配置传输层安全性 (TLS)

可以通过为您的配置修改或替换密钥库和信任库以及选择证书别名来配置传输层安全性 (TLS)。

开始之前

关于此任务

TLS 设置适用于用户界面和数据网格。这些设置适用于集合体中的所有设备。

过程

  1. WebSphere Application Server 要求:将设备公用证书添加到 WebSphere Application Server 缺省信任库。
    • 如果您正在使用缺省设备信任库:
      运行部署管理器上 was_root/bin 目录中的 addXC10PublicCert.py 脚本。使用以下命令:
      wsadmin -lang jython -f addXC10PublicCert.py
    • 如果您正在使用设备的定制密钥:
      -certPath 命令行选项运行部署管理器上 was_root/bin 目录中的 addXC10PublicCert.py 脚本。-certPath 命令行选项的值是一个公用证书的磁盘位置,该证书针对为设备上的密钥库配置的别名进行响应。
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. WebSphere Application Server 要求:下载设备信任库和 WebSphere Application Server 公用证书,并运行 keytool 实用程序将该证书添加到信任库。此工具将更新设备信任库,以包含来自 WebSphere Application Server 的证书。
    1. 如果您正在使用缺省设备信任库,那么请下载该活动信任库。 单击设备 > 设置 > 传输层安全性 (TLS)。单击下载活动信任库,并记住您在磁盘上保存该文件的位置,例如 /downloads/trustStore.jks 目录。
    2. 抽取 WebSphere Application Server 公用证书。
      1. WebSphere Application Server 管理控制台中,单击安全性 > SSL 证书和密钥管理 > 密钥库和证书
      2. 密钥库用途中选择根证书密钥库
      3. 选择 DmgrDefaultRootStore
      4. 选择个人证书
      5. 单击根目录密钥库中证书旁边的复选框。 指定要抽取的证书的标准文件名,如:/certificates/public.cer
      6. 在命令行窗口中运行以下命令:cd /java_home/bin
      7. 运行 keytool 实用程序。
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. 如果您要导入其他证书,请重复以上步骤抽取这些证书并再次运行 keytool 实用程序。
  3. 将密钥库和信任库信息上载到设备。 在设备用户界面中,单击设备 > 设置 > 传输层安全性 (TLS)。如果完成了 WebSphere Application Server 的步骤,请上载已更新的 /downloads/trustStore.jks 文件。 上载密钥库或信任库之后,必须更新相关联的密码。如果您使用的是缺省信任库,那么密码为 xc10pass
  4. 为集合体选择证书别名。
  5. 指定传输类型。 选择以下一个传输类型设置:
    • 支持 TLS:数据网格通过 TCP/IP、SSL 或 TLS 进行通信。用户界面可通过 HTTP 和 HTTPS 访问。
    • 需要 TLS:数据网格仅通过 SSL 或 TLS 进行通信。用户界面仅可通过 HTTPS 访问。
    • 已禁用数据网格 TLS:数据网格通过不安全的连接进行通信。用户界面可通过 HTTP 和 HTTPS 访问。
  6. 要要求客户机发送可信证书以启用通信,请选择启用客户机证书认证
  7. 单击提交 TLS 设置以保存对配置所作的更改。

结果

集合体必须重新启动才能完成对 TLS 配置所作的更改。

当集合体重新启动时,只能访问用户界面的有限部分。如果您无法访问用户界面的某些部分,请等待一段时间,然后再次提交请求。“任务”面板通过显示成功状态来自动指出某些 TLS 更改的完成。

如果您更改了设备使用的证书别名,那么可能需要重新启动浏览器,先注销然后重新登录到用户界面,或者根据浏览器提示来信任新的证书。

如果启用客户机认证时用户界面似乎不可用,请验证您是否已将可信的客户机证书导入到浏览器。如果未将可信的客户机证书导入到浏览器,那么您将无法访问用户界面。在您成功登录到用户界面之后,任务将指出成功进行了 TLS 配置。

下一步做什么

最佳实践