SSL 中的动态配置更新
在安全套接字层 (SSL) 运行时期间,动态配置更新会同时影响入站和出站 SSL 端点。对于入站 SSL 端点,由 SSL 通道实现的更改仅受动态更改的影响。对于出站 SSL 端点,所有出站连接都会继承新配置更改。
在此发行版中,动态更新功能为您提供了更大的灵活性和更高的效率。可以更改 SSL 配置,并且更改在不重新启动 WebSphere® Application Server 的情况下也会生效。
要进行动态更改,在管理控制台中单击当 SSL 配置更改时动态更新运行时复选框。必须保存您所作的更改,然后将 security.xml 文件应用于远程系统。远程系统必须能够确认 security.xml 文件中包含 dynamicallyUpdateSSLConfig=true。
,然后选中SSL 运行时将重新装入经过修改的 SSL 配置,并为与入站端点相关联的已修改连接创建新的 SSLEngine。新的出站连接将使用新配置,而现有连接仍将使用旧的 SSLEngine 对象并且不会受影响。
提示: 请在非高峰时段对 SSL 配置进行动态更改。如果在高峰时段更新 SSL 配置,那么会因存在同步延迟而对连接产生负面影响。
可以通过执行以下操作来打开和关闭 security.xml 文件中的 dynamicallyUpdateSSLConfig 属性,以确保成功地进行更新:
- 设置 dynamicallyUpdateSSLConfig=On。
- 保存已更新的配置。
- 将 security.xml 文件应用于远程系统。
- 将 dynamicallyUpdateSSLConfig 属性设置为 Off。
提示: 如果未先对某些 SSL 更改(尤其是用于管理的 SSL 更改)进行测试,那么可能会导致服务器中断。如果某一更改妨碍了两个端点之间的信任关系,这两个端点之间就无法互相通信。另外,如果管理 SSL 连接更新导致系统中断,那么在使用 Deployment Manager 进行更正之后可能需要禁用节点。可以从命令行中手动使服务器同步以检索新的 SSL 更改,然后重新启动节点。