创建安全套接字层配置

安全套接字层 (SSL) 配置包含需要用来控制客户机和服务器 SSL 端点行为的属性。在配置拓扑的入站和出站树上的特定管理范围中,可以创建具有唯一名称的 SSL 配置。本任务说明如何定义 SSL 配置,包括保护质量以及信任和密钥管理器设置。

开始之前

您必须确定需要在哪个范围中定义 SSL 配置,例如单元范围、节点组范围、节点范围、服务器范围、集群范围或端点范围(这些范围是按最不具体范围到最具体范围的顺序进行排列)。例如,在节点范围中定义 SSL 配置时,只有该节点中的那些进程才能装入该 SSL 配置;但是,单元中端点上的任何进程都可以使用单元范围中的 SSL 配置(在拓扑中,单元范围的位置高于节点范围)。

还必须根据新 SSL 配置所影响的进程来确定要与该配置相关联的范围。例如,硬件密码设备的 SSL 配置可能需要仅在特定节点上可用的密钥库,也可能需要 SSL 配置以便连接到特定 SSL 主机和端口。有关更多信息,请参阅安全套接字层配置的动态出站选择

避免故障 避免故障: security.xml 文件是受限的。 因此,如果需要对 security.xml 文件作更改,请验证您的用户标识具有管理员角色权限。如果正在使用具有操作员角色权限的用户标识,那么您可以执行节点同步,但是不会同步您对 security.xml 文件所作的更改。gotcha

关于此任务

在管理控制台中完成下列步骤:

