透過新增金鑰儲存庫和信任儲存庫,並選擇適用於配置的憑證別名,可以配置傳輸層安全 (TLS)。
開始之前
可以配置 1.0.0.4 版或更新版本的 TLS。
- 必須是使用 WebSphere® eXtreme
Scale 用戶端 7.1 版修正 1 或更新版本。
- 必須獲得 Appliance 管理權限,才能執行下列步驟。
- 必須具有您要新增至 Appliance 配置的金鑰儲存庫、信任儲存庫以及相關聯的密碼。
- 為了避免從不同 Appliance 存取使用者介面時發生瀏覽器警告,請考量在金鑰儲存庫內憑證的「通用名稱 (CN)」中包括萬用字元。每一個 Appliance 均對 TLS 配置使用憑證別名所指定的相同憑證。例如,您可能使用 *.mycompany.com 而不是 myhost.mycompany.com,來使憑證對 mycompany 網域中的所有主機都有效。
關於這項作業
TLS 設定適用於使用者介面和資料網格。
該設定會套用至群體中的所有 Appliance。
程序
- 移至「設定」畫面。 若要管理安全選項,請使用下列其中一個路徑移至「設定」畫面:
- 從 WebSphere DataPower® XC10 Appliance 使用者介面的功能表列中,按一下 。
- 從「歡迎使用」頁面,按一下步驟 1:設定 Appliance 區段中的自訂設定鏈結。
- 展開傳輸層安全 (TLS)。
- 上傳新的金鑰儲存庫和信任儲存庫資訊。 上傳金鑰儲存庫或信任儲存庫之後,必須更新相關聯的密碼。如果是使用預設信任儲存庫,則密碼為 xc10pass。
- 如果已上傳金鑰儲存庫,請選取群體要使用的憑證別名。
- 指定傳輸類型。如果您想要同時支援 TCP/IP 和 TLS 通訊協定,請選取支援的 TLS。
如果您需要透過 TLS 通訊協定進行連線,請選取 TLS 是必需的。
- 若需要用戶端傳送授信憑證以啟用通訊,請選取啟用用戶端憑證鑑別。
- 按一下提交 TLS 設定以儲存對配置所做的變更。
結果
所配置的信任儲存庫處於作用中。群體必須重新啟動,才能完成 TLS 配置變更。
當群體重新啟動時,只能存取使用者介面的某些部分。如果無法存取使用者介面的某些部分,請等待適當的時間,然後再次提交該要求。「作業」畫面透過顯示成功狀態,來自動顯示部分 TLS 變更已完成。
您可能需要重新啟動瀏覽器、登出使用者介面並重新登入,或根據瀏覽器提示信任新的憑證。
如果使用者介面在啟用了用戶端鑑別時無法使用,請驗證是否已將授信用戶端憑證匯入到瀏覽器中。如果未將授信用戶端憑證匯入到瀏覽器中,則您無法存取使用者介面。順利登入使用者介面之後,作業會指出 TLS 的配置已成功。
若要隨時下載作用中的信任儲存庫,請按一下下載作用中的信任儲存庫。
如果要新增用戶端鑑別的授信項目,則下載作用中的信任儲存庫非常有用。下載之後,可以驗證您是否在變更最新的信任儲存庫。如果要上傳新的信任儲存庫,則信任儲存庫將在您提交新設定之後,變成可供下載。所下載之信任儲存庫的檔名,與上傳信任儲存庫時所使用的原始檔名不同。
下一步
- 如果要使用 WebSphere Application
Server 來配置資料網格,並且需要 TLS,或您要讓 WebSphere Application
Server 使用 TLS,則還必須啟用廣域安全。如需配置廣域安全的相關資訊,請參閱廣域安全設定。還必須將 Appliance 的公用憑證新增至 WebSphere Application
Server 信任儲存庫。使用下列其中一個選項:
- 如果是使用預設 Appliance 信任儲存庫:請從部署管理程式上的 WAS_HOME/bin 目錄中執行 addXC10PublicCert.py Script,以將 Appliance 公用憑證新增至 WebSphere Application
Server 預設信任儲存庫。
- 如果是使用 Appliance 的自訂金鑰:請從部署管理程式上的 WAS_HOME/bin 目錄中,執行帶有 -certPath 指令行選項的 addXC10PublicCert.py Script,以將 Appliance 公用憑證插入到 WebSphere Application
Server 預設信任儲存庫。-certPath 指令行選項的值是公用憑證的磁碟位置,該憑證對應於在 Appliance 上為金鑰儲存庫配置的別名。
如果為 Appliance 產生新的金鑰組,且使用 HTTP 階段作業管理,則不論 TLS 設定為何,都必須將新的 Appliance 公用憑證移至 WebSphere Application
Server 信任儲存庫,這樣 WebSphere DataPower XC10 Appliance HTTP 階段作業管理才能運作。
- 您可能要使用專用憑證管理中心 (CA),來簽署與您為 TLS 配置選擇之憑證別名相關聯的憑證。然後,您可以將 CA 憑證匯入到瀏覽器中,並信任所有包含憑證(由專用 CA 簽署)的群體,而無需提示。通常,使用專用 CA 只適用於專用內部網路上的存取。