您可以建立安全 Proxy 設定檔,來作為進入企業環境的起始點。安全 Proxy 伺服器通常是在非管制區 (DMZ) 中,接受網際網路中用戶端發出的要求,然後將要求轉遞給企業環境中的伺服器。
開始之前
使用「設定檔管理工具」之前,請先安裝核心產品檔案。您可以根據您要安裝的核心產品檔案,建立兩個不同的安全 Proxy 設定檔。核心產品檔案可以用於
WebSphere® Application Server, Network Deployment 安裝架構或 DMZ Secure Proxy Server 安裝架構。請閱讀「關於這項作業」中針對不同安裝架構所建立的設定檔。
支援的配置: 「
設定檔管理工具」是
manageprofiles 指令的圖形使用者介面,只有 AIX®、Linux 和 Windows 才支援它。在 HP-UX、IBM® i 和 Solaris 中,請改用
manageprofiles 指令。
sptcfg
您必須提供足夠的系統暫存空間來建立設定檔。如需相關資訊,請閱讀有關設定檔的檔案系統需求的說明。
小心: 啟動「設定檔管理工具」時,在下列狀況中,如果是非 root 使用者,工具可能鎖定:以 root 身分登入機器、利用 SetPermissions 公用程式來將使用者 x 變更為 y。
假設您是使用者 x,且重新登入機器。啟動「設定檔管理工具」,按一下設定檔管理工具,然後按一下建立。按一下建立之後,再按一下,可能會鎖定工具。
關於這項作業
安裝產品的核心產品檔之後,您必須建立設定檔。本程序說明如何利用「設定檔管理工具」提供的圖形使用者介面,來建立安全 Proxy 設定檔。您也可以使用
manageprofiles 指令,來建立安全 Proxy 設定檔。如需相關資訊,請參閱 manageprofiles 指令的說明。
您可以在「設定檔管理工具」中,利用建立一般設定檔程序或建立進階設定檔程序,來建立設定檔。建立一般設定檔程序使用預設值,且會指派唯一埠值。您可以選擇性依所容許來設定各個值。如果是建立進階設定檔程序,您可以接受預設值,或指定您自己的值。
您可以使用這項作業,為 DMZ Secure Proxy Server 建立兩個不同的設定檔。您可以在 WebSphere Application Server, Network Deployment 安裝架構上,建立安全 Proxy 伺服器設定檔。不過,您只能在 WebSphere Application Server, Network Deployment 安裝架構中配置這個設定檔。如果要使用設定檔的安全 Proxy 伺服器,您必須從 WebSphere Application Server, Network Deployment 環境匯出設定檔,然後匯入至 DMZ Secure Proxy Server 安裝架構。請閱讀 AdminTask 物件之 ConfigArchiveOperations
指令群組相關主題中的匯出及匯入安全 Proxy 設定檔。或者,您可以在 DMZ Secure Proxy Server 安裝架構上建立安全 Proxy 伺服器設定檔。在這種情況下,安全 Proxy 伺服器沒有 Web 儲存器,因此無法代管管理主控台。如果要管理這個安全 Proxy 伺服器,必須運用 wsadmin Scripting 指令。
程序
- 啟動設定檔管理工具來建立新的執行時期環境。
您可以利用下列其中一種方式來啟動工具。
- 在安裝結束時,選取用來啟動「設定檔管理工具」的勾選框。
- 直接在命令提示字元下發出指令,來開啟 WebSphere Customization Toolbox;然後開啟「設定檔管理工具」。
- 從「首要步驟」主控台,選取 WebSphere Customization Toolbox 選項;然後開啟「設定檔管理工具」。
利用開始功能表,存取 WebSphere Customization Toolbox;然後開啟「設定檔管理工具」。
使用用來啟動程式的 Linux 作業系統功能表,來啟動 WebSphere Customization Toolbox;然後,開啟「設定檔管理工具」。
- 在「設定檔」標籤上,按一下建立,來建立新的設定檔。
「設定檔」標籤包含已在您的機器上建立的設定檔清單。除非設定檔可以擴增,否則,無法對選取的設定檔執行任何動作。除非您選取的設定檔可以擴增,否則,「擴增」按鈕會變成灰色。
工具會顯示「選取環境」畫面。
- 若為 WebSphere Application Server, Network Deployment 映像檔,請選取安全 Proxy(僅配置用),若為 DMZ 映像檔,請選取安全 Proxy,然後按下一步。
即會顯示「設定檔建立選項」畫面。
- 選取建立一般設定檔或建立進階設定檔,然後按下一步。
建立一般設定檔選項會建立使用預設配置設定的設定檔。當使用建立進階設定檔選項時,您可以指定您自己的設定檔配置值。
- 如果您在這些步驟開頭選取了建立一般設定檔,請移至顯示管理安全的步驟。
- 指定設定檔的名稱及設定檔目錄的目錄路徑,或接受預設值。然後,按下一步。
設定檔命名準則:支援雙位元組字元。設定檔名稱可以是任何唯一名稱,但有下列限制。在命名設定檔時,請勿使用下列任一字元:
- 空格
- 作業系統上的目錄名稱中不支援的特殊字元,例如 *&?