过程

  1. 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置
  2. 根据所配置的进程的不同,在“入站”或“出站”树中选择“SSL 配置”链接。
    • 如果该范围已与某个配置及其别名相关联,就会在括号中注明该 SSL 配置别名和证书别名。
    • 如果未提供括括号内的信息,那么表示该范围没有相关联的配置及其别名。而是,该范围将继承其上方第一个具有相关 SSL 配置别名和证书别名的范围的配置属性。
    由于单元范围在拓扑顶部并表示入站或出站连接的缺省 SSL 配置,所以它必须与 SSL 配置相关联。
  3. 单击 SSL 配置 您可以查看和选择在此范围中配置的任何 SSL 配置。还可以在拓扑中每个更低的范围中查看和选择这些配置。
  4. 单击新建以显示 SSL 配置面板。 直到输入配置名并单击应用后才能选择“其他属性”的链接。
  5. 输入 SSL 配置名。 此字段是必填字段。配置名是 SSL 配置别名。此别名在所选范围中已创建的 SSL 配置别名列表中必须唯一。在其他配置任务中,新的 SSL 配置将使用此别名。
  6. 从下拉列表中选择信任库名。 信任库名引用存放签署者证书的特定信任库,在 SSL 握手期间,这些证书验证远程连接发送的证书是否可信。如果在列表中没有任何信任库,请参阅为预先存在的密钥库文件创建密钥库配置以创建新的信任库。信任库是用于在连接期间建立信任关系的密钥库。
  7. 从下拉列表中选择密钥库名。 密钥库包含个人证书,这些个人证书表示 WebSphere Application Server 在对数据进行加密和签名时使用的签署者标识和专用密钥。
    • 如果更改了密钥库名,请单击获取证书别名以刷新可以从中选择缺省别名的证书列表。WebSphere Application Server 对入站连接使用服务器别名,对出站连接使用客户机别名。
    • 如果在列表中没有任何密钥库,请参阅为预先存在的密钥库文件创建密钥库配置以创建新密钥库。
  8. 选择入站连接的缺省服务器证书别名。 仅当未在其他位置指定 SSL 配置别名并且尚未选择证书别名时,才应选择缺省别名。集中管理的 SSL 配置树可以覆盖缺省别名。有关更多信息,请参阅SSL 配置的中央管理
  9. 选择出站连接的缺省客户机证书别名。 仅当服务器 SSL 配置指定了 SSL 客户机认证时,才应该选择缺省别名。
  10. 查看所标识的 SSL 配置管理范围。 请将此字段中的管理范围设置为与步骤 2 中选择的链接完全相同。如果要更改范围,那么必须单击拓扑树中的另一个链接并转至步骤 3。
  11. 如果您打算配置“其他属性”,请单击应用。否则,请转至步骤 24。
  12. 单击保护质量 (QoP) 设置 QoP 设置定义 SSL 加密强度、签署者完整性和证书真实性。
  13. 根据情况,选择客户机认证设置以建立 SSL 配置,从而接受入站连接并允许客户机发送它们的证书。
    • 如果选择,那么服务器不会请求客户机在握手期间发送证书。
    • 如果选择支持,那么服务器将请求客户机发送证书。但是,即使客户机没有证书,握手也仍可能成功。
    • 如果选择必需,那么服务器将请求客户机发送证书。如果客户机没有证书,握手将失败。
    要点: 为 SSL 配置选择的信任库必须包含代表客户机的签署者证书。缺省情况下,由于同一个单元中的服务器使用公共信任库 trust.p12(此信任库在配置库的单元目录中),所以他们相互信任。但是,如果使用您创建的密钥库和信任库,请先执行交换签署者操作,然后再选择支持必需
  14. 选择 SSL 握手协议。
    • 缺省协议 SSL_TLS 支持客户机协议 TLSv1 和 SSLv3。
    • TLSv1 协议支持 TLS 和 TLSv1。SSL 服务器连接必须支持此协议才能进行握手。
    • SSLv2
    • SSLv3
    • SSLv3 协议支持 SSL 和 SSLv3。SSL 服务器连接必须支持此协议才能进行握手。
    • TLS 为 TLSv1
    • TLSv1
    • SSL_TLSv2 为 SSLv3 以及 TLSv1、TLSv1.1 和 TLSv1.2
    • TLSv1.1
    • TLSv1.2
    要点: 不要对 SSL 服务器连接使用 SSLv2 协议。仅当在客户端有必要使用此协议时才会使用此协议。
  15. 选择下列其中一个选项:
    • 预定义的 Java™ 安全套接字扩展 (JSSE) 提供程序。建议在所有支持 IBMJSSE2 提供程序的平台上使用。通道框架 SSL 通道需要此提供程序。当联邦信息处理标准 (FIPS) 处于启用状态时,将与 IBMJCEFIPS 加密提供程序配合使用 IBMJSSE2。
    • 定制 JSSE 提供程序。在定制提供程序字段中输入提供程序名。
  16. 从下列密码套件组中进行选择:
    • :WebSphere Application Server 可以执行 128 位机密性加密算法并支持完整性签名算法。但是,强密码套件会影响连接的性能。
    • 中等:WebSphere Application Server 可以执行 40 位加密算法并支持完整性签名算法。
    • :WebSphere Application Server 可以支持完整性签名算法,但不执行加密。选择此选项后,通过网络传输的密码和其他敏感信息对于因特网协议 (IP) 侦探器来说是可视的,因此务必谨慎使用。
    • 定制:您可以选择特定的密码。每当您将列示的密码更改为除特定密码套件组以外的密码时,组名就会更改为“定制”。
  17. 单击更新选择的密码以查看每种密码强度的可用密码列表。
  18. 单击确定以返回“新建 SSL 配置”面板。
  19. 单击信任和密钥管理器
  20. 选择用于主 SSL 握手信任决策的缺省信任管理器。
    • 当要求使用证书中的 CRL 分发点或在线证书状态协议 (OCSP) 来检查证书撤销列表 (CRL) 时,请选择 IbmPKIX
    • 当不要求检查 CRL 但需要提高性能时,请选择 IbmX509。在必要时,可以配置定制信任管理器以执行 CRL 检查。
  21. 根据情况,定义定制信任管理器。 可以定义与所选缺省信任管理器配合运行的定制信任管理器。定制信任管理器必须实现 JSSE javax.net.ssl.X509TrustManager 接口,并且可以选择实现 com.ibm.wsspi.ssl.TrustManagerExtendedInfo 接口,以获取特定于产品的信息。
    1. 单击安全性 > SSL 证书和密钥管理 > 管理端点安全性配置 > SSL_configuration > 信任和密钥管理器 > 信任管理器 > 新建
    2. 输入唯一信任管理器名称。
    3. 选择定制选项。
    4. 输入类名。
    5. 单击确定 当返回“信任和密钥管理器”面板时,新的定制信任管理器将显示在其他有序信任管理器字段中。使用列表框来添加和移除定制信任管理器。
  22. 为 SSL 配置选择密钥管理器。 缺省情况下,除非创建了定制密钥管理器,否则 IbmX509 是唯一的密钥管理器。
    要点: 由于密钥管理器负责从密钥库中选择证书别名,所以,如果您选择实现自己的密钥管理器,就可能会影响别名选择行为。定制密钥管理器对 SSL 配置的解释可能与 WebSphere Application Server 密钥管理器 IbmX509 不同。要定义定制密钥管理器,请单击安全性 > 安全通信 > SSL 配置 > SSL_configuration > 信任和密钥管理器 > 密钥管理器 > 新建
  23. 单击确定以保存信任和密钥管理器设置并返回“新建 SSL 配置”面板。
  24. 单击保存以保存新的 SSL 配置。

结果

要点: 在至少配置了一个定制信任管理器并将 com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined 属性设置为 true 后,可以覆盖缺省信任管理器。单击 SSL 配置面板上的定制属性。但是,如果更改了缺省信任管理器,那么所有信任决策都将由定制信任管理器执行,建议您不要在生产环境中这样做。在测试环境中,可以使用虚拟信任管理器以避免进行证书验证。记住,这些环境是不安全的。

下一步做什么

在此发行版本的 WebSphere Application Server 中,可以使用下列其中一种方法将 SSL 配置与协议相关联:

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfiguration
文件名:tsec_sslconfiguration.html