Sie können die Voraussetzungen für die Registrierung Ihrer Server und die manuelle Einrichtung der Sicherheitsüberwachung ermitteln. Zu den Informationen, die Sie benötigen, um die Nutzungsmessungsfunktion zu aktivieren, gehören URL der Nutzungsmessungsfunktion in WebSphere Automation, der API-Schlüssel und das Nutzungsmessungszertifikat.
Vorbereitende Schritte
Zum Registrieren Ihrer Anwendungsserver mit dem Service zur Nutzungsüberwachung in
WebSphere Automation müssen Sie die Funktion zur Nutzungsüberwachung in den einzelnen Anwendungsservern konfigurieren. Die Funktion zur Nutzungsüberwachung ist in den folgenden
WebSphere® Application Server-Fixpacks und
Liberty-Versionen verfügbar. Wenn sich Ihre Anwendungsserver in älteren Fixpacks oder Versionen befinden, können Sie sie nicht bei
WebSphere Automation registrieren.
- WebSphere Application Server (alle Editionen) 8.5.5.15 und höher
- WebSphere Application Server (alle Editionen) 9.0.0.9 und höher
- Liberty (alle Editionen) 18.0.0.3 und höher
Wichtig: Das Nutzungsüberwachungsfeature ist eine unterstützte, stabilisierte Komponente von WebSphere Application Server und WebSphere Application Server Liberty für die Verwendung mit WebSphere Automation. Sie wurde zuvor zusammen mit dem jetzt entfernten Messservice in IBM Cloud Private verwendet. Die Stabilisierung des Features ersetzt alle Erwähnungen seiner Nichtweiterverwendung in der WebSphere Application Server -oder WebSphere Application Server Liberty-Dokumentation.
Informationen zu dieser Task
Zum Konfigurieren des Nutzungsüberwachungsfeatures in jedem Ihrer Anwendungsserver müssen Sie die folgenden Nutzungsüberwachungselemente anfordern. Beispielcode-Snippets für diese Elemente werden im Dialog
Server registrieren bereitgestellt. Klicken Sie zum Anzeigen auf der Seite
Serververwaltung auf
Server registrieren . Erstellen Sie Kopien des Beispielcodes und passen Sie ihn an Ihre Umgebung an. In den Anweisungen zur Registrierung von
WebSphere Application Server -und
WebSphere Application Server Liberty -Servern wird die Verwendung dieser Elemente detailliert beschrieben.
- URL
- Die URL des Nutzungsüberwachungsservice in WebSphere Automation. Dieser Service registriert WebSphere Application Server-Server und Liberty-Server bei WebSphere Automation, so dass Sie Sicherheitslücken verfolgen können.
- API-Schlüssel
- Das Token, das für die Authentifizierung der WebSphere Application Server-Server und Liberty-Server während des Registrierungsprozesses verwendet wird.
- Zertifikat der Nutzungsüberwachung
- Das Zertifikat, das den öffentlichen Schlüssel enthält. Dieser Schlüssel ermöglicht es einem Anwendungsserver, der sich bei WebSphere Automation registriert, einen SSL-Handshake mit dem Messservice vorzunehmen.
Sie verwenden dieselbe URL, denselben API-Schlüssel und dasselbe Zertifikat für die Nutzungsüberwachung für alle Anwendungsserver, die Sie im Service zur Nutzungsüberwachung in WebSphere Automation registrieren. Bei den Anwendungsservern kann es sich um WebSphere Application Server-Server oder Liberty-Server handeln. Wenn Sie also die URL, den API-Schlüssel und das Zertifikat zuvor erhalten haben und diese noch immer haben, müssen Sie sie nicht erneut anfordern.
Verwenden Sie eine der folgenden Methoden, um die URL und den API-Schlüssel sowohl für
WebSphere Application Server-Server als auch für
Liberty-Server abzurufen. Verwenden Sie außerdem eine der beiden Methoden, um das Nutzungsüberwachungszertifikat für
Liberty-Server abzurufen.
Zum Abrufen von Zertifikaten zur Nutzungsüberwachung für WebSphere Application Server-Server verwenden Sie einen Befehl, der für WebSphere Application Server spezifisch ist.
Vorgehensweise
- Ermitteln Sie URL für die Nutzungsmessung.
Sie können entweder den
Red Hat OpenShift -CLI-Client oder die Administrationskonsole verwenden.
- Rufen Sie die URL über den Red Hat OpenShift-CLI-Client ab.
- Rufen Sie mit dem Befehl oc die URL ab und speichern Sie sie in der Datei url.txt.
Setzen Sie die Variable name_space auf den Namensbereich, in dem WebSphere Automation installiert ist.
