Durch Hinzufügen eines Keystores und Truststores und durch Auswählen des Zertifikatsaliasnamens für Ihre Konfiguration können Sie die Transport Layer Security (TLS) konfigurieren.
Vorbereitende Schritte
Sie können die Transport Layer Security (TLS) mit Version 1.0.0.4 oder höher konfigurieren.
- Sie müssen WebSphere eXtreme
Scale Client Version 7.1 Fix 1 oder höher verwenden.
- Sie müssen über die Berechtigung zum Verwalten des Geräts verfügen, um diese Schritte ausführen zu können.
- Sie müssen über einen Keystore, einen Truststore und die zugehörigen Kennwörter verfügen, die zu der Gerätekonfiguration hinzugefügt werden sollen.
- Um zu vermeiden, dass Browserwarnungen angezeigt werden, wenn Sie von verschiedenen Geräten auf die Benutzerschnittstelle zugreifen, sollten Sie die Verwendung eines Platzhalters im allgemeinen Namen des Zertifikats im Keystore erwägen. Jedes Gerät verwendet dasselbe Zertifikat für die für Konfiguration der Transport Layer Security (TLS), wie durch den Zertifikatsaliasnamen angegeben. Sie könnten beispielsweise *.mycompany.com anstelle von myhost.mycompany.com verwenden, damit das Zertifikat für alle Hosts in der Domäne mycompany Gültigkeit hat.
Informationen zu diesem Vorgang
Die Einstellungen für die Transport Layer Security (TLS) gelten für die Benutzerschnittstelle und die Daten-Grids.
Die Einstellungen werden auf alle Geräte im Verbund angewendet.
Vorgehensweise
- Gehen Sie zum Fenster Einstellungen. Verwalten Sie Ihre Sicherheitsoptionen, indem Sie über einen der folgenden Pfade zum Fenster Einstellungen gehen:
- Klicken Sie in der Menüleite der Benutzerschnittstelle von WebSphere DataPower XC10 Appliance auf .
- Klicken Sie auf der Seite Willkommen im Abschnitt Schritt 1: Gerät einrichten auf den Link Einstellungen anpassen.
- Erweitern Sie Transport Layer Security (TLS).
- Laden Sie die neuen Keystore- und Truststore-Informationen hoch. Nachdem Sie einen Keystore oder Truststore hochgeladen haben, müssen Sie das zugehörige Kennwort aktualisieren. Bei Verwendung des standardmäßigen Truststores lautet das Kennwort xc10pass.
- Wählen Sie, nachdem Sie einen Keystore hochgeladen haben, den Zertifikatsaliasnamen aus, der im Verbund verwendet werden soll.
- Geben Sie den Transporttyp an. Wenn TCP/IP- als auch TLS-Protokolle unterstützt werden sollen, wählen Sie die Option TLS unterstützt aus.
Wenn Verbindungen über das TLS-Protokoll erfolgen sollen, wählen Sie die Option TLS erforderlich aus.
- Wenn Sie wünschen, dass der Client ein anerkanntes Zertifikat zum Aktivieren der Kommunikation senden muss, wählen Sie die Option Clientzertifikatsauthentifizierung aktivieren aus.
- Ändern Sie die Änderungen an Ihrer Konfiguration durch Klicken auf TLS-Einstellungen abschicken.
Ergebnisse
Der konfigurierte Truststore ist aktiv. Der Verbund muss erneut gestartet werden, damit die Änderungen an der TLS-Konfiguration abgeschlossen werden.
Beim Neustart des Verbunds kann nur auf einen beschränkten Teil der Benutzerschnittstelle zugegriffen werden. Wenn Sie keinen Zugriff auf Teile der Benutzerschnittstelle haben, warten Sie einen angemessenen Zeitraum und übergeben Sie die Anforderung dann erneut. Im Fenster für Tasks wird die vollständige Beendigung einiger TLS-Änderungen automatisch anhand eines Erfolgsstatus angezeigt.
