安全套接字层 (SSL) 配置包含需要用来控制客户机和服务器 SSL 端点行为的属性。在配置拓扑的入站和出站树上的特定管理范围中,可以创建具有唯一名称的 SSL 配置。本任务说明如何定义 SSL 配置,包括保护质量以及信任和密钥管理器设置。
开始之前
您必须确定需要在哪个范围中定义 SSL 配置,例如单元范围、节点组范围、节点范围、服务器范围、集群范围或端点范围(这些范围是按最不具体范围到最具体范围的顺序进行排列)。例如,在节点范围中定义 SSL 配置时,只有该节点中的那些进程才能装入该 SSL 配置;但是,单元中端点上的任何进程都可以使用单元范围中的 SSL 配置(在拓扑中,单元范围的位置高于节点范围)。
还必须根据新 SSL 配置所影响的进程来确定要与该配置相关联的范围。例如,硬件密码设备的
SSL 配置可能需要仅在特定节点上可用的密钥库,也可能需要 SSL 配置以便连接到特定
SSL 主机和端口。有关更多信息,请参阅安全套接字层配置的动态出站选择。
避免故障: security.xml 文件是受限的。
因此,如果需要对 security.xml 文件作更改,请验证您的用户标识具有管理员角色权限。如果正在使用具有操作员角色权限的用户标识,那么您可以执行节点同步,但是不会同步您对 security.xml
文件所作的更改。
gotcha
过程
- 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置。
- 根据所配置的进程的不同,在“入站”或“出站”树中选择“SSL 配置”链接。
- 如果该范围已与某个配置及其别名相关联,就会在括号中注明该 SSL 配置别名和证书别名。
- 如果未提供括括号内的信息,那么表示该范围没有相关联的配置及其别名。而是,该范围将继承其上方第一个具有相关 SSL 配置别名和证书别名的范围的配置属性。
由于单元范围在拓扑顶部并表示入站或出站连接的缺省 SSL 配置,所以它必须与 SSL 配置相关联。
- 单击 SSL 配置。 您可以查看和选择在此范围中配置的任何 SSL 配置。还可以在拓扑中每个更低的范围中查看和选择这些配置。
- 单击新建以显示 SSL 配置面板。 直到输入配置名并单击应用后才能选择“其他属性”的链接。
- 输入 SSL 配置名。 此字段是必填字段。配置名是 SSL 配置别名。此别名在所选范围中已创建的 SSL 配置别名列表中必须唯一。在其他配置任务中,新的 SSL 配置将使用此别名。
- 从下拉列表中选择信任库名。 信任库名引用存放签署者证书的特定信任库,在 SSL 握手期间,这些证书验证远程连接发送的证书是否可信。如果在列表中没有任何信任库,请参阅为预先存在的密钥库文件创建密钥库配置以创建新的信任库。信任库是用于在连接期间建立信任关系的密钥库。
- 从下拉列表中选择密钥库名。 密钥库包含个人证书,这些个人证书表示 WebSphere Application Server 在对数据进行加密和签名时使用的签署者标识和专用密钥。
- 如果更改了密钥库名,请单击获取证书别名以刷新可以从中选择缺省别名的证书列表。WebSphere Application Server 对入站连接使用服务器别名,对出站连接使用客户机别名。
- 如果在列表中没有任何密钥库,请参阅为预先存在的密钥库文件创建密钥库配置以创建新密钥库。
- 选择入站连接的缺省服务器证书别名。 仅当未在其他位置指定 SSL 配置别名并且尚未选择证书别名时,才应选择缺省别名。集中管理的 SSL 配置树可以覆盖缺省别名。有关更多信息,请参阅SSL 配置的中央管理。
- 选择出站连接的缺省客户机证书别名。 仅当服务器 SSL 配置指定了 SSL 客户机认证时,才应该选择缺省别名。
- 查看所标识的 SSL 配置管理范围。 请将此字段中的管理范围设置为与步骤 2 中选择的链接完全相同。如果要更改范围,那么必须单击拓扑树中的另一个链接并转至步骤 3。
- 如果您打算配置“其他属性”,请单击应用。否则,请转至步骤 24。
- 单击保护质量 (QoP) 设置。 QoP 设置定义 SSL 加密强度、签署者完整性和证书真实性。
- 根据情况,选择客户机认证设置以建立 SSL 配置,从而接受入站连接并允许客户机发送它们的证书。
- 如果选择无,那么服务器不会请求客户机在握手期间发送证书。
- 如果选择支持,那么服务器将请求客户机发送证书。但是,即使客户机没有证书,握手也仍可能成功。
- 如果选择必需,那么服务器将请求客户机发送证书。如果客户机没有证书,握手将失败。
要点: 为 SSL 配置选择的信任库必须包含代表客户机的签署者证书。缺省情况下,由于同一个单元中的服务器使用公共信任库
trust.p12(此信任库在配置库的单元目录中),所以他们相互信任。但是,如果使用您创建的密钥库和信任库,请先执行交换签署者操作,然后再选择支持或必需。
