Secure Socket Layer

這個特性會啟用對於 Secure Sockets Layer (SSL) 連線的支援。除非已啟用 ssl-1.0 特性,否則不會啟動安全的 HTTPS 接聽器。Liberty 設定檔提供了虛擬金鑰儲存庫和虛擬信任儲存庫,它們與舊版 WebSphere Application Server 所提供者相同。

啟用這項特性

如果要啟用 Secure Socket Layer 特性,請在 server.xml 檔的 featureManager 元素內,新增下列的元素宣告:
<feature>ssl-1.0</feature>

支援的 Java™ 版本

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

開發相依於這項特性的特性

如果您要開發的特性相依於 Secure Socket Layer 特性,請將下列項目包含在您新特性的特性資訊清單檔 Subsystem-Content 標頭中:
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"

這項特性提供的 SPI 套件

特性配置元素

您可以在 server.xml 檔中使用下列元素,來配置 Secure Socket Layer 特性:

channelfw
定義通道和鏈結管理設定。
屬性名稱 資料類型 預設值 說明
chainQuiesceTimeout 精準度是毫秒的時間量 30s 靜止鏈結時的預設等待時間量。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
chainStartRetryAttempts int

下限:0

60 每個鏈結進行重試的次數。
chainStartRetryInterval 精準度是毫秒的時間量 5s 啟動重試之間的時間間隔。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
warningWaitTime 精準度是毫秒的時間量 10s 通知遺漏原廠配置之前的等待時間量。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
keyStore
用於 SSL 加密的安全憑證之儲存庫。
屬性名稱 資料類型 預設值 說明
fileBased boolean true 如果金鑰儲存庫是檔案型,請指定 true;如果金鑰儲存庫是 SAF 金鑰環或硬體金鑰儲存庫類型,請指定 false。
id string   唯一的配置 ID。
location 檔案的路徑 ${server.output.dir}/resources/security/key.jks 金鑰儲存庫檔的絕對路徑或相對路徑。如果提供相對路徑,伺服器將會嘗試在 ${server.config.dir}/resources/security 目錄中找出此檔案。對檔案型金鑰儲存庫使用金鑰儲存庫檔;對 SAF 金鑰環使用金鑰環名稱,或是對硬體加密裝置使用裝置配置檔。在 SSL 最小配置中,檔案的位置是假設為 ${server.config.dir}/resources/security/key.jks。
password 可逆的編碼密碼(字串)   用來載入金鑰儲存庫檔的密碼。其值可以用明碼或編碼形式儲存。請使用 securityUtility 工具來將密碼編碼。
pollingRate 精準度是毫秒的時間量 500ms 伺服器檢查金鑰儲存庫檔更新項目的頻率。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
readOnly boolean false 如果伺服器只為了讀取而使用金鑰儲存庫,請指定 true;如果伺服器會對金鑰儲存庫執行寫入作業,請指定 false。
type string jks 目標 SDK 支援的金鑰儲存庫類型。
updateTrigger
  • mbean
  • polled
  • disabled
mbean 金鑰儲存庫檔案更新方法或觸發程式。
mbean
只有在收到外部程式(如整合開發環境或管理應用程式)所呼叫之 MBean 的提示時,伺服器才會更新金鑰儲存庫。
polled
伺服器會依輪詢間隔來掃描金鑰儲存庫檔案的變更,如果可偵測到金鑰儲存庫檔案的變更,就會進行更新。
disabled
停用所有更新監視。當伺服器正在執行時,不會套用金鑰儲存庫檔案的變更。
ssl
具備 ID、已定義的金鑰儲存庫及選用的信任儲存庫之 SSL 儲存庫。
屬性名稱 資料類型 預設值 說明
