透過修改或取代金鑰儲存庫及信任儲存庫,並選擇適用於配置的憑證別名,可以配置「傳輸層安全 (TLS)」。
開始之前
- 可以配置 1.0.0.4 版或更新版本的 TLS。
- 必須是使用 WebSphere® eXtreme
Scale 用戶端 7.1 版修正程式 1 或更新版本。
- 您必須獲得「軟體驅動裝置管理」權限。
- 必須具有使用您要新增至軟體驅動裝置配置之相關聯密碼的金鑰儲存庫或信任儲存庫。
- 如果您要修改現有信任儲存庫,則可以從軟體驅動裝置下載信任儲存庫。
- 必須使用用戶端的公用憑證來更新信任儲存庫。軟體驅動裝置必須信任正在連接的用戶端。
- 所提供的信任儲存庫必須包括對應於金鑰儲存庫中項目的公用憑證。金鑰儲存庫中的憑證別名必須在信任儲存庫中授信,才可能作為適用於軟體驅動裝置憑證別名的配置選項予以提供。
- WebSphere Application
Server 中的廣域安全設定,會判定伺服器嘗試連接 WebSphere DataPower® XC10 Appliance 的方式:
- 當停用廣域安全設定時,將透過 TCP/IP 嘗試連接。
- 當啟用廣域安全設定時,必須新增軟體驅動裝置的公用憑證至 WebSphere Application
Server 信任儲存庫。
如果您的 WebSphere DataPower XC10 Appliance 已配置 TLS 必要,則必須啟用廣域安全。如需配置廣域安全的相關資訊,請參閱廣域安全設定。
關於這項作業
TLS 設定適用於使用者介面和資料網格。
該設定會套用至群體中的所有軟體驅動裝置。
程序
- 對 WebSphere Application
Server 而言是必要的:將軟體驅動裝置公用憑證新增至 WebSphere Application
Server 預設信任儲存庫。
- 如果是使用預設軟體驅動裝置信任儲存庫,請執行下列動作:
從部署管理程式上的
was_root/bin 目錄執行
addXC10PublicCert.py Script。使用下列指令:
wsadmin -lang jython -f addXC10PublicCert.py
- 如果是使用軟體驅動裝置的自訂金鑰,請執行下列動作:
使用
-certPath 指令行選項,從部署管理程式上的
was_root/bin 目錄執行
addXC10PublicCert.py Script。
-certPath 指令行選項的值是公用憑證的磁碟位置,該憑證對應於在軟體驅動裝置上為金鑰儲存庫配置的別名。
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- 對 WebSphere Application
Server 而言是必要的:下載軟體驅動裝置信任儲存庫和 WebSphere Application
Server 公用憑證,並執行 keytool 公用程式以將憑證新增至信任儲存庫。此工具會更新軟體驅動裝置信任儲存庫,以包括來自 WebSphere Application
Server 的憑證。
- 如果是使用預設軟體驅動裝置信任儲存庫,請下載作用中的信任儲存庫。 按一下。按下載作用中的信任儲存庫並記住您在磁碟上儲存檔案的位置,例如在 /downloads/trustStore.jks 目錄中。
- 擷取 WebSphere Application
Server 公用憑證。
- 在 WebSphere Application
Server 管理主控台中,按一下。
- 從金鑰儲存庫使用情形中,選取主要憑證金鑰儲存庫。
- 選取 DmgrDefaultRootStore。
- 選取個人憑證。
- 按一下主要金鑰儲存庫中憑證旁邊的勾選框。
指定要擷取之憑證的完整檔名,例如:/certificates/public.cer。
- 在指令行視窗中,執行下列指令:cd
/java_home/bin
- 執行 keytool 公用程式。
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- 如果要匯入其他憑證,請重複這些步驟,以再次擷取憑證並執行 keytool 公用程式。
- 將金鑰儲存庫和信任儲存庫資訊上傳至軟體驅動裝置。 在軟體驅動裝置使用者介面中,按一下。如果已完成適用於 WebSphere Application
Server 的步驟,請上傳已更新的 /downloads/trustStore.jks 檔。
上傳金鑰儲存庫或信任儲存庫之後,必須更新相關聯的密碼。如果是使用預設信任儲存庫,則密碼為 xc10pass。
- 選取群體的憑證別名。
- 指定傳輸類型。 選擇下列其中一個傳輸類型設定:
- TLS 受支援:資料網格使用 TCP/IP、SSL 或 TLS 進行通訊。可使用 HTTP 和 HTTPS 存取使用者介面。
- TLS 必要:資料網格僅使用 SSL 或 TLS 進行通訊。只能使用 HTTPS 存取使用者介面。
- 資料網格 TLS 已停用:資料網格使用未受保護的連線進行通訊。可使用 HTTP 和 HTTPS 存取使用者介面。
- 若需要用戶端傳送授信憑證以啟用通訊,請選取啟用用戶端憑證鑑別。
- 按一下提交 TLS 設定以儲存對配置所做的變更。
結果
群體必須重新啟動,才能完成 TLS 配置變更。
當群體重新啟動時,只能存取使用者介面的某些部分。如果無法存取使用者介面的某些部分,請等待適當的時間,然後再次提交該要求。「作業」畫面透過顯示成功狀態,來自動顯示部分 TLS 變更已完成。
如果已變更軟體驅動裝置所使用的憑證別名,則可能需要重新啟動瀏覽器、登出使用者介面並重新登入,或根據瀏覽器提示信任新的憑證。
如果使用者介面在啟用了用戶端鑑別時無法使用,請驗證是否已將授信用戶端憑證匯入到瀏覽器中。如果未將授信用戶端憑證匯入到瀏覽器中,則您無法存取使用者介面。順利登入使用者介面之後,作業會指出 TLS 的配置已成功。
下一步
最佳實務- 為了避免從不同軟體驅動裝置存取使用者介面時發生瀏覽器警告,請考量在金鑰儲存庫內憑證的「通用名稱 (CN)」中包括萬用字元。每一個軟體驅動裝置均對 TLS 配置使用憑證別名所指定的相同憑證。例如,您可能使用 *.mycompany.com 而不是 myhost.mycompany.com,來使憑證對 mycompany 網域中的所有主機都有效。
- 您可能要使用專用憑證管理中心 (CA),來簽署與您為 TLS 配置選擇之憑證別名相關聯的憑證。然後,您可以將 CA 憑證匯入到瀏覽器中,並信任所有包含憑證(由專用 CA 簽署)的群體,而無需提示。通常,使用專用 CA 只適用於專用內部網路上的存取。