配置傳輸層安全 (TLS)

透過修改或取代金鑰儲存庫及信任儲存庫,並選擇適用於配置的憑證別名,可以配置「傳輸層安全 (TLS)」。

開始之前

關於這項作業

TLS 設定適用於使用者介面和資料網格。 該設定會套用至群體中的所有軟體驅動裝置。

程序

  1. WebSphere Application Server 而言是必要的:將軟體驅動裝置公用憑證新增至 WebSphere Application Server 預設信任儲存庫。
    • 如果是使用預設軟體驅動裝置信任儲存庫,請執行下列動作:
      從部署管理程式上的 was_root/bin 目錄執行 addXC10PublicCert.py Script。使用下列指令:
      wsadmin -lang jython -f addXC10PublicCert.py
    • 如果是使用軟體驅動裝置的自訂金鑰,請執行下列動作:
      使用 -certPath 指令行選項,從部署管理程式上的 was_root/bin 目錄執行 addXC10PublicCert.py Script。-certPath 指令行選項的值是公用憑證的磁碟位置,該憑證對應於在軟體驅動裝置上為金鑰儲存庫配置的別名。
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. WebSphere Application Server 而言是必要的:下載軟體驅動裝置信任儲存庫和 WebSphere Application Server 公用憑證,並執行 keytool 公用程式以將憑證新增至信任儲存庫。此工具會更新軟體驅動裝置信任儲存庫,以包括來自 WebSphere Application Server 的憑證。
    1. 如果是使用預設軟體驅動裝置信任儲存庫,請下載作用中的信任儲存庫。 按一下軟體驅動裝置 > 設定 > 傳輸層安全 (TLS)。按下載作用中的信任儲存庫並記住您在磁碟上儲存檔案的位置,例如在 /downloads/trustStore.jks 目錄中。
    2. 擷取 WebSphere Application Server 公用憑證。
      1. WebSphere Application Server 管理主控台中,按一下安全 > SSL 憑證和金鑰管理 > 金鑰儲存庫和憑證
      2. 金鑰儲存庫使用情形中,選取主要憑證金鑰儲存庫
      3. 選取 DmgrDefaultRootStore
      4. 選取個人憑證
      5. 按一下主要金鑰儲存庫中憑證旁邊的勾選框。 指定要擷取之憑證的完整檔名,例如:/certificates/public.cer
      6. 在指令行視窗中,執行下列指令:cd /java_home/bin
      7. 執行 keytool 公用程式。
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. 如果要匯入其他憑證,請重複這些步驟,以再次擷取憑證並執行 keytool 公用程式。
  3. 將金鑰儲存庫和信任儲存庫資訊上傳至軟體驅動裝置。 在軟體驅動裝置使用者介面中,按一下軟體驅動裝置 > 設定 > 傳輸層安全 (TLS)。如果已完成適用於 WebSphere Application Server 的步驟,請上傳已更新的 /downloads/trustStore.jks 檔。 上傳金鑰儲存庫或信任儲存庫之後,必須更新相關聯的密碼。如果是使用預設信任儲存庫,則密碼為 xc10pass
  4. 選取群體的憑證別名。
  5. 指定傳輸類型。 選擇下列其中一個傳輸類型設定:
    • TLS 受支援:資料網格使用 TCP/IP、SSL 或 TLS 進行通訊。可使用 HTTP 和 HTTPS 存取使用者介面。
    • TLS 必要:資料網格僅使用 SSL 或 TLS 進行通訊。只能使用 HTTPS 存取使用者介面。
    • [Version 2.0.0.3 and later] 資料網格 TLS 已停用:資料網格使用未受保護的連線進行通訊。可使用 HTTP 和 HTTPS 存取使用者介面。
  6. 若需要用戶端傳送授信憑證以啟用通訊,請選取啟用用戶端憑證鑑別
  7. 按一下提交 TLS 設定以儲存對配置所做的變更。

結果

群體必須重新啟動,才能完成 TLS 配置變更。

當群體重新啟動時,只能存取使用者介面的某些部分。如果無法存取使用者介面的某些部分,請等待適當的時間,然後再次提交該要求。「作業」畫面透過顯示成功狀態,來自動顯示部分 TLS 變更已完成。

如果已變更軟體驅動裝置所使用的憑證別名,則可能需要重新啟動瀏覽器、登出使用者介面並重新登入,或根據瀏覽器提示信任新的憑證。

如果使用者介面在啟用了用戶端鑑別時無法使用,請驗證是否已將授信用戶端憑證匯入到瀏覽器中。如果未將授信用戶端憑證匯入到瀏覽器中,則您無法存取使用者介面。順利登入使用者介面之後,作業會指出 TLS 的配置已成功。

下一步

最佳實務