[AIX Solaris HP-UX Linux Windows][IBM i]

移轉之後,將 SSL 配置更新至 9.0 版配置定義

當移轉至 9.0 版時,您可以更新 SSL 配置的格式,也可以繼續使用舊版的格式。 如果您發現 SSL 配置現有的管理 Script 有錯誤,請利用這個作業,將您的 SSL 配置手動轉換成 9.0 版格式。

開始之前

支援的配置 支援的配置:

本文討論設定檔配置的移轉。 如果要將應用程式移轉至最新的版本,請使用 WebSphere® Application Server Migration Toolkit。 如需相關資訊,請參閱 WASdev 上的 Migration Toolkit

sptcfg

關於這項作業

[IBM i][AIX Solaris HP-UX Linux Windows]當移轉至 9.0 版時,您可以利用 WASPreUpgrade 指令,將先前安裝之版本的配置儲存到移轉特定的備份目錄中。 當移轉完成時,您可以使用 WASPostUpgrade 指令來擷取已儲存的配置與 WASPostUpgrade Script,以便移轉先前的配置。WASPostUpgrade 指令的 -scriptCompatibility 參數用來指定要維護 6.1 或更新版本的配置定義,或將格式升級至 9.0 版配置定義。 在移轉時,如果您使用預設值,或是 -scriptCompatibility true,就不需要執行這項作業。如果您在移轉期間將 scriptCompatibility 參數設為 false,您可能會發現 SSL 配置的現有管理 Script 無法運作正確。如果發生這個情況,請利用這個作業,將您的 6.1 或更新版本的 SSL 配置定義轉換成 9.0 版。 這個程序會根據現有的配置來建立一個新的 SSL 配置。

請遵循下列步驟,來修改現有的 SSL 配置:
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$install_root/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$install_root/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH" 
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>

程序

  1. 建立一個金鑰儲存庫,以參照舊配置中的金鑰儲存庫屬性。
    1. 在現有的配置中,尋找 keyFileNamekeyFilePasswordkeyFileFormat 屬性。
      keyFileName="${install_root}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
    2. 使用 keyFileNamekeyFilePasswordkeyFileFormat 屬性,來建立新的 KeyStore 物件。以本例來說,請將名稱設為 "DefaultSSLSettings_KeyStore"。
      已淘汰的特性 已淘汰的特性: 使用 Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation 
      ${install_root}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword 
      password -keyStorePasswordVerify password }
      depfeat
      security.xml 檔中產生的配置物件如下:
      <keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerKeyFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
      註: 如果您在配置中指定 cryptoHardware 值,請改用這些值來建立 KeyStore 物件。讓 -keyStoreLocation 參數與 libraryFile 屬性相關聯、讓 -keyStoreType 參數與 tokenType 屬性相關聯,以及讓 -keyStorePassword 參數與 password 屬性相關聯。
      <cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
  2. 建立一個信任儲存庫,以參照現有配置中的信任儲存庫屬性。
    1. 在現有配置中,尋找 trustFileNametrustFilePasswordtrustFileFormat 屬性。
      trustFileName="$install_root/etc/MyServerTrustFile.jks" trustFilePassword="password" 
      trustFileFormat="JKS"
    2. 使用 trustFileNametrustFilePasswordtrustFileFormat 屬性,來建立新的 KeyStore 物件。以本例來說,請將名稱設為 "DefaultSSLSettings_TrustStore"。
      已淘汰的特性 已淘汰的特性: 使用 Jacl:
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation 
      $install_root/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password 
      -keyStorePasswordVerify password }
      depfeat
      security.xml 檔中產生的配置物件如下:
      <keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password" 
      provider="IBMJCE" location="$install_root/etc/MyServerTrustFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
  3. 使用新的金鑰儲存庫與信任儲存庫,來建立新的 SSL 配置。請從現有配置中,併入仍舊有效的任何其他屬性。

    請為已更新的 SSL 配置,提供一個新別名。您無法使用現有配置的相同名稱,來建立 SSL 配置。

    已淘汰的特性 已淘汰的特性: 使用 Jacl:
    $AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
     -keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509 
    -clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL  }
    depfeat

結果

新的 SSL 配置如下:
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers="" 
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2" 
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
註: 如果未指定管理範圍,就會使用預設值。

指出主題類型的圖示 作業主題



時間戳記圖示 前次更新: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_migratesecurity
檔名:txml_migratesecurity.html