SSL 配置的中央管理

缺省情况下,从管理控制台拓扑视图中的中央位置来管理服务器的安全套接字层 (SSL) 配置。还可以使 SSL 配置和证书别名与特定管理范围相关联。当服务器拓扑发生变化时,这是用来处理和修改配置的最有效方法。

在前发行版中,SSL 配置是对每个进程进行管理的。必须维护拓扑中每个 SSL 配置各自的设置。在本发行版的 WebSphere® Application Server 中,可以更灵活地管理控制 SSL 配置并且提供了更多选项。对于整个拓扑,可以使用单元范围进行粗颗粒度更改,而对于特定应用程序服务器进程,也可以使用特定端点名进行细颗粒度更改。由于 SSL 配置关联清单是可以继承的,因此可以通过只引用最高级别的管理范围(它需要唯一配置)来减少关联数。

拓扑视图提供了范围限定机制。SSL 配置继承其范围,可在拓扑中从其显示看出这一点。范围包含您创建配置所在的级别以及该点的所有后续级别。例如,当您在特定节点创建 SSL 配置时,该 Node Agent 以及作为其父代的每个应用程序服务器都可以看见该配置。任何不是此特定节点一部分的应用程序服务器或节点将看不到此 SSL 配置。

安全性环境会影响如下问题:SSL 配置的唯一性、SSL 配置和证书别名在拓扑中的布置。还可以为入站和出站连接配置不同的证书别名和不同的 SSL 配置。

要配置入站和出站拓扑(必须在管理控制台中分别配置它们),单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > 入站 | 出站

集中管理的缺省 SSL 配置

虽然在管理控制台的拓扑视图中集中管理 SSL 配置会比较简单,但是,您也可以使用 AdminTasks 中的 wsadmin 脚本编制来管理 SSL 配置。

可使用 security.xml 文件的配置元素来管理 SSL 配置关联。sslConfigGroup 配置对象是用来使连接方向和管理范围与特定 SSL 配置和证书别名相关联的一种机制。缺省 sslConfigGroups 单元属性预定义了限于 单元范围的入站和出站配置,单元中的每个端点都可以继承这些配置。因为当您选择 SSL 配置时有关优先顺序的规则会指导您进行操作,所以在使用 wsadmin 脚本编制来修改配置之前请参阅使用安全套接字层 (SSL) 进行安全通信
<sslConfigGroups xmi:id="SSLConfigGroup_1" 
name="myhostCell01" direction="inbound" certificateAlias="default" 
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01" 
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1" 
scopeName="(cell):myhostCell01" scopeType="cell"/>

在前面的样本代码,sslConfigGroups 属性引用单元管理范围。对于该示例,如果要使用另一个范围,那么以下列表显示了选择管理范围时的优先顺序,即,从最高优先顺序到最低优先顺序。每次定义端点范围时,它都会使用指定的 SSL 配置和证书别名。

端点范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX" 
scopeType="endpoint"/>
服务器范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1" scopeType="server"/>
集群范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(cluster):myCluster" scopeType="cluster"/>
节点范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01" scopeType="node"/>
节点组范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
单元范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01"
scopeType="cell"/>

指示主题类型的图标 概念主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcentralmanconfigs
文件名:csec_sslcentralmanconfigs.html