Secure Socket Layer

Dieses Feature aktiviert die Unterstützung für SSL-Verbindungen (Secure Sockets Layer). Der secureHTTPS-Listener wird nur gestartet, wenn das Feature ssl-1.0 aktiviert ist. Das Liberty-Profil stellt einen Pseudo-Keystore und einen Pseudo-Truststore bereit, die dem Keystore und dem Truststore entsprechen, die von den früheren Versionen von WebSphere Application Server bereitgestellt werden.

Dieses Feature aktivieren

Zum Aktivieren des Features "Secure Socket Layer" fügen Sie die folgende Elementdeklaration im Element "featureManager" in Ihrer Datei server.xml hinzu:
<feature>ssl-1.0</feature>

Unterstützte Java™-Versionen

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

Ein Feature entwickeln, das von diesem Feature abhängt

Wenn Sie ein Feature entwickeln, das vom Feature "Secure Socket Layer" abhängig ist, schließen Sie das folgende Element im Header "Subsystem-Content" in der Featuremanifestdatei für Ihr neues Feature ein:
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"

Von diesem Feature bereitgestellte SPI-Pakete

Featurekonfigurationselement

Sie können die folgenden Elemente in Ihrer Datei server.xml verwenden, um das Feature "Secure Socket Layer" zu konfigurieren:

channelfw
Definiert Kanal- und Kanalmanagementeinstellungen.
Attributname Datentyp Standardwert Beschreibung
chainQuiesceTimeout Zeitraum mit Genauigkeit in Millisekunden 30s Standardwartezeit beim Stilllegen von Ketten. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
chainStartRetryAttempts int