Führen Sie für das UNIX-Betriebssystem den folgenden Befehl aus.
oc get route cpd -n name_space -o jsonpath=https://{.spec.host}/websphereauto/meteringapi > url.txt && cat url.txt
Führen Sie für das Windows-Betriebssystem den folgenden Befehl aus.
oc get route cpd -n name_space -o jsonpath=https://{.spec.host}/websphereauto/meteringapi > url.txt && type url.txt
Die Datei url.txt wird in demselben Verzeichnis gespeichert, in dem der Befehl ausgeführt wird. Sie können jedoch einen anderen Dateinamen und ein anderes Verzeichnis auswählen. In einigen Situationen geben Sie die von Ihnen gespeicherte URL manuell an, so dass Sie Ihren Anwendungsserver mit dem Nutzungsüberwachungsservice konfigurieren können.
- Rufen Sie die URL von Ihrer Red Hat OpenShift-Administrationskonsole ab.
- Klicken Sie in der Administrationskonsole von Red Hat OpenShift auf Installierte Operatoren.
- Wählen Sie im Menü Projekt den Namensbereich aus, in dem die WebSphere Automation-Instanz installiert ist.
- Wählen Sie den WebSphere Automation-Operator aus.
- Wählen Sie die Registerkarte WebSphereSecure-Instanzen aus.
- Wählen Sie die Instanz aus.
- Kopieren Sie den Hostnamen aus dem Feld IBM Automation-Benutzerschnittstelle und ersetzen Sie die Variable Hostname in der URL
https://hostname/websphereauto/meteringapi durch den Namen.
- Speichern Sie die URL in einer Datei, z. B. in der Datei url.txt .
Sie wählen den Dateinamen und das Verzeichnis aus. In einigen Situationen geben Sie die URL manuell an, so dass Sie Ihren Anwendungsserver mit dem in WebSphere Automation enthaltenen Nutzungsüberwachungsservice konfigurieren können.
- Rufen Sie den API-Schlüssel ab.
Sie können entweder den
Red Hat OpenShift -CLI-Client oder die Administrationskonsole verwenden.
- Rufen Sie den API-Schlüssel mit dem Red Hat OpenShift-CLI-Client ab.
- Setzen Sie die Variable name_space auf den Namensbereich, in dem WebSphere Automation installiert ist. Der sich daraus ergebende Instanzname wird im nächsten Befehl verwendet, um den API-Schlüssel abzurufen.
Führen Sie für das UNIX-Betriebssystem den folgenden Befehl aus.
oc get WebSphereSecure -n name_space -o jsonpath='{.items[?(@.kind=="WebSphereSecure")].metadata.name}'
Führen Sie für das Windows-Betriebssystem den folgenden Befehl aus.
oc get WebSphereSecure -n name_space -o jsonpath={.items[?(@.kind=='WebSphereSecure')].metadata.name}
- Rufen Sie mit dem Befehl oc den API-Schlüssel ab und speichern Sie ihn in der Datei api-key.txt.
Ersetzen Sie die Variable Instanzname durch den Instanznamen, der sich aus dem vorherigen Befehl ergibt. Die Variable befindet sich an zwei Stellen in den folgenden Befehlen.
Führen Sie für das UNIX-Betriebssystem den folgenden Befehl aus.
oc -n name_space get secret instance_name-metering-apis-encrypted-tokens -o jsonpath='{.data.'instance_name'-metering-apis-sa}' | base64 -d > api-key.txt && cat api-key.txt
Führen Sie für das Windows-Betriebssystem den folgenden Befehl aus.
oc -n name_space get secret instance_name-metering-apis-encrypted-tokens -o jsonpath={.data.instance_name-metering-apis-sa} > temp.txt && type temp.txt
Decodieren Sie für das Windows-Betriebssystem den API-Schlüssel mithilfe der Base64-Decodierung.
certutil -decode temp.txt api-key.txt && type api-key.txt
Die Datei api-key.txt wird in demselben Verzeichnis gespeichert, in dem der Befehl ausgeführt wird. Sie können jedoch einen anderen Dateinamen und ein anderes Verzeichnis auswählen. In einigen Situationen geben Sie den von Ihnen gespeicherten API-Schlüssel manuell an, damit Sie Ihren Anwendungsserver mit dem Nutzungsüberwachungsservice konfigurieren können.
- Rufen Sie den API-Schlüssel über Ihre Red Hat OpenShift-Administrationskonsole ab.
- Klicken Sie in der Red Hat OpenShift Verwaltungskonsole auf “.
- Wählen Sie im Projektmenü den Namensraum, in dem die WebSphere Automation-Instanz installiert ist.
- Suchen Sie das Feld
metering-apis-encrypted-tokens und klicken Sie dann auf den geheimen Schlüssel.
