可以通过为您的配置修改或替换密钥库和信任库以及选择证书别名来配置传输层安全性 (TLS)。
开始之前
- 可以配置 TLS V1.0.0.4 或更高版本。
- 您必须使用的是 WebSphere® eXtreme Scale Client V7.1 修订包 1 或更高版本。
- 您必须已获得设备管理许可权。
- 您必须具有要将其相关联的密码添加至设备配置的密钥库或信任库。
- 如果要修改现有信任库,那么可以从设备下载该信任库。
- 您必须用客户机的公用证书更新信任库。该设备必须信任正在连接的客户机。
- 提供的信任库必须包含对密钥库中的某个条目作出响应的公用证书。来自密钥库的证书别名在信任库中必须可信,才能作为设备证书别名的可能配置选项进行提供。
- WebSphere Application
Server 中的全局安全性设置确定服务器如何尝试与 WebSphere DataPower® XC10 Appliance 连接:
- 全局安全性设置禁用时,将通过 TCP/IP 尝试建立连接。
- 全局安全性设置启用时,必须将设备的公用证书添加到 WebSphere Application
Server 信任库。
如果 WebSphere DataPower XC10 Appliance 已配置需要 TLS,那么必须启用全局安全性。
有关配置全局安全性的更多信息,请参阅全局安全性设置。
关于此任务
TLS 设置适用于用户界面和数据网格。这些设置适用于集合体中的所有设备。
过程
- WebSphere Application
Server 要求:将设备公用证书添加到 WebSphere Application
Server 缺省信任库。
- 如果您正在使用缺省设备信任库:
运行部署管理器上
was_root/bin 目录中的
addXC10PublicCert.py 脚本。使用以下命令:
wsadmin -lang jython -f addXC10PublicCert.py
- 如果您正在使用设备的定制密钥:
带
-certPath 命令行选项运行部署管理器上
was_root/bin 目录中的
addXC10PublicCert.py 脚本。
-certPath 命令行选项的值是一个公用证书的磁盘位置,该证书针对为设备上的密钥库配置的别名进行响应。
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- WebSphere Application
Server 要求:下载设备信任库和 WebSphere Application
Server 公用证书,并运行 keytool 实用程序将该证书添加到信任库。此工具将更新设备信任库,以包含来自 WebSphere Application
Server 的证书。
- 如果您正在使用缺省设备信任库,那么请下载该活动信任库。 单击。单击下载活动信任库,并记住您在磁盘上保存该文件的位置,例如 /downloads/trustStore.jks 目录。
- 抽取 WebSphere Application
Server 公用证书。
- 在 WebSphere Application
Server 管理控制台中,单击。
- 从密钥库用途中选择根证书密钥库。
- 选择 DmgrDefaultRootStore。
- 选择个人证书。
- 单击根目录密钥库中证书旁边的复选框。
指定要抽取的证书的标准文件名,如:/certificates/public.cer。
- 在命令行窗口中运行以下命令:cd /java_home/bin
- 运行 keytool 实用程序。
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- 如果您要导入其他证书,请重复以上步骤抽取这些证书并再次运行 keytool 实用程序。
- 将密钥库和信任库信息上载到设备。 在设备用户界面中,单击。如果完成了 WebSphere Application
Server 的步骤,请上载已更新的 /downloads/trustStore.jks 文件。
上载密钥库或信任库之后,必须更新相关联的密码。如果您使用的是缺省信任库,那么密码为 xc10pass。
- 为集合体选择证书别名。
- 指定传输类型。 选择以下一个传输类型设置:
- 支持 TLS:数据网格通过 TCP/IP、SSL 或 TLS 进行通信。用户界面可通过 HTTP 和 HTTPS 访问。
- 需要 TLS:数据网格仅通过 SSL 或 TLS 进行通信。用户界面仅可通过 HTTPS 访问。
- 已禁用数据网格 TLS:数据网格通过不安全的连接进行通信。用户界面可通过 HTTP 和 HTTPS 访问。
- 要要求客户机发送可信证书以启用通信,请选择启用客户机证书认证。
- 单击提交 TLS 设置以保存对配置所作的更改。
结果
集合体必须重新启动才能完成对 TLS 配置所作的更改。
当集合体重新启动时,只能访问用户界面的有限部分。如果您无法访问用户界面的某些部分,请等待一段时间,然后再次提交请求。“任务”面板通过显示成功状态来自动指出某些 TLS 更改的完成。
如果您更改了设备使用的证书别名,那么可能需要重新启动浏览器,先注销然后重新登录到用户界面,或者根据浏览器提示来信任新的证书。
如果启用客户机认证时用户界面似乎不可用,请验证您是否已将可信的客户机证书导入到浏览器。如果未将可信的客户机证书导入到浏览器,那么您将无法访问用户界面。在您成功登录到用户界面之后,任务将指出成功进行了 TLS 配置。
下一步做什么
最佳实践- 为了避免浏览器在您从不同的 Appliance 访问用户界面时发出警告,可考虑在密钥库中的证书的公共名 (CN) 中使用通配符。每个设备对 TLS 配置使用由证书别名指定的同一证书。例如,可以使用 *.mycompany.com 而不使用 myhost.mycompany.com 使证书对于 mycompany 域中的所有主机都有效。
- 您可能想使用专用的认证中心 (CA) 为与您对 TLS 配置选择的证书别名相关联的证书签名。然后,您可以将 CA 证书导入到浏览器,并信任具有由专用 CA 签名的证书的任何集合体且不用提示。使用专用 CA 通常仅适合于在专用内部网上进行访问。