[AIX Solaris HP-UX Linux Windows][IBM i]

迁移后将 SSL 配置更新为 V9.0 配置定义

迁移到 V9.0 时,可以更新 SSL 配置的格式,也可以继续使用先前版本的格式。如果遇到关于 SSL 配置的现有管理脚本的错误,请使用本任务手动将 SSL 配置转换为 V9.0 格式。

开始之前

支持的配置 支持的配置:

本文是关于概要文件配置迁移。要将应用程序迁移到最新版本,请使用 WebSphere® Application Server Migration Toolkit。有关更多信息,请参阅 WASdev 上的 Migration Toolkit

sptcfg

关于此任务

[IBM i][AIX Solaris HP-UX Linux Windows]迁移到 V9.0 时,可以使用WASPreUpgrade 命令将先前安装版本的配置保存到特定于迁移的备份目录中。迁移完成后,可以使用WASPostUpgrade 命令来检索保存的配置和使用 WASPostUpgrade 脚本来迁移先前的配置。WASPostUpgrade 命令的 -scriptCompatibility 参数用于指定是维护 V6.1 或更高版本的配置定义还是将格式升级为 V9.0 配置定义。如果迁移时使用了缺省值(即,-scriptCompatibility true),那么不需要执行本任务。如果在迁移期间将 scriptCompatibility 参数设置为 false,那么可能会注意到 SSL 配置的现有管理脚本无法正常工作。如果发生这种情况,请使用本任务将 V6.1 或更高版本的 SSL 配置定义转换为 V9.0。此过程会根据现有配置创建新的 SSL 配置。

请遵循下列步骤来修改现有 SSL 配置:
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$install_root/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$install_root/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH" 
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>

过程

  1. 创建一个对旧配置中的密钥库属性进行引用的密钥库。
    1. 在现有配置中,找到 keyFileNamekeyFilePasswordkeyFileFormat 属性。
      keyFileName="${install_root}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
    2. 使用 keyFileNamekeyFilePasswordkeyFileFormat 属性来创建新的密钥库对象。对于本示例,请将名称设置为“DefaultSSLSettings_KeyStore”。
      不推荐使用的功能部件 不推荐使用的功能部件: 使用 Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation 
      ${install_root}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword 
      password -keyStorePasswordVerify password }
      depfeat
      security.xml 文件中生成的配置对象是:
      <keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerKeyFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
      注: 如果在配置中指定 cryptoHardware 值,请改用这些值来创建密钥库对象。将 -keyStoreLocation 参数与 libraryFile 属性相关联、将 -keyStoreType 参数与 tokenType 属性相关联,然后将 -keyStorePassword 参数与 password 属性相关联。
      <cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
  2. 创建一个对现有配置中的信任库属性进行引用的信任库。
    1. 在现有配置中,找到 trustFileNametrustFilePasswordtrustFileFormat 属性。
      trustFileName="$install_root/etc/MyServerTrustFile.jks" trustFilePassword="password" 
      trustFileFormat="JKS"
    2. 使用 trustFileNametrustFilePasswordtrustFileFormat 属性创建新的密钥库对象。对于本示例,请将名称设置为“DefaultSSLSettings_TrustStore”。
      不推荐使用的功能部件 不推荐使用的功能部件: 使用 Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation 
      $install_root/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password 
      -keyStorePasswordVerify password }
      depfeat
      security.xml 文件中生成的配置对象是:
      <keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerTrustFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
  3. 使用新的密钥库和信任库创建新的 SSL 配置。包含现有配置中仍有效的任何其他属性。

    对更新的 SSL 配置使用新别名。不能创建一个名称与现有配置相同的 SSL 配置。

    不推荐使用的功能部件 不推荐使用的功能部件: 使用 Jacl:
    $AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
     -keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509 
    -clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL  }
    depfeat

结果

新的 SSL 配置是:
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers="" 
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2" 
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
注: 如果未指定管理作用域,请使用缺省管理作用域。

指示主题类型的图标 任务主题



时间戳记图标 最近一次更新时间: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_migratesecurity
文件名:txml_migratesecurity.html