- 斜線 (/) 或 (\)
預設設定檔
您在機器上建立的第一個設定檔會是預設的設定檔。預設設定檔是從產品安裝根目錄下的
bin 目錄中,所發出指令的預設目標。當機器上只有一個設定檔時,每一個指令都只會處理配置中的單一伺服器程序。您可以在建立另一個設定檔時,在建立進階設定檔路徑的「設定檔名稱和位置」畫面上,勾選將這個設定檔設為預設設定檔,將它設為預設設定檔。您也可以在建立設定檔之後,利用 manageprofiles 指令,將另一個設定檔設為預設設定檔。
在多重設定檔環境中定址某個設定檔
當機器上有多個設定檔時,如果指令所套用的設定檔不是預設設定檔,某些指令會要求您指定該設定檔。這些指令會使用 -profileName 參數來識別要處理的設定檔。您可能發現使用每一個設定檔的 bin 目錄中的指令比較容易。
請利用這些指令,來查詢指令 Shell,以判斷發出呼叫的設定檔,並將這些指令定址至發出呼叫的設定檔。
預設設定檔資訊
預設設定檔名稱是
<profile_type><profile_number>:
- <profile_type>
是值 AppSrv、Dmgr、Custom、AdminAgent、JobMgr 或 SecureProxySrv。
- <profile_number> 是用來建立唯一設定檔名稱的序號。
![[AIX]](../images/aixlogo.gif)
預設的設定檔目錄是 app_server_root/profiles,其中 app_server_root 是安裝根目錄。
預設的設定檔目錄是 app_server_root\profiles,其中 app_server_root 是安裝根目錄。
- 在「節點和主機名稱」畫面中,指定唯一節點名稱、伺服器名稱,以及機器的實際主機名稱。按下一步。
表 1. 安全 Proxy 伺服器節點的性質. 這個表格顯示安全 Proxy 伺服器節點的性質。
欄位名稱 |
預設值 |
限制 |
說明 |
節點名稱 |
shortHostName
Node
其中:
- shortHostName 是簡短主機名稱。
- NodeNumber 是從 01 開始的序號。
|
使用安全 Proxy 伺服器的唯一名稱。 |
這是部署管理程式 Cell 內用於管理的名稱。 |
伺服器名稱 |
proxy1
|
指定伺服器的邏輯名稱。在節點中,伺服器名稱必須是唯一的。不過,如果叢集內有多個節點,您可以有相同伺服器名稱的不同伺服器,只要伺服器和節點配對是唯一的即可。 |
這是部署管理程式 Cell 內用於管理的伺服器名稱。 |
主機名稱 |
長格式的網域名稱伺服器 (DNS) 名稱。
|
主機名稱必須透過您的網路才能定址。 |
請使用您機器的真實 DNS 名稱或 IP 位址,以便啟用與您機器之間的通訊。請參閱這份表格之後有關主機名稱的其他資訊。 |
保留名稱:請避免使用保留的資料夾名稱作為欄位值。使用保留的資料夾名稱會導致無法預期的結果。下列詞彙是保留的資料夾名稱:
- 目錄路徑長度:
profiles_directory_path\profile_name 目錄中的字元數必須小於或等於 80 個字元。
- 主機名稱考量:
主機名稱是節點安裝所在之實體機器的網路名稱。主機名稱必須解析成伺服器上的實體網路節點。如果伺服器中有多片網路卡,主機名稱或 IP 位址必須解析成其中一片網路卡。遠端節點利用主機名稱來連接這個節點,並與這個節點通訊。選取網路中其他機器能夠呼叫到的主機名稱很重要。對於此值,請勿使用一般 ID localhost。此外,如果機器的主機名稱使用雙位元組字集 (DBCS) 中的字元,請勿嘗試將 WebSphere Application Server
產品安裝在該機器上。不支援在主機名稱中使用 DBCS 字元。
如果您在同一部電腦上,以唯一 IP 位址來定義同時存在的節點,請在網域名稱伺服器 (DNS) 查閱表中定義每個 IP 位址。獨立式應用程式伺服器的配置檔在使用單一網址的機器上,不提供對多個 IP 位址進行網域名稱解析。
您指定給主機名稱的值,會作為獨立式應用程式伺服器之配置文件中的 hostName 內容值。請使用下列其中一種格式,來指定主機名稱值:
