SSL 中的 Web 服务器插件缺省配置
当创建新的 Web 服务器定义时,WebSphere® Application Server 将使 Web 服务器插件与特定节点的“证书管理服务”(CMS) 密钥库相关联。密钥库中包含当前单元的所有签署者以及属于节点的自签名证书或链式证书。即使在启用了安全套接字层 (SSL) 客户机认证的情况下配置插件,该插件也可以安全地与 WebSphere Application Server 通信。
将 Web 服务器定义设置为节点 myhostNode01 上的 webserver1 时,WebSphere Application Server 将创建密钥库配置。密钥库范围限于 webserver1 服务器,因此只有此服务器才能看见该密钥库。其他进程 将不能使用此密钥库定义。
密钥库的缺省密码为 WebAS。可以使用管理控制台或者适当的 AdminTask 命令来更改缺省密钥库密码。而且,只能为每个管理范围创建一个 CMSKeyStore 条目。如果范围 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 已经存在 CMS 密钥库,那么不能再创建另一个 CMSKeyStore 条目。如果该特定节点尚不存在自签名证书,那么 WebSphere Application Server 将使用插件名来创建自签名证书。如果该节点已存在自签名证书,那么缺省情况下会将该证书放入 CMS 密钥库和单元中的所有签署者。
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore"
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider"
location="C:\WASX_e0540.11\AppServer\profiles\AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb"
type="CMSKS" fileBased="true" createStashFileForCMS="true"
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01\nodes
\myhostNode01\servers\webserver1\plugin-key.kdb
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01
\nodes\myhostNode01\servers\webserver1\plugin-key.sth
密钥库的缺省密码为 WebAS。可以使用管理控制台或者适当的 AdminTask 命令来更改缺省密钥库密码。以下样本代码显示了可以用来创建此 CMS 密钥库的 AdminTask 命令。$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
请注意前一示例中的下列特征:- 只能为每个管理范围创建一个 CMSKeyStore 条目。如果范围 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 已经存在 CMS 密钥库,那么不能再创建另一个 CMSKeyStore 条目。
- 密钥库名称的统一资源标识 (URI) 为 /config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb
- 插件位置中的主机名为 myhost.austin.ibm.com。如果该特定节点尚不存在链式证书,那么 WebSphere Application Server 将使用此名称来创建链式证书。如果该节点已存在链式证书,那么缺省情况下会将该证书放入 CMS 密钥库并添加单元中的所有签署者。
当联合了其他节点时,不会将这些节点的签署者自动添加至 CMS 密钥库的每个 Web 服务器。要使 Web 服务器插件能够与新联合的节点通信,必须以手动方式与 CMSKeyStore 密钥库交换签署者。使用管理控制台的密钥库证书管理功能来交换签署者。有关更多信息,请参阅将正确的 SSL 签署者证书添加到插件密钥库。