Tworzenie konfiguracji SSL (Secure Sockets Layer)

Konfiguracje SSL (Secure Sockets Layer) zawierają atrybuty potrzebne do kontrolowania punktów końcowych protokołu SSL klienta oraz serwera. konfiguracje SSL są tworzone za pomocą unikalnych nazw wewnątrz specyficznych zasięgów zarządzania w przychodzących i wychodzących drzewach topologii konfiguracji. To zadanie zawiera informacje dotyczące definiowania konfiguracji SSL, łącznie z jakością zabezpieczeń, zaufania oraz ustawieniami menedżera kluczy.

1. Kliknij Bezpieczeństwo > Zarządzanie certyfikatami SSL i kluczami > Zarządzaj konfiguracjami zabezpieczeń punktów końcowych
2. Wybierz odsyłacz do konfiguracji SSL w drzewie Przychodzące lub Wychodzące (zależnie od konfigurowanego procesu).
   • Jeśli zasięg został już powiązany z konfiguracją i aliasem, aliasy konfiguracji SSL oraz certyfikatu zostaną wyświetlone w nawiasach.
   • Jeśli żadne dane nie zostały wyświetlone w nawiasach, zasięg nie jest powiązany. Taki zasięg odziedziczy właściwości konfiguracyjne zasięgu znajdującego się bezpośrednio powyżej, powiązanego z konfiguracją SSL oraz aliasem certyfikatu.
   Zasięg komórki musi być powiązany z konfiguracją SSL, ponieważ znajduje się ona w najwyższym punkcie topologii i przedstawia domyślną konfigurację SSL dla połączeń przychodzących i wychodzących.
3. Kliknij opcję Konfiguracje SSL.
   Można wyświetlić i wybrać dowolne konfiguracje SSL ustawione na poziomie tego zasięgu. Można również wyświetlić te konfiguracje na poziomie dowolnego zasięgu, który zajmuje niższą pozycję w topologii.
4. Kliknij przycisk Nowy , aby wyświetlić panel konfiguracji SSL.
   Nie można wybrać odsyłaczy do dodatkowych właściwości, dopóki nie zostanie podana nazwa konfiguracji i kliknij przycisk Zastosuj.
5. Wprowadź nazwę konfiguracji SSL.
   To pole jest wymagane. Nazwa konfiguracji to alias konfiguracji SSL. Należy używać nazw aliasów jednoznacznych w obrębie listy aliasów konfiguracji SSL już utworzonych na poziomie wybranego zasięgu. Nowa konfiguracja SSL używa tego aliasu dla innych zadań konfiguracyjnych.
6. Wybierz nazwę magazynu zaufanych certyfikatów z listy rozwijanej.
   Nazwa magazynu zaufanych certyfikatów to nazwa specyficznego pliku zawierającego certyfikaty podmiotów podpisujących, sprawdzających poprawność zaufania dla certyfikatów przesyłanych poprzez połączenia zdalne podczas uzgadniania protokołu SSL. Jeśli na liście nie ma magazynu zaufanych certyfikatów, utwórz nowy magazyn zaufanych certyfikatów, który jest plikiem kluczy, którego rolą jest ustanowienie zaufania podczas nawiązywania połączenia.
7. Wybierz nazwę magazynu kluczy z listy rozwijanej.
   Magazyn kluczy zawiera certyfikaty osobiste reprezentujące tożsamość osoby podpisującej oraz klucz prywatny używany przez serwer WebSphere® Application Server do szyfrowania i podpisywania danych.
   • Jeśli nazwa magazynu kluczy została zmieniona, kliknij przycisk Pobierz aliasy certyfikatów, aby odświeżyć listę certyfikatów zawierającą wybrany alias domyślny. Serwer WebSphere Application Server korzysta z aliasu serwera dla połączeń przychodzących i aliasu klienta dla połączeń wychodzących.
   • Jeśli na liście nie ma magazynu kluczy, należy zapoznać się z utworzeniem nowego magazynu kluczy.
8. Wybierz domyślny alias certyfikatu serwera dla połączeń przychodzących.
   Alias domyślny należy wybrać tylko w przypadku, gdy nie określono aliasu konfiguracji w innym miejscu i nie wybrano aliasu certyfikatu. Drzewo konfiguracji SSL zarządzanych centralnie może przesłonić alias domyślny.
9. Wybierz domyślny alias certyfikatu klienta dla połączeń wychodzących.
   Wybierz alias domyślny tylko w przypadku, gdy konfiguracja SSL serwera określa uwierzytelnianie SSL klienta.
10. Przejrzyj zidentyfikowany zasięg zarządzania dla konfiguracji SSL.
    Ustaw zasięg zarządzania w tym polu identycznym z odsyłaczem wybranym w kroku 2. Aby zmienić zasięg, należy kliknąć inny odsyłacz w drzewie topologii i przejść do kroku 3.
11. Kliknij przycisk Zastosuj , jeśli zamierzasz skonfigurować właściwości dodatkowe. Aby pominąć tę operację, przejdź do kroku 24.
12. Kliknij opcję Ustawienia jakości ochrony (QoP).
    Ustawienia elementu QoP definiują siłę szyfrowania SSL, integralność osoby podpisującej oraz autentyczność certyfikatu.
13. Wybierz ustawienie uwierzytelnienia klienta, aby utworzyć konfigurację SSL dla połączeń przychodzących oraz, w razie potrzeby, dla klientów, którzy będą mogli dzięki niej wysyłać własne certyfikaty.
    • W przypadku zaznaczenia opcji Brak serwer nie wyśle żądania certyfikatu do klienta podczas uzgadniania.
    • W przypadku zaznaczenia opcji Obsługiwane serwer wyśle żądanie certyfikatu do klienta. Jeśli jednak klient nie posiada certyfikatu, uzgadnianie może zakończyć się pomyślnie.
    • W przypadku zaznaczenia opcji Wymagane serwer wysyła żądanie certyfikatu do klienta. Jeśli jednak klient nie posiada certyfikatu, uzgadnianie nie powiedzie się.
    Ważne: certyfikat osoby podpisującej, który reprezentuje klienta, musi znajdować się w magazynie zaufanych certyfikatów, który został wybrany dla konfiguracji SSL. Domyślnie, dla serwerów znajdujących się wewnątrz jednej komórki zaufanie jest włączone, ponieważ używają one wspólnego pliku certyfikatów zaufanych trust.p12, umieszczonego w katalogu komórek repozytorium konfiguracji. Jeśli jednak użytkownik używa własnych magazynów kluczy i plików zaufanych certyfikatów, należy wymienić podmioty podpisujące przed wybraniem opcji Obsługiwane lub Wymagane.
14. Wybierz jeden lub więcej protokołów dla uzgadniania SSL.

