Transport Layer Security (TLS) konfigurieren

Durch Ändern oder Ersetzen eines Keystores und Truststores und durch Auswählen des Zertifikatsaliasnamens für Ihre Konfiguration können Sie die Transport Layer Security (TLS) konfigurieren.

Vorbereitende Schritte

  • Sie können die Transport Layer Security (TLS) mit Version 1.0.0.4 oder höher konfigurieren.
  • Sie müssen WebSphere eXtreme Scale Client Version 7.1 Fix 1 oder höher verwenden.
  • Sie müssen über die Berechtigung zum Verwalten des Geräts verfügen.
  • Sie müssen über einen Keystore oder Truststore und die zugehörigen Kennwörter verfügen, die zu der Gerätekonfiguration hinzugefügt werden sollen.
  • Sie können den Truststore vom Gerät herunterladen, wenn Sie den vorhandenen Truststore ändern möchten.
  • Sie müssen den Truststore anhand der öffentlichen Zertifikate der Clients aktualisieren. Das Gerät muss die Clients akzeptieren, mit denen Verbindungen aufgebaut werden.
  • Der bereitgestellte Truststore muss ein öffentliches Zertifikat enthalten, das einem Eintrag im Keystore entspricht. Zertifikatsaliasnamen im Keystore müssen im Truststore anerkannt sein, damit sie als mögliche Konfigurationsoptionen für Zertifikatsaliasnamen für das Gerät bereitgestellt werden können.
  • Von der Einstellung für die globale Sicherheit in WebSphere Application Server hängt ab, wie vom Server versucht wird, Verbindungen zu WebSphere DataPower XC10 Appliance aufzubauen:
    • Wenn die globale Sicherheit inaktiviert ist, wird versucht, Verbindungen über TCP/IP aufzubauen.
    • Wenn die globale Sicherheit aktiviert ist, müssen Sie das öffentliche Zertifikat des Geräts zu den Truststores von WebSphere Application Server hinzufügen.
    Wenn TLS erforderlich für WebSphere DataPower XC10 Appliance konfiguriert ist, müssen Sie die globale Sicherheit aktivieren. Weitere Informationen zum Konfigurieren der globalen Sicherheit finden Sie unter Globale Sicherheitseinstellungen konfigurieren.

Informationen zu diesem Vorgang

Die Einstellungen für die Transport Layer Security (TLS) gelten für die Benutzerschnittstelle und die Daten-Grids. Die Einstellungen werden auf alle Geräte im Verbund angewendet.

Vorgehensweise

  1. Erforderlich für WebSphere Application Server: Fügen Sie das öffentliches Zertifikat des Geräts zu den Standardtruststores von WebSphere Application Server hinzu.
    • Wenn Sie den Standardtrustore für das Gerät verwenden:
      Führen Sie das Script addXC10PublicCert.py im Verzeichnis WAS-Stammverzeichnis/bin im Deployment Manager aus. Führen Sie den folgenden Befehl aus:
      wsadmin -lang jython -f addXC10PublicCert.py
    • Wenn Sie angepasste Schlüssel für das Gerät verwenden:
      Führen Sie das Script addXC10PublicCert.py im Verzeichnis WAS-Stammverzeichnis/bin im Deployment Manager mit der Befehlszeilenoption -certPath aus. Als Wert für die Befehlszeilenoption -certPath wird der Plattenspeicherort des öffentlichen Zertifikats verwendet, das dem Aliasnamen entspricht, der für den Keystore auf dem Gerät konfiguriert ist.
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. Erforderlich für WebSphere Application Server: Laden Sie den Truststore des Geräts und die öffentlichen Zertifikate von WebSphere Application Server herunter und führen Sie das Dienstprogramm 'keytool' aus, um das Zertifikat zum Truststore hinzuzufügen. Mit diesem Tool wird der Truststore des Gerätes aktualisiert, damit die Zertifikate von WebSphere Application Server eingeschlossen sind.
    1. Bei Verwendung des Standardtruststores des Geräts laden Sie den aktiven Truststore herunter. Klicken Sie auf Gerät > Einstellungen > Transport Layer Security (TLS). Klicken Sie auf Aktiven Truststore herunterladen und notieren Sie die Position, an der Sie die Datei auf der Platte gespeichert haben, zum Beispiel im Verzeichnis /downloads/trustStore.jks.
    2. Extrahieren Sie das öffentliche Zertifikat von WebSphere Application Server.
      1. Klicken Sie in der Administrationskonsole von WebSphere Application Server auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Keystores und Zertifikate.
      2. Wählen Sie unter Keystoreverwendung die Auswahlmöglichkeit Stammzertifikatkeystore aus.
      3. Wählen Sie DmgrDefaultRootStore aus.
      4. Wählen Sie Persönliche Zertifikate aus.
      5. Klicken Sie auf das Kontrollkästchen neben einem Zertifikat im Stammkeystore. Geben Sie den vollständig qualifizierten Dateinamen des zu extrahierenden Zertifikats an, zum Beispiel: /certificates/public.cer.
      6. Führen Sie in einem Befehlszeilenfenster den folgenden Befehl aus: cd /java_home/bin
      7. Führen Sie das Dienstprogramm 'keytool' aus.
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. Wenn Sie weitere Zertifikate importieren möchten, wiederholen Sie die Schritte zum Extrahieren der Zertifikate und führen Sie wieder das Dienstprogramm 'keytool' aus.
  3. Laden Sie die Keystore- und Truststoreinformationen auf das Gerät hoch. Klicken Sie in der Benutzerschnittstelle des Geräts auf Gerät > Einstellungen > Transport Layer Security (TLS). Wenn Sie die Schritte für WebSphere Application Server ausgeführt haben, laden Sie die aktualisierte Datei /downloads/trustStore.jks hoch. Nachdem Sie einen Keystore oder Truststore hochgeladen haben, müssen Sie das zugehörige Kennwort aktualisieren. Bei Verwendung des standardmäßigen Truststores lautet das Kennwort xc10pass.
  4. Wählen Sie den Zertifikatsaliasnamen für den Verbund aus.
  5. Geben Sie den Transporttyp an. Wählen Sie eine der folgenden Einstellungen für den Transporttyp aus:
    • TLS unterstützt: Die Daten-Grids kommunizieren über TCP/IP, SSL oder TLS. Auf die Benutzerschnittstelle kann über HTTP und HTTPS zugegriffen werden.
    • TLS erforderlich: Die Daten-Grids kommunizieren nur über SSL oder TLS. Auf die Benutzerschnittstelle kann nur über HTTPS zugegriffen werden.
    • TLS für Daten-Grid inaktiviert: Die Daten-Grids kommunizieren mit nicht sicheren Verbindungen. Auf die Benutzerschnittstelle kann über HTTP und HTTPS zugegriffen werden.
  6. Wenn Sie wünschen, dass der Client ein anerkanntes Zertifikat zum Aktivieren der Kommunikation senden muss, wählen Sie die Option Clientzertifikatsauthentifizierung aktivieren aus.
  7. Ändern Sie die Änderungen an Ihrer Konfiguration durch Klicken auf TLS-Einstellungen abschicken.