Unter Umständen müssen Sie den Browser erneut starten, sich von der Benutzerschnittstelle ab- und wieder anmelden oder neue Zertifikate über eine Eingabeaufforderung des Browsers als vertrauenswürdig definieren.
Sollte die Benutzerschnittstelle bei aktivierter Clientauthentifizierung nicht verfügbar erscheinen, stellen Sie sicher, dass Sie ein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert haben. Wenn kein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert worden ist, können Sie nicht auf die Benutzerschnittstelle zugreifen. Nachdem Sie sich erfolgreich bei der Benutzeroberfläche angemeldet haben, zeigt die Task den Erfolg der TLS-Konfiguration an.
Um den aktiven Truststore zu einem beliebigen Zeitpunkt herunterzuladen, klicken Sie auf Aktiven Truststore herunterladen.
Es ist nützlich, den aktiven Truststore herunterzuladen, wenn Sie als vertrauenswürdig anerkannte Einträge zur Clientauthentifizierung hinzufügen. Nach dem Herunterladen können Sie sicherstellen, dass Sie die Änderungen auch am aktuellsten Truststore vornehmen. Wenn Sie einen neuen Truststore hochladen, wird dieser erst nach der Übergabe der neuen Einstellungen zum Herunterladen verfügbar. Der Dateiname des heruntergeladenen Truststores ist nicht mit dem ursprünglichen Dateinamen identisch, der zum Hochladen des Truststore verwendet wurde.
Nächste Schritte
- Wenn Sie ein Daten-Grid mit WebSphere Application
Server konfigurieren und "TLS erforderlich" festgelegt ist oder wenn Sie wünschen, dass WebSphere Application
Server TLS verwendet, so müssen Sie auch die globale Sicherheit aktivieren. Weitere Informationen zum Konfigurieren der globalen Sicherheit enthält der Abschnitt Einstellungen für globale Sicherheit. Außerdem müssen Sie das öffentliches Zertifikat des Geräts zu den Truststores von WebSphere Application
Server hinzufügen. Verwenden Sie eine der folgenden Optionen:
- Vorgehensweise bei Verwendung des standardmäßigen Gerätetruststores: Führen Sie das Script addXC10PublicCert.py im Verzeichnis WAS-Ausgangsverzeichnis/bin auf dem Deployment Manager aus, um das öffentliche Zertifikat für das Gerät zu den Standardtruststores von WebSphere Application
Server hinzuzufügen.
- Vorgehensweise bei Verwendung angepasster Schlüssel für das Gerät: Führen Sie das Script addXC10PublicCert.py im Verzeichnis WAS-Ausgangsverzeichnis/bin auf dem Deployment Manager mit der Befehlszeilenoption -certPath aus, um das öffentliche Zertifikat für das Gerät in die Standardtruststores von WebSphere Application
Server einzufügen. Als Wert für die Befehlszeilenoption -certPath wird der Plattenspeicherort des öffentlichen Zertifikats verwendet, das dem Aliasnamen entspricht, der für den Keystore auf dem Gerät konfiguriert ist.
Wenn Sie neue Schlüsselpaare für das Gerät generieren und HTTP-Sitzungsmanagement verwenden, müssen Sie ungeachtet der TLS-Einstellungen das öffentliche Zertifikat für das neue Gerät in die Truststores von WebSphere Application
Server verschieben, damit das HTTP-Sitzungsmanagement von WebSphere DataPower XC10 Appliance funktioniert.
- Eventuell sollten Sie eine private Zertifizierungsstelle zum Unterzeichnen des Zertifikats verwenden, das dem Zertifikatsaliasnamen zugeordnet ist, den Sie für die Konfiguration Ihrer Transport Layer Security (TLS) ausgewählt haben. Sie können dann das Zertifikat der Zertifizierungsstelle in den Browser importieren und jeden beliebigen Verbund mit einem von der privaten Zertifizierungsstelle unterzeichneten Zertifikat ohne entsprechende Aufforderung als vertrauenswürdig anerkennen. Die Verwendung einer private Zertifizierungsstelle eignet sich in der Regel nur für den Zugriff in einem privaten Intranet.