Keystore einrichten

Importieren Sie für die Überwachung von HTTPS-Transaktionen die Schlüssel für alle zu überwachenden Web-Server in den KT5-Keystore.

Informationen zu diesem Vorgang

Dazu können Sie die SSL-Zertifikate von den überwachten Web-Servern exportieren und sie mithilfe von IBM Key Management (iKeyman) in den HTTPS-Keystore importieren. Oder Sie können die Stashdatei für den Keystore des Web-Servers (.kdb) im HTTPS-Keystore angeben. Wenn Sie Response Time Monitoring installieren oder konfigurieren, werden Sie zur Angabe der Position der Datei keys.kdb aufgefordert.

Wenn keine Stashdateien für den Keystore (.kdb bzw. .sth) vorhanden sind, stellen Sie sicher, dass der CMS-Provider in der verwendeten Java-Version aktiviert ist, sodass Sie iKeyman zum Einrichten der Schlüsseldatenbank verwenden können.
  1. Wechseln Sie in das Verzeichnis installationsverzeichnis/ibm-jre/jre/lib/security. Beispiel:
    • Linux /opt/ibm/apm/agent/JRE/lx8266/lib/security
    • Windows C:\Program Files\IBM\APM\ibm-jre\jre\lib\security
  2. Fügen Sie die folgende Anweisung zur Liste der Sicherheitsprovider in der Datei java.security hinzu. Dabei steht nummer für die letzte Folgenummer in der Liste. 
    security.provider.nummer=com.ibm.security.cmskeystore.CMSProvider
    Die Liste der Provider sieht wie im folgenden Beispiel aus: 
    ## List of providers and their preference orders #
security.provider.1=com.ibm.jsse.IBMJSSEProvider
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.cmskeystore.CMSProvider
...
#
  3. Speichern und schließen Sie die Datei.
Einschränkung: Response Time Monitoring kann keinen Datenverkehr entschlüsseln, der den Diffie-Hellman-Schlüsselaustausch verwendet.

Vorgehensweise

Um die HTTPS-Transaktionsüberwachung zu aktivieren, müssen Sie die SSL-Zertifikate der zu überwachenden Web-Server sammeln und die Zertifikate sowie die Stashdateien des Keystores mithilfe von iKeyman in den HTTPS-Keystore importieren. Im folgenden Beispiel wird iKeyman verwendet, um die Zertifikate aus einer IBM HTTP Server-Instanz zu exportieren und sie in den HTTPS-Keystore zu importieren:

  1. Installieren Sie Response Time Monitoring Agent auf jedem HTTPS-Web-Server, der überwacht werden soll.
  2. Führen Sie IBM Key Management (iKeyman) im IBM Java-Verzeichnis bin aus. Führen Sie dazu abhängig von Ihrem Betriebssystem einen der folgenden Befehle aus:
    • AIXLinux /opt/ibm/apm/agent/JRE/lx8266/bin/ikeyman
      Anmerkung: Damit iKeyman verwendet werden kann, muss X Window System in der Umgebung installiert sein.
    • Windows c:\IBM\APM\java\java80_x64\jre\bin\ikeyman
  3. Erstellen Sie eine neue Keystore-Datenbank. Führen Sie im Dialogfeld New (Neu) die folgenden Schritte aus:
    1. Wählen Sie in der Liste Key database type (Typ der Schlüsseldatenbank) den Typ CMS aus.
      Wenn CMS in der Liste nicht verfügbar ist, ist der CMS-Provider möglicherweise nicht aktiviert. Aktivieren Sie in diesem Fall den CMS-Provider in der Java-Sicherheitsdatei.
    2. Geben Sie im Feld File Name (Dateiname) den Namen der HTTPS-Keystore-Datei ein und klicken Sie auf OK.
      Beispiel: keys.kdb.
  4. Führen Sie im Dialogfeld Password Prompt (Aufforderung zur Kennworteingabe) die folgenden Schritte aus:
    1. Geben Sie in den Feldern Password (Kennwort) und Confirm Password (Kennwort bestätigen) das Kennwort für den Zugriff auf keys.kdb ein bzw. bestätigen Sie das Kennwort.
      Legen Sie keine Ablaufzeit fest, es sei denn, Sie wollen die Keystore-Datenbank in bestimmten Zeitabständen neu generieren und Response Time Monitoring Agent neu starten.
    2. Wählen Sie das Kontrollkästchen Stash the password to a file? (Kennwort verdeckt in einer Datei speichern?) aus, um das Kennwort für keys.kdb in verschlüsselter Form in der Stashdatei keys.sth zu speichern.