- 完整網域名稱伺服器 (DNS) 主機名稱字串,例如 xmachine.manhattan.ibm.com
- 預設簡短 DNS 主機名稱字串,例如 xmachine
- 數值 IP 位址,例如 127.1.255.3
完整 DNS 主機名稱的優點是明確而靈活。您可以靈活變更主機系統的實際 IP 位址,且不需要變更應用程式伺服器配置。當您利用「動態主機配置通訊協定 (DHCP)」來指派 IP 位址時,如果您打算經常變更 IP 位址,這個主機名稱值就特別有用。此格式的缺點是需倚賴 DNS。如果 DNS 無法使用,連線功能就會受損。
簡短主機名稱也可供動態解析。簡稱格式的附加功能是能夠在本端 hosts 檔案中重新定義,因此即使網路斷線,系統也能夠執行應用程式伺服器。如果要在斷線情況下執行,請在 hosts 檔案中,將簡稱定義成迴圈位址 (127.0.0.1),以便在斷線情況下執行。這個格式的缺點是遠端存取時需倚賴 DNS。如果 DNS 無法使用,連線功能就會受損。
數值 IP 位址的優點是不需透過 DNS 進行名稱解析。遠端節點可以連接您使用數值 IP 位址命名的節點,而不需要有可用的 DNS。此格式的缺點為數值 IP 位址是固定的。
顯示安全 Proxy 設定檔的節點名稱、伺服器名稱和主機名稱之後,工具會顯示「選取安全層次」畫面。
- 請接受預設值,或變更 Proxy 安全層次和通訊協定,然後按下一步。
在建立安全 Proxy 伺服器設定檔之後,您可以選擇性地變更您的安全設定。請閱讀有關調整安全 Proxy 伺服器安全內容的說明。
顯示安全層次選項之後,工具會顯示「管理安全」畫面。
- 您可以選擇性地啟用管理安全,然後按下一步。
在建立設定檔期間,您可以立即啟用管理安全,或之後再從主控台啟用。如果您立即啟用管理安全,請輸入使用者名稱和密碼,以登入管理主控台。
指定安全性質之後,如果您先前已選取建立進階設定檔,工具會顯示「安全憑證」畫面。
- 如果您在這些步驟開頭選取了建立一般設定檔,請移至顯示「設定檔摘要」畫面的步驟。
- 建立預設個人憑證和主要簽章憑證,或從金鑰儲存庫檔中匯入個人憑證和主要簽署憑證,然後按下一步。
您可以同時建立或匯入這兩個憑證,也可以建立其中一個憑證,並匯入另一個憑證。
最佳作法: 當您匯入個人憑證作為預設個人憑證時,請匯入簽章個人憑證的主要憑證。否則,「
設定檔管理工具」會新增個人憑證的簽章者到 trust.p12 檔中。
bprac
如果您匯入預設個人憑證或主要簽署憑證,請針對您匯入的每一個憑證,指定其路徑和密碼,並選取其金鑰儲存庫類型和金鑰儲存庫別名。
- 驗證憑證資訊是正確的,然後按下一步。
如果是建立憑證,可以使用預設值,或是加以修改,來建立新的憑證。依預設,預設個人憑證的有效期為一年,且是由主要簽章憑證簽署。依預設,主要簽章憑證是一個有效期 15 年的自簽憑證。主要簽章憑證的預設金鑰儲存庫密碼為 WebAS。您應該變更密碼。密碼不能包含任何雙位元組字集 (DBCS) 字元,因為某些金鑰儲存庫類型(包括 PKCS12)不支援這些字元。支援的金鑰儲存庫類型取決於 java.security 檔中的提供者。
當您建立或匯入這兩個憑證之一或全部時,所建立的金鑰儲存庫檔有 key.p12、trust.p12、root-key.p12、default-signers.p12、deleted.p12 和 ltpa.jceks。當您建立或匯入憑證時,這些檔案全都有相同的密碼,有可能是預設密碼,或是您指定的密碼。key.p12 檔包含預設個人憑證。trust.p12 檔包含預設主要憑證中的簽章者憑證。root-key.p12 檔包含主要簽署憑證。default-signer.p12 檔包含安裝並執行伺服器之後,新增到任何新金鑰儲存庫檔的簽章者憑證。依預設,預設主要憑證簽章者和 DataPower® 簽章者憑證位於
default-signer.p12 金鑰儲存庫檔中。deleted.p12 金鑰儲存庫檔用來保存 deleteKeyStore 作業所刪除的憑證,以便在必要時可以回復。ltpa.jceks 檔含有伺服器預設的「小型認證機構 (LTPA)」金鑰,可供您環境中的伺服器用來彼此通訊。