clientAuthentication boolean false 指定是否啟用用戶端鑑別。如果設為 true,則需要用戶端鑑別,且用戶端必須提供伺服器信任的憑證。
clientAuthenticationSupported boolean false 指定是否支援用戶端鑑別。如果設為 true,則用戶端鑑別支援表示一旦用戶端出示憑證,伺服器會檢查是否信任該用戶端。
clientKeyAlias string   指定金鑰儲存庫中的憑證別名,該憑證將作為金鑰,並傳送給已啟用用戶端鑑別的伺服器。只有在金鑰儲存庫有多個金鑰項目時,才需要這個屬性。
enabledCiphers string   指定自訂的密碼清單。在清單中,各密碼之間請空一格。支援的密碼取決於所使用的基礎 JRE。請檢查 JRE,取得有效的密碼。
id string   唯一的配置 ID。
keyStoreRef string   包含 SSL 儲存庫之金鑰項目的金鑰儲存庫。這個屬性是必要的。
securityLevel
  • MEDIUM
  • CUSTOM
  • HIGH
  • LOW
HIGH 指定 SSL 信號交換所用的密碼組合群組。「高」是 3DES 和 128 位元(及以上)密碼,「中」是 DES 和 40 位元密碼,「低」是沒有加密的密碼。如果使用 enabledCiphers 屬性,則會忽略 securityLevel 清單。
MEDIUM
%repertoire.MEDIUM
CUSTOM
%repertoire.CUSTOM
HIGH
密碼組合 3DES 和 128 位元(及以上)
LOW
%repertoire.LOW
serverKeyAlias string   指定金鑰儲存庫中要作為伺服器金鑰之憑證的別名。只有在金鑰儲存庫有多個金鑰項目時,才需要這個屬性。
sslProtocol string   SSL 信號交換通訊協定。通訊協定值可在基礎 JRE 的 Java Secure Socket Extension (JSSE) 提供者的說明文件中找到。當使用 IBM JRE 時,預設值是 SSL_TLS,當使用 Oracle JRE 時,預設值是 SSL。
trustStoreRef string ${keyStoreRef} 包含 SSL 儲存庫用於簽署確認之信任憑證項目的金鑰儲存庫。這個屬性是選用的。如果未指定,則會對金鑰及信任的憑證項目都使用相同的金鑰儲存庫。
sslDefault
SSL 服務的預設儲存庫。
屬性名稱 資料類型 預設值 說明
sslRef string defaultSSLConfig 將作為預設值的 SSL 儲存庫名稱。如果都沒有指定,會使用預設 SSL 儲存庫,名稱是 defaultSSLConfig。
sslOptions
用於傳輸的 SSL 通訊協定配置。
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
sessionTimeout 精準度是秒鐘的時間量 1d 在 Socket 上等待讀取或寫入要求完成的時間量。特定通訊協定專用的逾時值會置換此值。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m) 或秒 (s)。例如,指定 30 秒為 30s。您可以在單一項目中包括多個值。例如,1m30s 相等於 90 秒。
sslRef string   預設 SSL 配置儲存庫。預設值是 defaultSSLSettings。
suppressHandshakeErrors boolean false 停用 SSL 信號交換記載錯誤。在正常作業期間可能會發生 SSL 信號交換錯誤,不過當 SSL 的行為並非所預期時,這些訊息可能會非常有用。
tcpOptions
定義 TCP 通訊協定設定。
屬性名稱 資料類型 預設值 說明
id string   唯一的配置 ID。
inactivityTimeout 精準度是毫秒的時間量 60s 在 Socket 上等待讀取或寫入要求完成的時間量。特定通訊協定專用的逾時值會置換此值。. 指定正整數加上時間單位,時間單位可以是小時 (h)、分鐘 (m)、秒 (s) 或毫秒 (ms)。例如,指定 500 毫秒為 500ms。您可以在單一項目中包括多個值。例如,1s500ms 相等於 1.5 秒。
soReuseAddr boolean true 啟用立即重新連結至沒有作用中接聽器的埠。

指示主題類型的圖示 參照主題

資訊中心條款 | 意見


「時間戳記」圖示 前次更新: 2015 年 6 月 22 日
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_ssl-1.0
檔名:rwlp_feature_ssl-1.0.html