可以通过为您的配置添加密钥库、信任库以及选择证书别名来配置传输层安全性 (TLS)。
开始之前
可以配置 TLS V1.0.0.4 或更高版本。
- 您必须使用的是 WebSphere® eXtreme Scale Client V7.1 FP1 或更高版本。
- 要执行这些步骤,必须已给您分配了 Appliance 管理许可权。
- 您必须具有想要添加至 Appliance 配置的密钥库、信任库以及相关联的密码。
- 为了避免浏览器在您从不同的 Appliance 访问用户界面时发出警告,可考虑在密钥库中的证书的公共名 (CN) 中使用通配符。每个 Appliance 对 TLS 配置使用由证书别名指定的同一证书。例如,可以使用 *.mycompany.com 而不使用 myhost.mycompany.com 使证书对于 mycompany 域中的所有主机都有效。
关于此任务
TLS 设置适用于用户界面和数据网格。这些设置适用于集合体中的所有 Appliance。
过程
- 转至“设置”面板。 要管理安全性选项,请通过下列其中一种途径转至“设置”面板:
- 在 WebSphere DataPower® XC10 Appliance 用户界面的菜单栏中,单击 。
- 在欢迎页面中,单击步骤 1:设置 Appliance 部分中的定制设置链接。
- 展开传输层安全性 (TLS)。
- 上载新的密钥库和信任库信息。 上载密钥库或信任库之后,必须更新相关联的密码。如果您使用的是缺省信任库,那么密码为 xc10pass。
- 如果您已上载密钥库,请选择证书别名以供集合体使用。
- 指定传输类型。如果您想要同时支持 TCP/IP 和 TLS 协议,请选择 TLS 受支持。如果您想要求通过 TLS 协议建立连接,请选择需要使用 TLS。
- 要要求客户机发送可信证书以启用通信,请选择启用客户机证书认证。
- 单击提交 TLS 设置以保存对配置所作的更改。
结果
已配置的信任库处于活动状态。集合体必须重新启动才能完成对 TLS 配置所作的更改。
当集合体重新启动时,只能访问用户界面的有限部分。如果您无法访问用户界面的某些部分,请等待一段时间,然后再次提交请求。“任务”面板通过显示成功状态来自动指出某些 TLS 更改的完成。
您可能需要重新启动浏览器,先注销然后重新登录到用户界面,或者根据浏览器提示来信任新的证书。
如果启用客户机认证时用户界面似乎不可用,请验证您是否已将可信的客户机证书导入到浏览器。如果未将可信的客户机证书导入到浏览器,那么您将无法访问用户界面。在您成功登录到用户界面之后,任务将指出成功进行了 TLS 配置。
在任何时候,要下载活动的信任库,请单击下载活动的信任库。如果您正在添加可信的条目以进行客户机认证,那么下载活动的信任库会很有用。下载之后,您可以验证您是否正在更改最新的信任库。如果您正在上载新的信任库,那么在您提交新的设置之后,此信任库将可供下载。已下载的信任库的文件名与上载此信任库时所使用的原始文件名不相同。
下一步做什么
- 如果您正在使用 WebSphere Application
Server 来配置数据网格,并且选择了“需要使用 TLS”,或者您希望 WebSphere Application
Server 使用 TLS,那么还必须启用全局安全性。有关配置全局安全性的更多信息,请参阅全局安全性设置。您还必须将 Appliance 的公用证书添加至 WebSphere Application
Server 信任库。请使用下列其中一个选项:
- 如果您正在使用缺省 Appliance 信任库:运行 Deployment Manager 上的 WAS_HOME/bin 目录中的 addXC10PublicCert.py 脚本,以将 Appliance 的公用证书添加至 WebSphere Application
Server 的缺省信任库。
- 如果您正在使用 Appliance 的定制密钥:附带 -certPath 命令行选项运行 Deployment Manager 上的 WAS_HOME/bin 目录中的 addXC10PublicCert.py 脚本,以将 Appliance 的公用证书插入到 WebSphere Application
Server 的缺省信任库。-certPath 命令行选项的值是公用证书的磁盘位置,与为 Appliance 上的密钥库配置的别名相对应。
如果您为 Appliance 生成新的密钥对,并且您正在使用 HTTP 会话管理,那么不管 TLS 设置如何,您都必须将新的 Appliance 公用证书移到 WebSphere Application
Server 信任库中,以使 WebSphere DataPower XC10 Appliance HTTP 会话管理起作用。
- 您可能想使用专用的认证中心 (CA) 为与您对 TLS 配置选择的证书别名相关联的证书签名。然后,您可以将 CA 证书导入到浏览器,并信任具有由专用 CA 签名的证书的任何集合体且不用提示。使用专用 CA 通常仅适合于在专用内部网上进行访问。