所匯入的憑證會新增到 key.p12 檔或 root-key.p12 檔中。
如果您匯入任何憑證,但這些憑證沒有包含您要的資訊,請按上一步,匯入另一個憑證。
如果您先前選取了建立進階設定檔,在顯示「安全憑證」畫面之後,工具會顯示「埠」畫面。
- 驗證安全 Proxy 設定檔內的埠是唯一的或是刻意衝突的,然後按下一步。
解決埠衝突
如果存在下列其中一種狀況,會將埠視為使用中:
- 埠已指派給設定檔,且該設定檔是從現行使用者所執行的安裝架構來建立。
- 埠目前使用中。
當您存取「指派埠值」畫面時,會驗證各個埠。由於在設定檔建立完成後,才會指派埠,「指派埠值」畫面和「設定檔建立完成」畫面之間仍可能發生衝突。
如果您懷疑發生埠衝突,您可以在建立設定檔之後,再調查埠衝突。請檢查下列檔案,判斷建立設定檔期間所用的埠。
![[AIX]](../images/aixlogo.gif)
profile_root/properties/portdef.props 檔
profile_root\properties\portdef.props 檔
這個檔案包含設定埠時所使用的索引鍵和值。如果發現埠衝突,您可以手動重新指派埠。如果要重新指派埠,請利用 ws_ant Script 來執行 updatePorts.ant 檔。
![[Windows]](../images/windows.gif)
如果您是安裝在 Windows 作業系統上,且安裝 ID 有管理群組專用權,工具會顯示 Windows 服務定義畫面。如果您是安裝在支援的 Linux 作業系統上,且執行「設定檔管理工具」的 ID 是 root 使用者,工具會顯示 Linux 服務定義畫面。
![[Windows]](../images/windows.gif)
選擇將安全 Proxy 伺服器當成 Windows 作業系統上的 Windows 服務來執行,還是當成 Linux 作業系統上的 Linux 服務來執行,然後按下一步。 在 Windows 作業系統上,只有當安裝 Windows 服務的 ID 具有管理者群組專用權時,才會顯示 Windows 服務定義畫面。不過,只要安裝者 ID 屬於管理者群組,就可以執行 WASService.exe 指令,來建立 Windows 服務。如需相關資訊,請閱讀有關自動重新啟動伺服器程序的說明。
產品會嘗試啟動由 startServer 指令啟動之安全 Proxy 程序的 Windows 服務。舉例來說,如果將安全 Proxy 伺服器配置成 Windows 服務,並發出 startServer 指令,wasservice 指令就會嘗試啟動所定義的服務。
如果您選擇安裝本端系統服務,就不需要指定您的使用者 ID 或密碼。如果建立指定的服務使用者類型,您必須指定執行這項服務之使用者的使用者 ID 和密碼。使用者必須具備以服務方式登入的權限,服務才能正確地執行。如果使用者沒有以服務方式登入的權限,「設定檔管理」工具會自動新增權限。
如果要執行這項設定檔建立作業,使用者 ID 不能包含空格。除了屬於管理者群組之外,ID 也必須具備以服務方式登入的進階使用者專用權。如果使用者 ID 尚未具備進階使用者專用權,且該使用者 ID 屬於管理者群組,「安裝程式」會授與使用者 ID 進階使用者存取權。
安裝完成之後,您也可以建立其他 Windows 服務,來啟動其他伺服器程序。如需相關資訊,請閱讀有關自動重新啟動伺服器程序的說明。
在刪除設定檔期間,您可以移除在建立設定檔期間新增的 Windows 服務。您也可以利用 wasservice 指令,來移除 Windows 服務。
IPv6 考量
如果服務配置成以本端系統的身分來執行,當使用網際網路通訊協定 6.0 版 (IPv6) 時,建立成以 Windows 服務形式執行的設定檔會無法啟動。請建立使用者特定的環境變數來啟用 IPv6。由於這個環境變數是一個使用者變數,而不是本端系統變數,只有以這個特定使用者身分來執行的 Windows 服務可以存取這個環境變數。依預設,將新的設定檔建立及配置成以 Windows 服務形式執行時,服務會設為以本端系統身分來執行。當安全 Proxy 伺服器的 Windows 服務嘗試執行時,該服務無法存取指定 IPv6 的使用者環境變數,因而會嘗試以 IPv4 啟動。在此情況下,伺服器不會正確地啟動。如果要解決這個問題,當建立設定檔時,請指定安全 Proxy 伺服器程序的 Windows 服務在執行時所使用的身分,與用來定義指定 IPv6 之環境變數的使用者 ID 相同,而不是「本端系統」身分。