    Domyślnie produkt korzysta z pojedynczego protokołu uzgadniania protokołu SSL, SSL_TLSv2. Za pomocą programu SSL_TLSv2połączenia mogą akceptować protokoły TLSv1, TLSv1.1i TLSv1.2 . Protokół SSL_TLSv2 obsługuje wszystkie protokoły uzgadniania, z wyjątkiem SSLv2 po stronie serwera. Istnieje możliwość zmiany wartości domyślnej z SSL_TLSv2 na inny, pojedynczy protokół lub na dostosowaną listę protokołów.

    • Aby określić jeden protokół, należy kliknąć opcję Predefiniowane protokoły i wybrać protokół SSL z listy Wybierz protokół .

      W wersji 8.5.5.21nazwa tego ustawienia została zmieniona z Protokół na Predefiniowane protokoły.

      Niektóre pojedyncze wartości protokołu SSL reprezentują wiele konfiguracji SSL. Na przykład: SSL_TLSv2 umożliwia użycie protokołów TLSv1, TLSv1.1i TLSv1.2 .

    • Aby określić niestandardową listę wielu protokołów SSL, kliknij opcję Lista protokołów niestandardowych, wybierz protokoły z listy, a następnie kliknij przycisk Dodaj. Lista protokołów niestandardowych jest wyświetlana w konfiguracji zabezpieczeń jako lista rozdzielana przecinkami.

    Można wybrać jeden z następujących protokołów:

    • SSL_TLSv2, protokół domyślny, obsługuje protokoły klienta TLSv1 i SSLv3.
    • TLSv1 obsługuje protokoły TLS i TLSv1. Połączenie serwera SSL musi obsługiwać ten protokół, aby uzgodnienie było możliwe.
    • SSLv2
    • Protokół SSLv3 obsługuje protokół SSL i protokół SSLv3. Połączenie serwera SSL musi obsługiwać ten protokół, aby uzgodnienie było możliwe.
    • TLS to TLS 1
    • TLSv1
    • SSL_TLSv2 to SSL 3 i TLS 1, TLS 1.1, TLS 1.2
    • TLSv1.1
    • TLSv1.2
    • TLSv1.3

    Ważne:

