安全套接字层 (SSL) 配置引用了许多其他的配置对象。要帮助您在创建新的
SSL 配置之前为该配置进行有效的选择,请查看有关现有配置对象的信息。当使用 AdminTask
对象的 createSSLConfig 命令来创建限于节点范围的 SSL 配置时,有关现有配置对象的信息同样很有用。
开始之前
开始本任务前,wsadmin 工具必须正在运行。有关更多信息,请参阅“启动 wsadmin 脚本编制客户机”一文。
避免故障: security.xml 文件是受限的。
因此,如果需要对 security.xml 文件作更改,请验证您的用户标识具有管理员角色权限。如果正在使用具有操作员角色权限的用户标识,那么您可以执行节点同步,但是不会同步您对 security.xml
文件所作的更改。
gotcha
关于此任务
为了有效地使用本任务中的信息,请熟悉“创建安全套接字层配置”主题中的指示信息。
请执行以下任务,以在节点作用域上创建安全套接字层(SSL)配置:
过程
- 列示现有配置对象。请执行下列任一种操作:
- 列示在创建新的 SSL 配置时可能需要的某些配置对象。
例如,需要查看已定义哪些管理作用域。如果需要的管理作用域不存在,那么将需要创建。
使用 Jacl:
$AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
使用 Jython:
AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
这会显示可以使用的现有单元作用域和现有节点作用域。如果需要创建另一个作用域,请使用 AdminTask 对象的
createManagementScope 命令来定义。有效作用域参数包括单元、节点组、节点、服务器、集群和端点。请参阅“SSL 配置的集中管理”一文以获取关于作用域局限性的更多信息。
- 列示包括密钥库和信任库的配置中存在的密钥库。
使用 Jacl:
$AdminTask listKeyStores -all true
使用 Jython:
AdminTask.listKeyStores('-all true')
示例输出:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
前面的示例仅列示了缺省管理作用域(又称为单元作用域)的密钥库。要获取其他作用域的密钥库,请指定
scopeName 参数:
使用 Jacl:
$AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
使用 Jython:
$AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
示例输出:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
- 列示特定信任管理器或密钥管理器。请确保显示信任管理器的对象名。将需要 SSL 配置的对象名,因为可以指定多个信任管理器实例。
使用 Jacl:
$AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
使用 Jython:
AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
示例输出:
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
- 请以交互方式创建限于节点范围的 SSL 配置。 在具有需要可从中选择的信息后,我们需要确定这些对象是否足够,或是否需要创建新的对象。目前,将复用配置中已有的内容并将创建新的实例保存至特定于这些对象的任务文档。
使用 Jacl:
$AdminTask createSSLConfig -interactive
使用 Jython:
AdminTask.createSSLConfig ('[-interactive]')
示例输出:
Create a SSL Configuration.
*SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Client Key Alias (clientKeyAlias): default
Server Key Alias (serverKeyAlias): default
SSL Type (type): [JSSE]
Client Authentication (clientAuthentication): [false]
Security Level of the SSL Configuration (securityLevel): [HIGH]
Enabled Ciphers SSL Configuration (enabledCiphers):
JSSE Provider (jsseProvider): [IBMJSSE2]
Client Authentication Support (clientAuthenticationSupported): [false]
SSL Protocol (sslProtocol): [SSL_TLS]
Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
*Trust Store Name (trustStoreName): NodeDefaultTrustStore
Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
*Key Store Name (keyStoreName): NodeDefaultKeyStore
Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Key Manager Name (keyManagerName): IbmX509
Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Create SSL Configuration
F (Finish)
C (Cancel)
Select [F, C]: [F] F
WASX7278I: Generated command line: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
(cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default
-trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName
NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName
NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName
IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
- 保存配置更改。请参阅“使用 wsadmin 保存配置更改”一文,以了解更多信息。
- 仅在 Network Deployment 环境中使节点同步。请参阅“使用 wsadmin 工具同步节点”一文,以了解更多信息。
结果
已创建的 SSL 配置对象的名称(例如,
(cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753))出现在
security.xml 文件中。
示例
security.xml 文件输出:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE"
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default"
clientAuthentication="false" securityLevel="HIGH" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1"
keyManager="KeyManager_1134610924357"/>
</repertoire>
下一步做什么
一旦创建了 SSL 配置对象,下一步就使用此对象。有几种不同的方法可将 SSL 配置与协议相关联,例如:
- 通过编程,对线程设置 SSL 配置。
- 使 SSL 配置与出站协议或目标主机和端口相关联。
- 使用别名直接使 SSL 配置相关联。
- 通过以下方式来集中地管理 SSL 配置:使它们与 SSL 配置组或区域相关联,以便根据端点所在的组来使用这些配置。