Durch Ändern oder Ersetzen eines Keystores und Truststores und durch Auswählen des Zertifikatsaliasnamens für Ihre Konfiguration können Sie die Transport Layer Security (TLS) konfigurieren.
Vorbereitende Schritte
- Sie können die Transport Layer Security (TLS) mit Version 1.0.0.4 oder höher konfigurieren.
- Sie müssen WebSphere eXtreme
Scale Client Version 7.1 Fix 1 oder höher verwenden.
- Sie müssen über die Berechtigung zum Verwalten des Geräts verfügen.
- Sie müssen über einen Keystore oder Truststore und die zugehörigen Kennwörter verfügen, die zu der Gerätekonfiguration hinzugefügt werden sollen.
- Sie können den Truststore vom Gerät herunterladen, wenn Sie den vorhandenen Truststore ändern möchten.
- Sie müssen den Truststore anhand der öffentlichen Zertifikate der Clients aktualisieren. Das Gerät muss die Clients akzeptieren, mit denen Verbindungen aufgebaut werden.
- Der bereitgestellte Truststore muss ein öffentliches Zertifikat enthalten, das einem Eintrag im Keystore entspricht. Zertifikatsaliasnamen im Keystore müssen im Truststore anerkannt sein, damit sie als mögliche Konfigurationsoptionen für Zertifikatsaliasnamen für das Gerät bereitgestellt werden können.
- Von der Einstellung für die globale Sicherheit in WebSphere Application
Server hängt ab, wie vom Server versucht wird, Verbindungen zu WebSphere DataPower XC10 Appliance aufzubauen:
- Wenn die globale Sicherheit inaktiviert ist, wird versucht, Verbindungen über TCP/IP aufzubauen.
- Wenn die globale Sicherheit aktiviert ist, müssen Sie das öffentliche Zertifikat des Geräts zu den Truststores von WebSphere Application
Server hinzufügen.
Wenn TLS erforderlich für WebSphere DataPower XC10 Appliance
konfiguriert ist, müssen Sie die globale Sicherheit aktivieren.
Weitere Informationen zum Konfigurieren der globalen Sicherheit finden Sie unter
Globale Sicherheitseinstellungen konfigurieren.
Informationen zu diesem Vorgang
Die Einstellungen für die Transport Layer Security (TLS) gelten für die Benutzerschnittstelle und die Daten-Grids.
Die Einstellungen werden auf alle Geräte im Verbund angewendet.
Vorgehensweise
- Erforderlich für WebSphere Application
Server: Fügen Sie das öffentliches Zertifikat des Geräts zu den Standardtruststores von WebSphere Application
Server hinzu.
- Wenn Sie den Standardtrustore für das Gerät verwenden:
Führen Sie das Script
addXC10PublicCert.py im Verzeichnis
WAS-Stammverzeichnis/bin im Deployment Manager aus. Führen Sie den folgenden Befehl aus:
wsadmin -lang jython -f addXC10PublicCert.py
- Wenn Sie angepasste Schlüssel für das Gerät verwenden:
Führen Sie das Script
addXC10PublicCert.py im Verzeichnis
WAS-Stammverzeichnis/bin im Deployment Manager mit der Befehlszeilenoption
-certPath aus. Als Wert für die Befehlszeilenoption
-certPath wird der Plattenspeicherort des öffentlichen Zertifikats verwendet, das dem Aliasnamen entspricht, der für den Keystore auf dem Gerät konfiguriert ist.
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- Erforderlich für WebSphere Application
Server: Laden Sie den Truststore des Geräts und die öffentlichen Zertifikate von WebSphere Application
Server herunter und führen Sie das Dienstprogramm 'keytool' aus, um das Zertifikat zum Truststore hinzuzufügen. Mit diesem Tool wird der Truststore des Gerätes aktualisiert, damit die Zertifikate von WebSphere Application
Server eingeschlossen sind.
- Bei Verwendung des Standardtruststores des Geräts laden Sie den aktiven Truststore herunter. Klicken Sie auf . Klicken Sie auf Aktiven Truststore herunterladen und notieren Sie die Position, an der Sie die Datei auf der Platte gespeichert haben, zum Beispiel im Verzeichnis /downloads/trustStore.jks.
- Extrahieren Sie das öffentliche Zertifikat von WebSphere Application
Server.
- Klicken Sie in der Administrationskonsole von WebSphere Application
Server auf .
- Wählen Sie unter Keystoreverwendung die Auswahlmöglichkeit Stammzertifikatkeystore aus.
- Wählen Sie DmgrDefaultRootStore aus.
- Wählen Sie Persönliche Zertifikate aus.
- Klicken Sie auf das Kontrollkästchen neben einem Zertifikat im Stammkeystore.
Geben Sie den vollständig qualifizierten Dateinamen des zu extrahierenden Zertifikats an, zum Beispiel: /certificates/public.cer.