Ergebnisse

Der Verbund muss erneut gestartet werden, damit die Änderungen an der TLS-Konfiguration abgeschlossen werden.

Beim Neustart des Verbunds kann nur auf einen beschränkten Teil der Benutzerschnittstelle zugegriffen werden. Wenn Sie keinen Zugriff auf Teile der Benutzerschnittstelle haben, warten Sie einen angemessenen Zeitraum und übergeben Sie die Anforderung dann erneut. Im Fenster für Tasks wird die vollständige Beendigung einiger TLS-Änderungen automatisch anhand eines Erfolgsstatus angezeigt.

Wenn Sie den Zertifikatsaliasnamen geändert haben, der vom Gerät verwendet wird, müssen Sie unter Umständen erneut den Browser starten, sich von der Benutzerschnittstelle ab- und wieder anmelden oder neue Zertifikate über eine Eingabeaufforderung des Browsers als vertrauenswürdig definieren.

Sollte die Benutzerschnittstelle bei aktivierter Clientauthentifizierung nicht verfügbar erscheinen, stellen Sie sicher, dass Sie ein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert haben. Wenn kein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert worden ist, können Sie nicht auf die Benutzerschnittstelle zugreifen. Nachdem Sie sich erfolgreich bei der Benutzerschnittstelle angemeldet haben, zeigt die Task den Erfolg der TLS-Konfiguration an.

Nächste Schritte

Bewährte Verfahren
  • Um zu vermeiden, dass Browserwarnungen angezeigt werden, wenn Sie von verschiedenen Geräten auf die Benutzerschnittstelle zugreifen, sollten Sie die Verwendung eines Platzhalters im allgemeinen Namen des Zertifikats im Keystore erwägen. Jedes Gerät verwendet dasselbe Zertifikat für die für Konfiguration der Transport Layer Security (TLS), wie durch den Zertifikatsaliasnamen angegeben. Sie könnten beispielsweise *.mycompany.com anstelle von myhost.mycompany.com verwenden, damit das Zertifikat für alle Hosts in der Domäne mycompany Gültigkeit hat.
  • Eventuell sollten Sie eine private Zertifizierungsstelle zum Unterzeichnen des Zertifikats verwenden, das dem Zertifikatsaliasnamen zugeordnet ist, den Sie für die Konfiguration Ihrer Transport Layer Security (TLS) ausgewählt haben. Sie können dann das Zertifikat der Zertifizierungsstelle in den Browser importieren und jeden beliebigen Verbund mit einem von der privaten Zertifizierungsstelle unterzeichneten Zertifikat ohne entsprechende Aufforderung als vertrauenswürdig anerkennen. Die Verwendung einer private Zertifizierungsstelle eignet sich in der Regel nur für den Zugriff in einem privaten Intranet.
Übergeordnetes Thema: Sicherheit
Zugehörige Konzepte:
Übersicht über die Sicherheit von IBM WebSphere DataPower XC10 Appliance
Benutzerberechtigungen
Zugehörige Tasks:
Sicherheit der Benutzerschnittstelle für IBM WebSphere DataPower XC10 Appliance konfigurieren.
Gerät zur Authentifizierung von Benutzern mit einem LDAP-Verzeichnis konfigurieren
Benutzer und Gruppen verwalten
Daten-Grids sichern
[Version 2.1 and later] Clientauthentifizierung für Daten-Grid-Anwendung konfigurieren
[Version 2.1 and later] TLS für Daten-Grid-Anwendungen konfigurieren
HTTP-Sitzungsmanager mit WebSphere Portal konfigurieren
Mit HTTP-Befehlsschnittstelle verwalten
Überwachung mit dem Dienstprogramm xscmd
Zugehörige Verweise:
REST-Gateway: Sicherheitskonfiguration
Zugehörige Informationen:
Schlüssel mit der grafischen Schnittstelle IKEYMAN verwalten