- 选择 SSL 握手协议。
- 缺省协议 SSL_TLS 支持客户机协议 TLSv1 和 SSLv3。
- TLSv1 协议支持 TLS 和 TLSv1。SSL 服务器连接必须支持此协议才能进行握手。
- SSLv2
- SSLv3
- SSLv3 协议支持 SSL 和 SSLv3。SSL 服务器连接必须支持此协议才能进行握手。
- TLS 为 TLSv1
- TLSv1
- SSL_TLSv2 为 SSLv3 以及 TLSv1、TLSv1.1 和 TLSv1.2
- TLSv1.1
- TLSv1.2
要点: 不要对 SSL 服务器连接使用 SSLv2 协议。仅当在客户端有必要使用此协议时才会使用此协议。
- 选择下列其中一个选项:
- 预定义的 Java™ 安全套接字扩展 (JSSE) 提供程序。建议在所有支持 IBMJSSE2 提供程序的平台上使用。通道框架 SSL 通道需要此提供程序。当联邦信息处理标准 (FIPS) 处于启用状态时,将与 IBMJCEFIPS 加密提供程序配合使用 IBMJSSE2。
- 定制 JSSE 提供程序。在定制提供程序字段中输入提供程序名。
- 从下列密码套件组中进行选择:
- 强:WebSphere Application Server 可以执行 128 位机密性加密算法并支持完整性签名算法。但是,强密码套件会影响连接的性能。
- 中等:WebSphere Application Server 可以执行 40 位加密算法并支持完整性签名算法。
- 弱:WebSphere Application Server 可以支持完整性签名算法,但不执行加密。选择此选项后,通过网络传输的密码和其他敏感信息对于因特网协议 (IP) 侦探器来说是可视的,因此务必谨慎使用。
- 定制:您可以选择特定的密码。每当您将列示的密码更改为除特定密码套件组以外的密码时,组名就会更改为“定制”。
- 单击更新选择的密码以查看每种密码强度的可用密码列表。
- 单击确定以返回“新建 SSL 配置”面板。
- 单击信任和密钥管理器。
- 选择用于主 SSL 握手信任决策的缺省信任管理器。
- 当要求使用证书中的 CRL 分发点或在线证书状态协议 (OCSP) 来检查证书撤销列表 (CRL) 时,请选择 IbmPKIX。
- 当不要求检查 CRL 但需要提高性能时,请选择 IbmX509。在必要时,可以配置定制信任管理器以执行 CRL 检查。
- 根据情况,定义定制信任管理器。 可以定义与所选缺省信任管理器配合运行的定制信任管理器。定制信任管理器必须实现
JSSE javax.net.ssl.X509TrustManager 接口,并且可以选择实现
com.ibm.wsspi.ssl.TrustManagerExtendedInfo 接口,以获取特定于产品的信息。
- 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > SSL_configuration > 信任和密钥管理器 > 信任管理器 > 新建。
- 输入唯一信任管理器名称。
- 选择定制选项。
- 输入类名。
- 单击确定。
当返回“信任和密钥管理器”面板时,新的定制信任管理器将显示在其他有序信任管理器字段中。使用列表框来添加和移除定制信任管理器。
- 为 SSL 配置选择密钥管理器。 缺省情况下,除非创建了定制密钥管理器,否则 IbmX509 是唯一的密钥管理器。
要点: 由于密钥管理器负责从密钥库中选择证书别名,所以,如果您选择实现自己的密钥管理器,就可能会影响别名选择行为。定制密钥管理器对 SSL 配置的解释可能与 WebSphere Application Server 密钥管理器 IbmX509 不同。要定义定制密钥管理器,请单击安全性 > 安全通信 > SSL 配置 > SSL_configuration >
信任和密钥管理器 > 密钥管理器 > 新建。
- 单击确定以保存信任和密钥管理器设置并返回“新建 SSL 配置”面板。
- 单击保存以保存新的 SSL 配置。
结果
要点: 在至少配置了一个定制信任管理器并将
com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined 属性设置为 true
后,可以覆盖缺省信任管理器。单击 SSL 配置面板上的定制属性。但是,如果更改了缺省信任管理器,那么所有信任决策都将由定制信任管理器执行,建议您不要在生产环境中这样做。在测试环境中,可以使用虚拟信任管理器以避免进行证书验证。记住,这些环境是不安全的。
下一步做什么
在此发行版本的 WebSphere Application Server 中,可以使用下列其中一种方法将 SSL 配置与协议相关联: