安全套接字层配置的动态出站选择
WebSphere® Application Server 提供了动态出站选择,以允许您为每个出站协议、目标主机、目标端口或者这些属性的任意组合选择特定的“安全套接字层”(SSL) 配置和证书别名。可以为纯客户机或者充当客户机的服务器中的出站连接指定动态选择信息。
在 WebSphere Application Server 的 SSL 运行时启动出站连接之前,该运行时会尝试使出站协议、目标主机和目标端口属性与动态出站选择信息相匹配(动态出站选择信息与 SSL 配置和配置中的证书别名相关联)。
运行时会对缺少的选择和选中的选择进行高速缓存,因此,对性能的影响会降到最低程度。但是,动态出站选择信息量与它对初始连接性能的影响之间还是存在一定关系。
出站管理 SOAP 连接的动态选择信息
缺省动态出站选择配置指定整个单元中所有出站管理 SOAP 连接都使用相同的 SSL 配置和证书别名。
SSL 配置的管理范围为单元级别,因此,单元中的每个进程都知道此配置。当管理 SOAP 客户机建立出站连接时,客户机会为 SSL 运行时提供协议、目标主机和目标端口信息,如以下样本代码中所示:
<dynamicSSLConfigSelections xmi:id="DynamicSSLConfigSelection_1"
name="AdminSSLOutbound" description="Uses the AdminSSL configuration
for all outbound SOAP calls." dynamicSelectionInfo="ADMIN_SOAP,*,*"
certificateAlias="default" sslConfig="SSLConfig_2"
managementScope="ManagementScope_1"/>
当您启用客户机证书认证时,SSL 运行时就会检查配置并确认对于 ADMIN_SOAP 协议满足 certificateAlias="default" 和 sslConfig="SSLConfig_2"。注: 由于主机和端口属性可以是任何值,因此,已配置的目标主机和端口是用 * 字符表示的。
出站连接期间的目标信息
当选择具有指定 connectionInfo 散列映射的 SSL 配置时,仅当出站协议使用 JSSEHelper 应用程序编程接口 (API) 时,动态出站选择配置才有效。此映射图必须包含下列属性:
- com.ibm.ssl.direction
- 出站连接的值为 OUTBOUND。
- com.ibm.ssl.remoteHost
- 格式应该与协议提供的格式相匹配。通常,格式为规范的“域名空间”(DNS),但也可以是 IP 地址。
避免故障: 名称比较将作为一项不区分大小写的比较来执行。在字符串比较期间,将不会执行名称解析处理。gotcha
- com.ibm.ssl.remotePort
- 端口为目标端口。
- com.ibm.ssl.endPointName
- 出站连接的值必须是下列协议字符串之一:
- IIOP
- HTTP
- SIP
- LDAP
- ADMIN_IPC
- ADMIN_SOAP
- BUS_TO_BUS
- BUS_CLIENT
- BUS_TO_WEBSPHERE_MQ
- WEBSPHERE_MQ_CLIENT