SSL 配置的中央管理
缺省情况下,从管理控制台拓扑视图中的中央位置来管理服务器的安全套接字层 (SSL) 配置。还可以使 SSL 配置和证书别名与特定管理范围相关联。当服务器拓扑发生变化时,这是用来处理和修改配置的最有效方法。
在前发行版中,SSL 配置是对每个进程进行管理的。必须维护拓扑中每个 SSL 配置各自的设置。在本发行版的 WebSphere® Application Server 中,可以更灵活地管理控制 SSL 配置并且提供了更多选项。对于整个拓扑,可以使用单元范围进行粗颗粒度更改,而对于特定应用程序服务器进程,也可以使用特定端点名进行细颗粒度更改。由于 SSL 配置关联清单是可以继承的,因此可以通过只引用最高级别的管理范围(它需要唯一配置)来减少关联数。
拓扑视图提供了范围限定机制。SSL 配置继承其范围,可在拓扑中从其显示看出这一点。范围包含您创建配置所在的级别以及该点的所有后续级别。例如,当您在特定节点创建 SSL 配置时,该 Node Agent 以及作为其父代的每个应用程序服务器都可以看见该配置。任何不是此特定节点一部分的应用程序服务器或节点将看不到此 SSL 配置。
安全性环境会影响如下问题:SSL 配置的唯一性、SSL 配置和证书别名在拓扑中的布置。还可以为入站和出站连接配置不同的证书别名和不同的 SSL 配置。
要配置入站和出站拓扑(必须在管理控制台中分别配置它们),单击
。集中管理的缺省 SSL 配置
虽然在管理控制台的拓扑视图中集中管理 SSL 配置会比较简单,但是,您也可以使用 AdminTasks 中的 wsadmin 脚本编制来管理 SSL 配置。
<sslConfigGroups xmi:id="SSLConfigGroup_1"
name="myhostCell01" direction="inbound" certificateAlias="default"
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01"
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1"
managementScope="ManagementScope_1"/>
<managementScopes xmi:id="ManagementScope_1"
scopeName="(cell):myhostCell01" scopeType="cell"/>
在前面的样本代码,sslConfigGroups 属性引用单元管理范围。对于该示例,如果要使用另一个范围,那么以下列表显示了选择管理范围时的优先顺序,即,从最高优先顺序到最低优先顺序。每次定义端点范围时,它都会使用指定的 SSL 配置和证书别名。
- 端点范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01: (node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX" scopeType="endpoint"/>
- 服务器范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01: (node):myhostNode01:(server):server1" scopeType="server"/>
- 集群范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01: (cluster):myCluster" scopeType="cluster"/>
- 节点范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01: (node):myhostNode01" scopeType="node"/>
- 节点组范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01: (nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
- 单元范围
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01" scopeType="cell"/>