![[Windows]](../images/windows.gif)
Windows 服務定義畫面的預設值如下:
- 預設值是以 Windows 服務形式來執行。
- 選取服務程序,以系統帳戶來執行。
- 使用者帳戶是現行使用者名稱。使用者名稱需求即為 Windows
作業系統對使用者 ID 的需求。
- 啟動類型是 automatic。啟動類型的值是 Windows 作業系統強制採用的值。如果您想使用 automatic 以外的啟動類型,可以從功能表中選取另一個可用的選項,或在建立設定檔之後,變更啟動類型。您也可以在建立設定檔之後,移除所建立的服務,之後再以您要的啟動類型來新增它。您可以選擇不在建立設定檔之時建立服務,之後再以您要的啟動類型,選擇性地建立服務。
如果現行作業系統是支援的 Linux 作業系統版本,且現行使用者具備適當的許可權,就會顯示 Linux 服務定義畫面。
產品會嘗試啟動適用於 startServer 指令啟動之應用程式伺服器程序的
Linux 服務。舉例來說,如果將應用程式伺服器配置成 Linux 服務,並發出 startServer 指令,wasservice 指令就會嘗試啟動已定義的服務。
依預設,不會選取產品以 Linux 服務形式來執行。
如果要建立服務,執行「設定檔管理工具」的使用者必須是 root 使用者。如果您以非 root 使用者 ID 來執行「設定檔管理工具」,就不會顯示 Linux 服務定義畫面,且不會建立任何服務。
當您建立 Linux 服務時,您必須指定用來執行服務的使用者名稱。
如果要刪除 Linux 服務,使用者必須是 root 使用者,或具備刪除服務的適當專用權。否則,會建立一份移除 Script,供 root 使用者執行以刪除使用者的服務。
工具會顯示「設定檔建立摘要」畫面。
- 按一下建立,建立安全 Proxy 伺服器設定檔,或按上一步,變更設定檔的性質。
即會顯示「設定檔建立進度」畫面,其中顯示配置指令正在執行。
設定檔建立完成之後,工具會顯示「設定檔建立完成」畫面。
- 如果您建立的安全 Proxy 設定檔是 適用於 IBM WebSphere Application Server 的 DMZ Secure Proxy Server 安裝架構的一部分,您可以選擇性地選取啟動「首要步驟」主控台。按一下完成,結束作業。
您可以利用「首要步驟」主控台來建立其他設定檔,並啟動應用程式伺服器。
如果您建立的安全 Proxy 設定檔是 WebSphere Application Server, Network Deployment 安裝架構的一部分,就不會提供用來啟動「首要步驟」主控台的選項給您。
結果
視您的安裝架構而定,您已在 WebSphere Application Server, Network Deployment 映像檔上建立安全 Proxy 伺服器設定檔,或在 DMZ Secure Proxy Server 安裝架構上建立安全 Proxy 設定檔。
請參閱 manageprofiles 指令的說明,瞭解如何利用指令,而不使用「設定檔管理工具」,來建立設定檔。
下一步
安全 Proxy 伺服器可以接受網際網路中用戶端發出的要求,並將要求轉遞給您企業環境中的伺服器。
在 WebSphere Application Server, Network Deployment 和 DMZ 映像檔上,都可以使用安全 Proxy 設定檔。在 WebSphere Application Server, Network Deployment 映像檔上,無法啟動設定檔。設定檔只能在管理主控台中用於配置。配置設定檔之後,可以匯出它,再匯入至 DMZ 映像檔的安全 Proxy 設定檔中。安全 Proxy 設定檔在 DMZ 映像檔上可以全面運作。