      Hinweis: Response Time Agent unterstützt verdeckte Kennwörter nur bedingt (nur Version 1). Führen Sie ab APM 8.1.4 den folgenden Befehl aus, um das Kennwort für die Datei 'keys.kdb' in einer verschlüsselten Stashdatei namens 'keys.sth' zu speichern.

      Linux: 
      cp keyfile.sth keyfile.sth.new-format
      cd /opt/IBM/ccm/agent/lx8266/gs/bin
      #export LD_LIBRARY_PATH=/opt/ibm/apm/agent/lx8266/gs/lib64:$LD_LIBRARY_PATH
      ./gsk8capicmd_64 -keydb -stashpw -db /opt/IBM/ccm/agent/keyfiles/keyfile.kdb -v1stash
      Windows: 
      copy server.sth server.sth.backup
      set PATH=c:\IBM\APM\GSK8_x64\lib64;%PATH%
      C:\IBM\APM\GSK8_x64\bin\gsk8capicmd_64 -keydb -stashpw -db .\server.kdb -pw passw0rd -v1stash
  5. Führen Sie im Abschnitt Key database content (Inhalt der Schlüsseldatenbank) des Fensters von iKeyman die folgenden Schritte aus:
    1. Wählen Sie die Option Personal Certificates (Persönliche Zertifikate) aus.
    2. Klicken Sie auf Import (Importieren).
    3. Wählen Sie in der Liste Keyfile type (Schlüsseldateityp) im Dialogfenster Import Key (Schlüssel importieren) den Typ CMS aus.
    4. Blättern Sie durch die Keystore-Datei und klicken Sie auf Open (Öffnen) und anschließend auf OK.
    5. Geben Sie im Dialogfenster Password Prompt (Aufforderung zur Kennworteingabe) das Kennwort für den Keystore ein.
    6. Wählen Sie den Schlüssel in der Liste aus und klicken Sie auf OK.
    7. Wählen Sie im Dialogfenster Change Labels (Kennsätze ändern) den Namen des Schlüsselkennsatzes aus. Geben Sie im Feld Enter a new label (Neuen Kennsatz eingeben) den Hostnamen des Servers an und klicken Sie auf Apply (Anwenden).
      Anmerkung: Dieser Wert wird später benötigt, um die Konfiguration von Response Time Monitoring durchzuführen. Daher sollten Sie ihn notieren.
    8. Klicken Sie auf OK.
  6. Speichern Sie den HTTPS-Keystore.

Schlüssel aus Internet Information Services importieren

Führen Sie die folgenden Schritt durch, um Schlüssel aus Internet Information Services zu extrahieren und in den KT5Keystore zu importieren:

  1. Installieren Sie Response Time Monitoring Agent auf jedem HTTPS-Web-Server, der überwacht werden soll.
  2. Exportieren Sie eine .pxf-Datei aus Internet Information Services:
    1. Wählen Sie im Windows Startmenü Verwaltungsprogramme > Internetinformationsdienste (IIS)-Manager aus.
    2. Wählen Sie den Web-Server und die Site aus, deren privaten Schlüssel Sie exportieren möchten, klicken Sie dann mit der rechten Maustaste und wählen Sie im Kontextmenü Eigenschaften aus.
    3. Wählen Sie die Registerkarte Verzeichnissicherheit und dann im Abschnitt Sichere Kommunikation Serverzertifikat aus.
    4. Klicken Sie im IIS-Zertifikat-Assistant auf Weiter.
    5. Wählen Sie Aktuelles Zertifikat in eine PFX-Datei exportieren aus und klicken Sie auf Weiter.
    6. Geben Sie den Pfad und den Dateinamen ein und klicken Sie auf Weiter.
    7. Geben Sie ein Exportkennwort für den Schlüssel ein und klicken Sie auf Weiter.
    8. Klicken Sie auf allen nachfolgenden Seiten auf Weiter und klicken Sie dann auf Fertig stellen.
  3. Extrahieren Sie persönliche und Unterzeichnerzertifikate aus der .pfx-Datei.
    1. Führen Sie IBM Key Management (iKeyman) im IBM Java-Verzeichnis bin mit dem Befehl c:\IBM\APM\java\java80_x64\jre\bin\ikeyman aus. Stellen Sie sicher, dass die Umgebungsvariable JAVA_HOME festgelegt ist.
    2. Wählen Sie in der Keystore-Datenbank File > Open (Datei / Öffnen) aus.
    3. Wählen Sie in der Liste Key database type (Typ der Schlüsseldatenbank) PKCS12 aus.
    4. Geben Sie den Namen und den Pfad für die .pfx-Datei ein, die Sie oben erstellt haben, und klicken Sie dann auf OK. Geben Sie das Kennwort ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann auf OK.
    5. Wählen Sie Key Database Content > Personal Certificates (Inhalt der Schlüsseldatenbank / Persönliche Zertifikate) aus und klicken Sie dann auf Export/Import.
    6. Wählen Sie den Aktionstyp Export Key (Schlüssel exportieren) und den Schlüsseldateityp PKCS12 aus. Geben Sie einen Dateinamen und eine Position für den exportierten Schlüssel ein und klicken Sie auf OK. Geben Sie ein Exportkennwort ein, wenn Sie dazu aufgefordert werden, und klicken Sie dann erneut auf OK.
    7. Wenn das persönliche Zertifikat durch eine Zertifizierungsstelle unterzeichnet wurde, wählen Sie Key Database Content > Signer Certificates (Inhalt der Schlüsseldatenbank / Unterzeichnerzertifikate) aus und klicken Sie auf Extract (Extrahieren). Wählen Sie den Standarddateityp aus und geben Sie einen Dateinamen und eine Position für das exportierte Zertifikat ein und klicken Sie dann auf OK.
  4. Falls erforderlich, extrahieren Sie Unterzeichnerzertifikatsdateien (.cer):
    1. Wenn eine Unterzeichnerzertifikatsdatei aus der .pfx-Datei extrahiert wurde, navigieren Sie zu dem Verzeichnis, in dem sie gespeichert wurde, und erstellen Sie eine neue Kopie mit der Erweiterung .cer. Klicken Sie doppelt auf die neue Kopie, um sie mit dem Windows-Zertifikatsanzeiger (Certificate Viewer) zu öffnen.
    2. Auf der Registerkarte Zertifizierungspfad können Sie die Unterzeichnerzertifikatskette sehen. Das unterste Element in der Kette sollte das persönliche Zertifikat sein. Führen Sie für alle oberhalb davon befindlichen Zertifikate die folgenden Schritte durch:
      1. Wählen Sie ein Zertifikat aus und klicken Sie auf Zertifikat anzeigen.
      2. Wählen Sie Details aus und klicken Sie auf In Datei kopieren.
      3. Akzeptieren Sie alle Standardwerte im Zertifikatexport-Assistenten und geben Sie einen Dateinamen mit der Erweiterung .cer ein.
  5. Erstellen Sie eine neue Keystore-Datenbank. Führen Sie im Dialogfeld New (Neu) die folgenden Schritte aus:
    1. Wählen Sie in der Liste Key database type (Typ der Schlüsseldatenbank) CMS aus und geben Sie einen Dateinamen und eine Position ein. Geben Sie ein Kennwort für den neuen Keystore ein, wenn Sie dazu aufgefordert werden.
      Anmerkung: Stellen Sie sicher, dass Sie Stash the password to a file (Kennwort verdeckt in einer Datei speichern) auswählen.
    2. Führen Sie die folgenden Schritte durch, wenn Unterzeichnerzertifikate aus der .pfx-Datei extrahiert wurden:
      1. Wählen Sie Key Database Content > Signer Certificates (Inhalt der Schlüsseldatenbank / Unterzeichnerzertifikate) aus.
      2. Klicken Sie für jedes Unterzeichnerzertifikat auf Add (Hinzufügen) und fügen Sie die .cer-Datei hinzu.
    3. Wählen Sie Key Database Content > Personal Certificates (Inhalt der Schlüsseldatenbank / Persönliche Zertifikate) aus und klicken Sie auf Import.
    4. Wählen Sie den Schlüsseldateityp PKCS12 sowie den Namen und die Position der .p12-Datei aus. Geben Sie das Kennwort ein, wenn Sie dazu aufgefordert werden.
    5. Speichern Sie den Keystore und verlassen Sie das Dienstprogramm für die Schlüsselverwaltung.
    6. Kopieren Sie die .kdb- und .sth-Dateien in den KT5Keystore auf der Response Time Monitoring-Appliancemaschine.
    7. Stellen Sie die IBM Key Management-Datenbank- und Stashdateien (.kdb und .sth) in ein sicheres Verzeichnis und stellen Sie sicher, dass sie nur vom Administrator oder vom Rootbenutzer (oder der Benutzer-ID, die beim Installieren von Response Time Monitoring Agent verwendet wurde) gelesen werden können.