    • Nie należy używać protokołu SSLv2 dla połączenia serwera SSL. Należy go używać tylko w przypadku, gdy jest to konieczne po stronie klienta.
    • Program TLSv1.3 jest wyświetlany na liście protokołów, które można wybrać, jeśli identyfikator serwera aplikacji działa na maszynie JVM, na której obsługiwany jest protokół TLSv1.3 . Protokół TLSv1.3 nie jest w tej chwili dołączony do żadnego innego protokołu. Jeśli używany jest protokół TLSv1.3, to jest to jedyny akceptowany protokół.
    • Produkt TLSv1.3 jest obsługiwany w systemach AIX®, Windows i Linux®. W systemie Solaris, w którym identyfikator serwera aplikacji jest uruchomiony na maszynie JVM, protokół TLSv1.3 NIE jest obsługiwany.
15. Wybierz dostawcę JSSE.
    • Predefiniowany dostawca JSSE (Java™ Secure Socket Extension). Dostawca IBMJSSE2 jest zalecany do użycia na wszystkich platformach, które go obsługują. Jego używanie jest wymagane przez kanał środowiska SSL. Jeśli włączono opcję standardu FIPS, protokół IBMJSSE2 jest używany w kombinacji z IBMJCEFIPS.
    • Niestandardowy dostawca JSSE. Wprowadź nazwę dostawcy w polu Niestandardowy dostawca.
16. Wybierz spośród następujących grup zestawów algorytmów szyfrowania.
    • Strong: serwer WebSphere Application Server może wykonywać 128-bitowe algorytmy poufności służące do szyfrowania i obsługi algorytmów podpisywania integralności. Silny zestaw algorytmów szyfrowania może jednak zmniejszyć wydajność połączenia.
    • Średni: WebSphere Application Server może wykonywać 40-bitowe algorytmy szyfrowania i obsługiwać algorytmy szyfrowania integralności.
    • Słabe: serwer WebSphere Application Server może obsługiwać algorytmy podpisywania integralności, ale nie może wykonywać szyfrowania. W przypadku tej opcji należy zachować ostrożność, ponieważ hasła oraz inne poufne informacje przesyłane wewnątrz sieci są widoczne dla programów podsłuchujących transmisje IP.
    • Niestandardowe: Pozwala wybrać specyficzne szyfry. Za każdym razem, gdy użytkownik wybiera szyfry zawarte w danym zestawie algorytmów szyfrowania, nazwa grupy jest zmieniana na Niestandardowe.
17. Kliknij opcję Aktualizuj wybrane szyfry , aby wyświetlić listę dostępnych szyfrów dla każdej mocy szyfru.
18. Kliknij przycisk OK , aby powrócić do nowego panelu konfiguracji SSL.
19. Kliknij opcję Menedżery zaufania i kluczy.
20. Wybierz domyślnego menedżera zaufania dla podstawowej wyboru dotyczącego zaufania uzgadniania SSL.
    • Wybierz opcję IbmPKIX, jeśli wymagane jest sprawdzenie listy odwołań certyfikatów (CRL) za pomocą punktów dystrybucji CRL w certyfikatach lub za pomocą protokołu OCSP (Online Certificate Status Protocol).
    • Wybierz opcję IbmX509, jeśli sprawdzenie listy CRL nie jest wymagane, ale potrzebna jest zwiększona wydajność. W celu sprawdzenia list CRL można skonfigurować niestandardowego menedżera zaufania.
21. W razie potrzeby zdefiniuj niestandardowego menedżera zaufania.
    Można zdefiniować niestandardowego menedżera zaufania, który zostanie uruchomiony z domyślnym menedżerem wybranym przez użytkownika. Niestandardowy menedżer zaufania musi implementować interfejs JSSE javax.net.ssl.X509TrustManager i opcjonalnie interfejs com.ibm.wsspi.ssl.TrustManagerExtendedInfo, aby pobierać informacje specyficzne dla produktu.
    1. Kliknij opcję Zabezpieczenia > Zarządzanie certyfikatami SSL i kluczami > Zarządzaj konfiguracjami zabezpieczeń punktów końcowych > konfiguracja_SSL > Menedżery zaufania i menedżerów kluczy > Menedżery zaufania > Nowy.
    2. Wprowadź unikalną nazwę menedżera zaufania.
    3. Wybierz opcję Niestandardowe .
    4. Wprowadź nazwę klasy.
    5. Kliknij przycisk OK.
       Po ponownym wyświetleniu panelu Menedżery zaufania i kluczy nowy menedżer zaufania zostanie wyświetlony w polu Dodatkowe zlecone menedżery zaufania. Użyj pól listy, aby dodać i usunąć niestandardowe menedżery zaufania.
22. Wybierz menedżera kluczy dla konfiguracji SSL.
    Domyślnie jedynym menedżerem do momentu utworzenia menedżera niestandardowego jest IbmX509.

    Ważne: Jeśli zostanie wybrana opcja implementowania własnego menedżera kluczy, można mieć wpływ na zachowanie aliasu, ponieważ menedżer kluczy jest odpowiedzialny za wybór aliasu certyfikatu z magazynu kluczy. The custom key manager might not interpret the SSL configuration as the WebSphere Application Server key manager IbmX509 does. Aby zdefiniować niestandardowy menedżer kluczy, kliknij opcję Zabezpieczenia > Zabezpiecz komunikację > Konfiguracje SSL > konfiguracja_SSL > Menedżery zaufania i kluczy > Menedżery kluczy > Nowy.
23. Kliknij przycisk OK , aby zapisać ustawienia zaufania i menedżera kluczy, a następnie powrócić do nowego panelu konfiguracji SSL.
24. Kliknij przycisk Zapisz , aby zapisać nową konfigurację SSL.