- Führen Sie in einem Befehlszeilenfenster den folgenden Befehl aus: cd /java_home/bin
- Führen Sie das Dienstprogramm 'keytool' aus.
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- Wenn Sie weitere Zertifikate importieren möchten, wiederholen Sie die Schritte zum Extrahieren der Zertifikate und führen Sie wieder das Dienstprogramm 'keytool' aus.
- Laden Sie die Keystore- und Truststoreinformationen auf das Gerät hoch. Klicken Sie in der Benutzerschnittstelle des Geräts auf . Wenn Sie die Schritte für WebSphere Application
Server ausgeführt haben, laden Sie die aktualisierte Datei /downloads/trustStore.jks hoch.
Nachdem Sie einen Keystore oder Truststore hochgeladen haben, müssen Sie das zugehörige Kennwort aktualisieren. Bei Verwendung des standardmäßigen Truststores lautet das Kennwort xc10pass.
- Wählen Sie den Zertifikatsaliasnamen für den Verbund aus.
- Geben Sie den Transporttyp an. Wählen Sie eine der folgenden Einstellungen für den Transporttyp aus:
- TLS unterstützt: Die Daten-Grids kommunizieren über TCP/IP, SSL oder TLS. Auf die Benutzerschnittstelle kann über HTTP und HTTPS zugegriffen werden.
- TLS erforderlich: Die Daten-Grids kommunizieren nur über SSL oder TLS. Auf die Benutzerschnittstelle kann nur über HTTPS zugegriffen werden.
- TLS für Daten-Grid inaktiviert: Die Daten-Grids kommunizieren mit nicht sicheren Verbindungen. Auf die Benutzerschnittstelle kann über HTTP und HTTPS zugegriffen werden.
- Wenn Sie wünschen, dass der Client ein anerkanntes Zertifikat zum Aktivieren der Kommunikation senden muss, wählen Sie die Option Clientzertifikatsauthentifizierung aktivieren aus.
- Ändern Sie die Änderungen an Ihrer Konfiguration durch Klicken auf TLS-Einstellungen abschicken.
Ergebnisse
Der Verbund muss erneut gestartet werden, damit die Änderungen an der TLS-Konfiguration abgeschlossen werden.
Beim Neustart des Verbunds kann nur auf einen beschränkten Teil der Benutzerschnittstelle zugegriffen werden. Wenn Sie keinen Zugriff auf Teile der Benutzerschnittstelle haben, warten Sie einen angemessenen Zeitraum und übergeben Sie die Anforderung dann erneut. Im Fenster für Tasks wird die vollständige Beendigung einiger TLS-Änderungen automatisch anhand eines Erfolgsstatus angezeigt.
Wenn Sie den Zertifikatsaliasnamen geändert haben, der vom Gerät verwendet wird, müssen Sie unter Umständen erneut den Browser starten, sich von der Benutzerschnittstelle ab- und wieder anmelden oder neue Zertifikate über eine Eingabeaufforderung des Browsers als vertrauenswürdig definieren.
Sollte die Benutzerschnittstelle bei aktivierter Clientauthentifizierung nicht verfügbar erscheinen, stellen Sie sicher, dass Sie ein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert haben. Wenn kein als vertrauenswürdig anerkanntes Clientzertifikat in den Browser importiert worden ist, können Sie nicht auf die Benutzerschnittstelle zugreifen. Nachdem Sie sich erfolgreich bei der Benutzerschnittstelle angemeldet haben, zeigt die Task den Erfolg der TLS-Konfiguration an.
Nächste Schritte
Bewährte Verfahren- Um zu vermeiden, dass Browserwarnungen angezeigt werden, wenn Sie von verschiedenen Geräten auf die Benutzerschnittstelle zugreifen, sollten Sie die Verwendung eines Platzhalters im allgemeinen Namen des Zertifikats im Keystore erwägen. Jedes Gerät verwendet dasselbe Zertifikat für die für Konfiguration der Transport Layer Security (TLS), wie durch den Zertifikatsaliasnamen angegeben. Sie könnten beispielsweise *.mycompany.com anstelle von myhost.mycompany.com verwenden, damit das Zertifikat für alle Hosts in der Domäne mycompany Gültigkeit hat.
- Eventuell sollten Sie eine private Zertifizierungsstelle zum Unterzeichnen des Zertifikats verwenden, das dem Zertifikatsaliasnamen zugeordnet ist, den Sie für die Konfiguration Ihrer Transport Layer Security (TLS) ausgewählt haben. Sie können dann das Zertifikat der Zertifizierungsstelle in den Browser importieren und jeden beliebigen Verbund mit einem von der privaten Zertifizierungsstelle unterzeichneten Zertifikat ohne entsprechende Aufforderung als vertrauenswürdig anerkennen. Die Verwendung einer private Zertifizierungsstelle eignet sich in der Regel nur für den Zugriff in einem privaten Intranet.