在您创建“安全套接字层”(SSL) 配置后,您必须使安全入站或出站管理范围与新配置相关联。您可以中央方式管理关联,以便可以容易地执行会影响拓扑中所有更低级别范围的更改以及与配置相关联的更改。从 WebSphere® Application
Server V6.1 开始,建议的和缺省的配置方法是集中管理的 SSL 配置。
开始之前
通过使配置与最高级别的管理范围(它需要唯一配置)产生关联,可以减少您需要对
SSL 配置建立的关联数。SSL 配置与清单继承行为有关联。由于继承行为,拓扑中更低级别的所有范围都会继承此
SSL 配置。例如,您在单元级别建立的关联会影响节点、服务器、集群和端点。有关更多信息,请参阅
SSL 配置的中央管理。
优先顺序规则确定在特定范围中使用哪个
SSL 配置关联。拓扑中的端点具有最高的优先顺序。如果您在端点建立关联,那么此关联会覆盖您先前在管理范围拓扑中的更高级别下建立的任何关联。
过程
- 单击安全性 > SSL 证书和密钥管理。
- 如果您想对现有 SSL 配置进行动态更改,请选中当 SSL 配置更改时动态地更新运行时复选框。所有出站 SSL 通信都支持动态 SSL 更改。没有将通道框架 SSL 通道用于入站通信的协议(包括对象请求代理 (ORB) 和管理
SOAP 协议)不支持动态更新。有关更多信息,请参阅SSL 中的动态配置更新。
- 单击管理端点安全性配置。
- 选择入站树或出站树。 在完成所选树后,您可以返回到此步骤以对其他树重复以下步骤。
- 单击拓扑树上所选单元、节点、节点组、服务器、集群或端点的链接。 如果范围已具有相关联的 SSL 配置和别名,那么这些对象就显示在作用领域名称之后并用圆括号括起,例如:Node01(NodeDefaultSSLSettings,default)。如果 Deployment Manager
联合了节点,那么节点范围 SSL 配置覆盖拓扑中在它上面的单元范围配置。
- 决定是否要覆盖只读字段中显示的继承值。 只读字段包括管理作用领域名称、方向以及继承的 SSL 配置名称和证书别名。
- 如果您满意这些值,请不要将其覆盖。
- 如果您要覆盖继承值,请选中覆盖继承值复选框。
- 从列表中选择 SSL 配置。
- 单击更新证书别名列表。 证书别名列表来自由新的 SSL 配置所引用的密钥库。
- 如果您要管理 SSL 配置所引用的密钥库中包含的个人证书,请单击管理证书。
- 单击更新证书别名列表以刷新别名列表。
- 选择密钥库中的某个证书别名以表示端点的标识。
- 单击确定以保存更改。
- 单击管理端点安全性配置和信任区域以返回到拓扑树。
- 通过使用本任务中的步骤配置拓扑树的相反方向。 您可以根据需要选择要与 SSL 配置相关联的其他范围。
结果
所选范围中以及拓扑树上该范围之下的范围中每个 SSL 配置都具有相同的
SSL 配置属性。以下 SSL 配置方法覆盖您在树形视图中建立了关联的集中管理配置:
- 在端点直接选择
- 动态出站 SSL 配置关联
- 程序规范
下一步做什么
您可以在任何管理范围配置以下对象:动态出站端点 SSL 配置、密钥库、密钥集、密钥集组、密钥管理器以及信任管理器。与 SSL 配置相同,将自动确定这些对象的范围,以便它们在树中的更高级别下是不可视的,并且在运行时也不会被树中更高级别下的进程装入。