Minimum: 0

60 Anzahl zulässiger Wiederholungen pro Kette.
chainStartRetryInterval Zeitraum mit Genauigkeit in Millisekunden 5s Zeitintervall zwischen Startwiederholungen. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
warningWaitTime Zeitraum mit Genauigkeit in Millisekunden 10s Wartezeit bis zum Senden einer Benachrichtigung über eine fehlende Factorykonfiguration. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
keyStore
Ein Repository mit Sicherheitszertifikaten, die für die SSL-Verschlüsselung verwendet werden.
Attributname Datentyp Standardwert Beschreibung
fileBased boolean true Geben Sie true an, wenn der Keystore dateibasiert ist, und false, wenn der Keystore ein SAF-Schlüsselring oder Hardware-Keystore ist.
id string   Eine eindeutige Konfigurations-ID.
location Pfad zu einer Datei ${server.output.dir}/resources/security/key.jks Ein absoluter oder relativer Pfad zur Keystoredatei. Wenn ein relativer Pfad angegeben wird, versucht der Server, die Datei im Verzeichnis ${server.config.dir}/resources/security zu finden. Verwenden Sie die Keystoredatei für einen dateibasierten Keystore, den Schlüsselringnamen für SAF-Schlüsselringe oder die Einheitenkonfigurationsdatei für Hardwareverschlüsselungseinheiten. In der minimalen SSL-Konfiguration wird ${server.config.dir}/resources/security/key.jks als Position der Datei angenommen.
password Umkehrbar verschlüsseltes Kennwort (string)   Das zum Laden der Keystoredatei verwendete Kennwort. Der Wert kann in Klartext oder in verschlüsselter Form gespeichert werden. Verwenden Sie für die Verschlüsselung des Kennworts das Tool securityUtility.
pollingRate Zeitraum mit Genauigkeit in Millisekunden 500ms Das Intervall, in dem der Server nach Aktualisierungen für eine Keystore-Datei sucht. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
readOnly boolean false Geben Sie true an, wenn der Keystore vom Server zum Lesen verwendet wird. Geben Sie false an, wenn der Server Schreiboperationen im Keystore ausführt.
type string jks Ein vom Ziel-SDK unterstützter Keystoretyp.
updateTrigger
  • mbean
  • polled
  • disabled
mbean Die Aktualisierungsmethode bzw. der Aktualisierungstrigger für die Keystore-Datei.
mbean
Der Server aktualisiert den Keystore nur, wenn er von einer von einem externen Programm wie einer integrierten Entwicklungsumgebung oder einer Managementanwendung aufgerufenen MBean dazu aufgefordert wird.
polled
Der Server sucht im angegebenen Abfrageintervall nach Änderungen für die Keystore-Datei und führt die Aktualisierung durch, wenn die Keystore-Datei erkennbare Änderungen aufweist.
disabled
Inaktiviert die gesamte Aktualisierungsüberwachung. An der Keystore-Datei vorgenommene Änderungen werden nicht angewendet, während der Server aktiv ist.
ssl
Ein SSL-Repertoire mit einer ID, einem definierten Keystore und einem optionalen Truststore.
Attributname Datentyp Standardwert Beschreibung
clientAuthentication boolean false Gibt an, ob die Clientauthentifizierung aktiviert ist. Wenn diese Einstellung auf true gesetzt wird, ist eine Clientauthentifizierung erforderlich und der Client muss ein Zertifikat bereitstellen, das vom Server anerkannt wird.
clientAuthenticationSupported boolean false Gibt an, ob eine Clientauthentifizierung unterstützt wird. Wenn diese Einstellung auf true gesetzt wird, bedeutet die Unterstützung der Clientauthentifizierung, dass der Server die Vertrauensstellung eines Clients überprüft, wenn der Client ein Zertifikat bereitstellt.
clientKeyAlias string   Gibt den Alias des Zertifikats im Keystore an, der als Schlüssel an einen Server gesendet wird, in dem die Clientauthentifizierung aktiviert ist. Dieses Attribut ist nur erforderlich, wenn der Keystore mehrere Schlüsseleinträge enthält.
enabledCiphers string   Gibt eine angepasste Liste mit Cipher-Suites an. Trennen Sie die einzelnen Cipher-Suites in der Liste durch Leerzeichen voneinander. Die unterstütze Cipher-Suite richtet sich nach der verwendeten zugrundeliegenden JRE. Prüfen Sie, welche Cipher-Suites für die JRE gültig sind.
id string   Eine eindeutige Konfigurations-ID.
keyStoreRef string   Ein Keystore, der Schlüsseleinträge für das SSL-Repertoire enthält. Dieses Attribut ist erforderlich.
securityLevel
  • MEDIUM
  • CUSTOM
  • HIGH
  • LOW
HIGH Gibt die beim SSL-Handshake verwendete Cipher-Suite-Gruppe an. Zur Stufe HOCH zählen 3DES-, 128-Bit- und höhere Cipher-Suites, zur Stufe MITTEL zählen DES- und 40-Bit-Cipher-Suites und zur Stufe NIEDRIG zählen alle Cipher-Suites ohne Verschlüsselung. Bei der Verwendung des Attributs enabledCiphers wird die securityLevel-Liste ignoriert.
MEDIUM
%repertoire.MEDIUM
CUSTOM
%repertoire.CUSTOM
HIGH
3DES-, 128-Bit- und höhere Cipher-Suites
LOW
%repertoire.LOW
serverKeyAlias string   Gibt den Alias des Zertifikats im Keystore an, der als Schlüssel des Servers verwendet wird. Dieses Attribut ist nur erforderlich, wenn der Keystore mehrere Schlüsseleinträge enthält.
sslProtocol string   Das Protokoll für den SSL-Handshake. Die Protokollwerte finden Sie in der Dokumentation zum zugrundeliegenden JSSE-Provider (JRE Java Secure Socket Extension). Bei der Verwendung der IBM JRE ist der Standardwert SSL_TLS und bei der Verwendung der Oracle-JRE ist der Standardwert SSL.
trustStoreRef string ${keyStoreRef} Ein Keystore, der gesicherte Zertifikatseinträge enthält, die vom SSL-Repertoire für die Signaturprüfung verwendet werden. Dieses Attribut ist optional. Wenn Sie keinen Truststore angeben, wird derselbe Keystore für Schlüsseleinträge und für gesicherte Zertifikatseinträge verwendet.
sslDefault
Das Standardrepertoire für SSL-Services.
Attributname Datentyp Standardwert Beschreibung
sslRef string defaultSSLConfig Der Name des SSL-Repertoires, das standardmäßig verwendet wird. Das SSL-Standardrepertoire mit dem Namen defaultSSLConfig wird verwendet, wenn kein anderer Name angegeben wird.
sslOptions
Die SSL-Protokollkonfiguration für einen Transport.
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
sessionTimeout Zeitraum mit Genauigkeit in Sekunden 1d Gibt an, wie lange auf den Abschluss einer Lese- oder Schreibanforderung an einem Socket gewartet wird. Dieser Wert wird von protokollspezifischen Zeitlimits überschrieben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m) und Sekunden (s). Geben Sie 30 Sekunden beispielsweise als 30s an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1m30s entspricht beispielsweise 90 Sekunden.
sslRef string   Das SSL-Standardkonfigurationsrepertoire. Der Standardwert ist defaultSSLSettings.
suppressHandshakeErrors boolean false Inaktiviert die Protokollierung von SSL-Handshakefehlern. SSL-Handshakefehler können während des normalen Betriebs auftreten, aber diese Nachrichten können hilfreich sein, wenn sich SSL nicht wie erwartet verhält.
tcpOptions
Definiert Einstellungen für das TCP-Protokoll.
Attributname Datentyp Standardwert Beschreibung
id string   Eine eindeutige Konfigurations-ID.
inactivityTimeout Zeitraum mit Genauigkeit in Millisekunden 60s Gibt an, wie lange auf den Abschluss einer Lese- oder Schreibanforderung an einem Socket gewartet wird. Dieser Wert wird von protokollspezifischen Zeitlimits überschrieben. Geben Sie eine positive ganze Zahl, gefolgt von einer Zeiteinheit, an. Die gültigen Zeiteinheiten sind Stunden (h), Minuten (m), Sekunden (s) und Millisekunden (ms). Geben Sie 500 Millisekunden beispielsweise als 500ms an. Sie können mehrere Werte in einen einzigen Eintrag einschließen. 1s500ms entspricht beispielsweise 1,5 Sekunden.
soReuseAddr boolean true Aktiviert die sofortige Neubindung an einen Port ohne aktiven Listener.

Symbol das den Typ des Artikels anzeigt. Referenzartikel

Nutzungsbedingungen für Information Center | Feedback


Symbol für Zeitmarke Letzte Aktualisierung: 25.08.2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_ssl-1.0
Dateiname: rwlp_feature_ssl-1.0.html