SSL 中的动态配置更新

在安全套接字层 (SSL) 运行时期间,动态配置更新会同时影响入站和出站 SSL 端点。对于入站 SSL 端点,由 SSL 通道实现的更改仅受动态更改的影响。对于出站 SSL 端点,所有出站连接都会继承新配置更改。

在此发行版中,动态更新功能为您提供了更大的灵活性和更高的效率。可以更改 SSL 配置,并且更改在不重新启动 WebSphere® Application Server 的情况下也会生效。

要进行动态更改,在管理控制台中单击安全性 > SSL 证书和密钥管理,然后选中当 SSL 配置更改时动态更新运行时复选框。必须保存您所作的更改,然后将 security.xml 文件应用于远程系统。远程系统必须能够确认 security.xml 文件中包含 dynamicallyUpdateSSLConfig=true

SSL 运行时将重新装入经过修改的 SSL 配置,并为与入站端点相关联的已修改连接创建新的 SSLEngine。新的出站连接将使用新配置,而现有连接仍将使用旧的 SSLEngine 对象并且不会受影响。

提示: 请在非高峰时段对 SSL 配置进行动态更改。如果在高峰时段更新 SSL 配置,那么会因存在同步延迟而对连接产生负面影响。
可以通过执行以下操作来打开和关闭 security.xml 文件中的 dynamicallyUpdateSSLConfig 属性,以确保成功地进行更新:
  1. 设置 dynamicallyUpdateSSLConfig=On。
  2. 保存已更新的配置。
  3. security.xml 文件应用于远程系统。
  4. 将 dynamicallyUpdateSSLConfig 属性设置为 Off
在关闭 dynamicallyUpdateSSLConfig 属性之前,必须验证所有节点都已进行了更改。在更新生产环境之前,请在测试环境中测试这些更改。
提示: 如果未先对某些 SSL 更改(尤其是用于管理的 SSL 更改)进行测试,那么可能会导致服务器中断。如果某一更改妨碍了两个端点之间的信任关系,这两个端点之间就无法互相通信。另外,如果管理 SSL 连接更新导致系统中断,那么在使用 Deployment Manager 进行更正之后可能需要禁用节点。可以从命令行中手动使服务器同步以检索新的 SSL 更改,然后重新启动节点。

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ssldynconfigupdates
文件名:csec_ssldynconfigupdates.html