- Klicken Sie auf Werte anzeigen und kopieren Sie den API-Schlüssel.
- Speichern Sie den API-Schlüssel in einer Datei, beispielsweise in der Datei api-key.txt .
Sie wählen den Dateinamen und das Verzeichnis aus. In einigen Situationen geben Sie den API-Schlüssel manuell an, so dass Sie Ihren Anwendungsserver mit dem in WebSphere Automation enthaltenen Nutzungsüberwachungsservice konfigurieren können.
Hinweis: Das Speichern des API-Schlüssels im Klartextformat ist kein Sicherheitsproblem. Der Schlüssel ermöglicht den Zugriff nur auf die Nutzungsüberwachungs-APIs und wird nur für die Registrierung von Servern verwendet. Von den Nutzungsüberwachungs-APIs werden keine Informationen an den Aufrufenden zurückgegeben.
- Rufen Sie das Nutzungsüberwachungszertifikat ab.
Sie können entweder den
Red Hat OpenShift -CLI-Client oder die Administrationskonsole verwenden.
Hinweis: Das Nutzungsüberwachungszertifikat ist 90 Tage lang gültig. Es muss nach dem Ablauf ersetzt werden.
- Rufen Sie das Nutzungsmesszertifikat mit Ihrem Red Hat OpenShift-CLI-Client ab.
- Führen Sie einen der folgenden oc -Befehle aus, um das Nutzungsüberwachungszertifikat abzurufen.
Speichern Sie das Nutzungsüberwachungszertifikat in einer metering_certificate_file.pem -Datei.
Setzen Sie die Variable name_space auf den Namensbereich, in dem WebSphere Automation installiert ist.
Führen Sie für das UNIX Betriebssystem, wenn ein benutzerdefiniertes Zertifikat konfiguriert ist, den folgenden Befehl aus:
oc get secret wsa-external-tls-secret -n name_space -o jsonpath='{.data.cert\.crt}' | base64 -d > metering_certificate_file.pem && cat metering_certificate_file.pem
Führen Sie andernfalls für das Betriebssystem UNIX bei Verwendung des Standardzertifikats den folgenden Befehl aus:
oc get secret wsa-default-external-tls-secret -n name_space -o jsonpath='{.data.cert\.crt}' | base64 -d > metering_certificate_file.pem && cat metering_certificate_file.pem
Führen Sie für das Windows Betriebssystem, wenn ein benutzerdefiniertes Zertifikat konfiguriert ist, den folgenden Befehl aus:
oc get secret wsa-external-tls-secret -n name_space -o jsonpath='{.data.cert\.crt}' | base64 -d > cert.txt
Führen Sie andernfalls für das Betriebssystem Windows bei Verwendung des Standardzertifikats den folgenden Befehl aus:
oc get secret wsa-default-external-tls-secret -n name_space -o jsonpath='{.data.cert\.crt}' | base64 -d > cert.txt
Decodieren Sie das Zertifikat für das Windows-Betriebssystem mithilfe der Base64-Decodierung.
certutil -decode cert.txt usagemeteringcert.pem && type usagemeteringcert.pem
Die Datei usagemeteringcert.pem wird in demselben Verzeichnis gespeichert, in dem der Befehl ausgeführt wird. Sie können den Dateinamen und das Verzeichnis auswählen. In einigen Situationen geben Sie manuell das Nutzungsüberwachungszertifikat an, das Sie gespeichert haben, damit Sie Ihren Anwendungsserver mit dem Nutzungsmessservice konfigurieren können.
- Rufen Sie das Nutzungsüberwachungszertifikat von Ihrer Red Hat OpenShift-Administrationskonsole ab.
- Klicken Sie in der Red Hat OpenShift Konsole auf “.
- Wählen Sie das Projekt, in dem die WebSphere Automation-Instanz erstellt wurde.
- Suchen Sie nach dem Geheimnis
external-tls-secret (wenn ein benutzerdefiniertes Zertifikat konfiguriert ist) oder wsa-default-external-tls-secret (wenn das Standardzertifikat konfiguriert ist) und klicken Sie darauf.
- Klicken Sie auf Werte anzeigen, und kopieren Sie das Zertifikat.
- Speichern Sie den Inhalt des Zertifikats in einer Datei, z. B. in der Datei metering_certificate_file.pem. Sie wählen den Dateinamen und das Verzeichnis für die Datei aus. In einigen Situationen geben Sie manuell das Nutzungsüberwachungszertifikat an, das Sie gespeichert haben, damit Sie Ihren Anwendungsserver mit dem Nutzungsmessservice konfigurieren können.
See also https://github.ibm.com/websphere/automation-doc/issues/794