使用 DataPower 的安全套接字层通信
基于应用程序服务器和 DataPower® 设备管理器的缺省安装,安全套接字层 (SSL) 通信用于发送命令和接收事件。可以通过定制 SSL 连接来加强 DataPower 设备管理器所使用的缺省 SSL 配置。修改缺省 SSL 配置是可选操作,且只有在缺省配置不能满足您的需求时才需执行。
SSL 用于将命令发送到每个已知的设备管理器。在此方案中,应用程序服务器和 DataPower 设备管理器表现为 SSL 客户机,而 DataPower 设备则充当 SSL 服务器。此 SSL 连接使用 ibmPKIX trustmanager 来对 DataPower 设备执行某些验证。不会对 DataPower 设备的证书链和证书撤销列表进行检查。对于此方案,缺省配置也不会执行任何 SSL 客户机验证。
DataPower 根证书已作为缺省密钥库的一部分提供,它位于 app_server_root/profiles/profile_name/etc/DataPower-root-ca-cert.pem 中。在创建概要文件期间,此证书会自动被添加到基于文件的密钥库。因为
SAF 密钥环不基于文件,所以必须将此证书手动添加到 RACF® 密钥库。
SSL 还用于应用程序服务器和 DataPower 设备管理器从每个受管 DataPower 设备接收到的事件。在此方案中,应用程序服务器和 DataPower 设备管理器是 SSL 服务器,而 DataPower 设备是 SSL 客户机。缺省情况下,此方案也不会执行 SSL 客户机验证。
WebSphere Application Server
中可用于 SSL 连接的大多数定制可以应用于 DataPower 设备管理器使用的连接。要定制用于 DataPower 设备管理器与 DataPower
设备之间通信的 SSL 连接,每次在 DataPower 设备管理器中对
SSL 连接作出更改时,也必须在该管理器管理的每个 DataPower
设备中进行补充更改。DataPower 设备管理器使用 DataPowerMgr_sslConfig SSL 概要文件来连接 DataPower
设备以对这些设备发送命令。可更改此概要文件来改变用于将命令发送到设备的
SSL 连接。DataPower 设备管理器使用 Dmgr 上的
DataPowerMgr_inbound_secure 入站端点来接收来自它管理的设备的事件。可更改此端点使用的概要文件来改变用于从受管设备发送事件的
SSL 连接。
提示: 有关如何修改 DataPower
设备的 AMP XML 管理接口 SSL 配置的指示信息,请参阅『DataPower 设备
WebGUI 指南』一节中有关 XML 管理接口以及如何创建定制 SSL 代理概要文件的信息。