[8.5.5.4 oder höher]

SSL-Schlüssel für den Verbundcontroller generieren

Sie können den Befehl genKey des Verbunddienstprogramms verwenden, um einen Keystore im JKS-Format (Java Keystore) zu generieren. Der Keystore enthält ein persönliches Zertifikat, das die SSL-Kommunikation mit dem Verbundcontroller ermöglicht.

Vorbereitende Schritte

Erstellen Sie einen Verbundcontroller. Nähere Informationen hierzu finden Sie unter Liberty-Verbund konfigurieren.

Informationen zu diesem Vorgang

Ferne JMX-Verbindungen zu einem Verbundcontroller verwenden SSL und erfordern geeignete SSL-Schlüssel. Der Befehl genKey des Verbunddienstprogramms generiert einen Keystore mit einem persönlichen Zertifikat, das der Verbundcontroller anerkennt. Der generierte Keystore enthält auch ein öffentliches Unterzeichnerzertifikat und kann somit als Truststore fungieren.

Eine Java Virtual Machine (JVM), z. B. ein Verbundmember-Server oder ein Nicht-Liberty-Server, benötigt für das Herstellen einer Verbindung zu einem Verbundcontroller einen Keystore, der einen Schlüssel enthält, den der Verbundcontroller anerkennt. Mit dem Befehl genKey wird ein solcher Keystore generiert. Wenn die JVM den Keystore hat, kann sie eine Verbindung zum Verbundcontroller herstellen und der Verbundcontroller kann seinen Schlüssel zurückgeben. Die Rückgabe des Schlüssels des Verbundcontrollers an die JVM wird als SSL-Handshake bezeichnet.

Damit die JVM den Schlüssel des Verbundcontrollers zum JVM-Truststore hinzufügen kann, muss die JVM-Eigenschaft com.ibm.websphere.collective.utility.autoAcceptCertificates auf true gesetzt sein. Wenn die JVM-Eigenschaft nicht gesetzt ist, wird der Benutzer aufgefordert, den Schlüssel zum Truststore hinzuzufügen. In Schritt 1 der Prozedur ist beschrieben, wie die JVM-Eigenschaft definiert und der Schlüssel ohne Eingabeaufforderung automatisch zum Truststore hinzugefügt wird.

Vorgehensweise

  1. Wenn SSL-Zertifikate automatisch anerkannt werden sollen, setzen Sie die JVM-Eigenschaft com.ibm.websphere.collective.utility.autoAcceptCertificates auf true.

    Führen Sie an der Eingabeaufforderung, an der Sie den Verbundbefehl genKey ausführen werden, einen Befehl aus, mit dem die JVM-Eigenschaft auf true gesetzt wird:

    Für AIX-PlattformenFür HP-UNIX-PlattformenFür LINUX-PlattformenFür Solaris-Plattformen
    $ export JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true
    Für Windows-Plattformen
    set JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true

    Führen Sie die folgenden Befehle aus, um sich zu vergewissern, dass die JVM-Eigenschaft ordnungsgemäß festgelegt wurde:

    Für AIX-PlattformenFür HP-UNIX-PlattformenFür LINUX-PlattformenFür Solaris-Plattformen
    $ export JVM_ARGS
    Für Windows-Plattformen
    set JVM_ARGS
    Tipp: Sie können diese JVM-Eigenschaft auf true setzen, bevor Sie Verbundbefehle ausführen. Dies gilt mit Ausnahme des Befehls create. Viele Verbundunterbefehle stellen eine Verbindung zu einem Verbundcontroller her und erhalten während eines SSL-Handshakes einen Schlüsse zurück. Zu den Verbundunterbefehlen, die Hostauthentifizierungsinformationen in Form des Benutzerkennworts oder des privaten SSH-Schlüssels erfordern, gehören genKey, join, registerHost, remove, unregisterHost und updateHost.
  2. Führen Sie den Verbundbefehl genKey aus, um einen JKS-Keystore zu generieren.
    wlp/bin/collective genKey [--host=Host_des_Verbundcontrollers --password=Administratorkennwort_für_Verbundcontroller --port=HTTPS-Port_des_Verbundcontrollers --user=Administrator-ID_für_Verbundcontroller --keystorePassword=generiertes_Keystore-Kennwort]

    Für einen einen Verbundcontroller auf dem Host machineA, der den Port 1090 verwendet und dessen Administrator Admin1 mit dem Kennwort Admin1pwd ist, müssten Sie beispielsweise den folgenden Befehl ausführen, um einen Keystore zu generieren und das Keystore-Kennwort auf kspwd zu setzen:

    collective genKey [--host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd]

    In diesem Beispiel sind die erforderlichen Einstellungen für den Befehl genKey enthalten:

    --host=Host_des_Verbundcontrollers
    Name des Hosts für den Zielverbundcontroller
    --password=Administratorkennwort_für_Verbundcontroller
    Kennwort des Benutzers mit Verwaltungsaufgaben für den Zielverbundcontroller. Wenn kein Kennwort definiert wird, werden Sie aufgefordert, das Kennwort für den Benutzer mit Verwaltungsaufgaben, der über die Einstellung --user definiert ist, anzugeben.
    --port=HTTPS-Port_des_Verbundcontrollers
    Nummer des HTTPS-Ports für den Zielverbundcontroller
    --user=Administrator-ID_für_Verbundcontroller
    Benutzer mit Verwaltungsaufgaben für den Zielverbundcontroller
    --keystorePassword=generiertes_Keystore-Kennwort
    Kennwort für den generierten Keystore. Bei Angabe ohne Wert werden Sie zur Eingabe eines Kennworts aufgefordert.

    Der Befehl genKey kann auch mit optionalen Einstellungen verwendet werden:

    --certificateSubject=DN
    Definierter Name (DN) des generierten SSL-Zertifikats. Der Standard-DN ist:
    CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
    --certificateValidity=Anzahl_Tage
    Gültigkeitsdauer des generierten SSL-Zertifikats in Tagen. Der Standardgültigkeitszeitraum ist 1825 Tage oder fünf Jahre. Der Mindestgültigkeitszeitraum liegt bei 365 Tagen.
    --keystoreFile=Dateipfad
    Datei, in die der Keystore geschrieben wird. Standardmäßig wird die Datei key.jks im aktuellen Verzeichnis verwendet.
    --key=Schlüssel
    Für die Verschlüsselung (aes) zu verwendender Schlüssel. Das Produkt wandelt die angegebene Schlüsselzeichenfolge in einen Hashwert um, um einen Chiffrierschlüssel für die Ver- und Entschlüsselung des Kennworts zu erzeugen. Definieren Sie eine Variable wlp.password.encryption.key, deren Wert der Schlüssel ist, um den Schlüssel an den Server zu übergeben. Wenn Sie diese Option nicht angeben, stellt das Produkt einen Standardschlüssel bereit.

Symbol das den Typ des Artikels anzeigt. Taskartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=tagt_wlp_generate_ssl_keys
Dateiname: tagt_wlp_generate_ssl_keys.html