别 SR20 或更高级别)的 WebSphere Application Server for z/OS 客户可以修改其 WebSphere Application Server 系统以将 SAF 用于 JSSE 以及 SSL(从而不再需要在 HFS 中保留重复证书)。以下指示信息描述如何启用此支持。
注: 缺省情况下,在 W502000 或更高版本的维护级别定制的系统使用单个 SAF 数字证书存储库,并且这些系统不需要进行以下修改。
要使用具有 JSSE 的 SAF 证书:
过程
- 更新 Java 管理扩展 (JMX) 连接器设置以指示节点的 SAF 密钥环名称。
- 使用具有管理员权限的标识登录管理控制台。
- 单击服务器 > 应用程序服务器 > server_name。
- 在“服务器基础结构”下,单击管理 > 管理服务。
- 在“其他属性”下面,单击 JMX 连接器。
- 在“JMX 连接器”面板上,单击 SOAP 连接器。
- 在“其他属性”下面,单击定制属性。
- 在“定制属性”页面上,单击 sslConfig。
- 在 sslConfig 页面上,查看“值”字段。验证此字段内容是否为
node_name/DefaultSSLSettings,其中 nodename 表示应用程序服务器所在的节点名。为后续步骤记录节点名。
- 从“值”字段旁边的列表选择 node_name/RACFJSSESettings,其中
node_name 与先前记录的节点名相同。
- 单击确定。
将出现“定制属性”页面,该页面有一条消息指示已对您的本地配置进行更改。因为还需要进行其他更改,所以不要单击保存。
- 单击服务器 > 应用程序服务器,然后为单元中的每个其他应用程序服务器重复先前的子步骤。
- 更新 Java 管理扩展 (JMX) 连接器设置以指示 Deployment Manager 节点的 SAF 密钥环名称。
- 单击系统管理 > Deployment Manager。
- 在“其他属性”下,单击管理服务 > JMX 连接器。
- 在“JMX 连接器”面板上,单击 SOAP 连接器。
- 在“其他属性”下,单击定制属性。
- 在“定制属性”页面上,单击 sslConfig。
- 在 sslConfig 页面上,查看“值”字段。此字段显示 dmnode/DefaultSSLSettings,其中 dmnode 表示 Deployment Manager 节点名。为后续步骤记录节点名。
- 从“值”字段旁边的列表选择 dmnode/RACFJSSESettings,其中 dmnode 表示 Deployment Manager 节点名。
- 单击确定。
很快将出现“定制属性”页面,该页面有一条消息,指示已对您的本地配置进行更改。因为还需要进行其他更改,所以此时不要单击保存。
- 更新 Java 管理扩展 (JMX) 连接器设置以指示 Node Agent 的 SAF 密钥环名称。
- 单击系统管理 > Node Agent > Node_name。 为下一步记录 Node Agent 名称。
- 在“其他属性”下,单击管理服务 > JMX 连接器。
- 在“JMX 连接器”面板上,单击 SOAP 连接器。
- 在“其他属性”下,单击定制属性。
- 在“定制属性”页面上,单击 sslConfig。
- 在 sslConfig 页面上,查看“值”字段。此字段显示 nodename/DefaultSSLSettings,其中 nodename 是 Node Agent 所在的节点名。为后续步骤记录节点名。
- 从“值”字段旁边的列表选择 nodename/RACFJSSESettings,其中 nodename 是您先前记录的节点名。
- 单击确定。
将显示“定制属性”页面,该页面中有一条消息指示已对本地配置进行更改。因为还需要进行其他更改,所以此时不要单击保存。
- 单击 系统管理 > Node Agent,然后为单元中的每个其他 Node Agent 服务器重复先前的子步骤。
- 当显示已对您的本地配置进行更改。请单击“保存”以将更改应用到主配置消息时,请单击保存。
- 在“保存”页面上,选择与节点同步更改选项,然后单击保存。 在保存更改后,管理控制台将返回主页。
- 更新 profile_root/properties 目录中的
soap.client.props 文件以指示适合于您的配置的 SAF 密钥环名称。 soap.client.props 文件由 wsadmin.sh 脚本使用,且位于应用程序服务器或 Deployment Manager (user.install.root)/properties 文件中。soap.client.props
文件的用途是指定 SOAP 客户机使用的值(如 wsadmin.sh)。在 WebSphere Application Server for z/OS 维护级别 W502000 前配置的单元中,soap.client.props 文件指示由 JSSE 使用 Java 密钥库的名称。一旦您的单元正在使用 JSSE 管理的 SAF 密钥环,请验证这些 SAF 密钥环是否正在由 SOAP 客户机使用。
soap.client.props 文件由 wsadmin.sh 脚本使用。
更改 wsadmin 客户机 SAF 密钥环需要对
soap.client.props 文件进行更新,还需要创建管理员的密钥环。指定以下值:
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStoreType=JCERACFKS
com.ibm.ssl.keyStore=safkeyring:///yourkeyringName
com.ibm.ssl.keyStorePassword=password
com.ibm.ssl.trustStoreType=JCERACFKS
com.ibm.ssl.trustStore=safkeyring:///yourKeyringName
com.ibm.ssl.trustStorePassword=password
=
因为可以使用任何字符串,所以指定的密码值不表示真实密码。用您的管理 SAF 密钥环替换字符串 yourKeyringName。由所有 WebSphere 管理员和已启动管理任务的用户标识(缺省值为 WSADMSH)使用的密钥环名称必须相同。另外,使用 SAF 密钥环时且启用安全性后,必须为使用具有 SOAP 连接的 wsadmin.sh 文件的每个用户创建一个密钥环。(密钥环由诸如 WSADMIN 的初始管理用户标识的定制过程创建。)
用于
WebSphere Application Server 管理员的 SSL 注意事项中描述了有关如何为 SAF 中的管理用户创建密钥环的信息。
- 重新启动单元。