Конфигурирование склада ключей

Для мониторинга транзакций HTTPS импортируйте в KT5Keystore ключи для всех веб-серверов, которые вы хотите отслеживать.

Об этой задаче

Можно экспортировать сертификаты SSL с отслеживаемых веб-серверов и импортировать их на склад ключей HTTPS при помощи IBM Key Management (iKeyman) или указать stash-файл склада ключей (.kdb) веб-сервера на склад ключей HTTPS. При установке или конфигурировании Мониторинг времени ответа у вас запросят положение файла keys.kdb.

Если stash-файлов (.kdb и .sth) нет, то убедитесь, что в вашей версии Java разрешен провайдер CMS, чтобы можно было использовать iKeyman для настройки базы данных ключей:
  1. Перейдите в каталог_установки/ibm-jre/jre/lib/security. Например:
    • Linux /opt/ibm/apm/agent/JRE/lx8266/lib/security
    • Windows C:\Program Files\IBM\APM\ibm-jre\jre\lib\security
  2. Добавьте в список провайдеров защиты в файле java.security следующий оператор, где номер - это последний порядковый номер в списке.
    security.provider.номер=com.ibm.security.cmskeystore.CMSProvider
    Список провайдеров должен выглядеть примерно так:
    ## List of providers and their preference orders #
security.provider.1=com.ibm.jsse.IBMJSSEProvider
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.cmskeystore.CMSProvider
...
#
  3. Сохраните и закройте файл.
Ограничение: Мониторинг времени ответа не может дешифровать трафик, используя обмен ключами Diffie-Hellman.

Процедура

Чтобы разрешить мониторинг транзакций HTTPS, получите сертификаты SSL с веб-серверов, которые вы хотите отслеживать, и импортируйте сертификаты и stash-файлы склада ключей на склад ключей HTTPS с использованием iKeyman. В следующем примере iKeyman используется для экспорта сертификатов из IBM HTTP Server и импорта их на склад ключей HTTPS:

  1. Установите агент Мониторинг времени ответа на каждом сервере, который вы хотите отслеживать.
  2. Запустите IBM Key Management (iKeyman) из каталога IBM Java bin, введя одну из следующих команд в соответствии с операционной системой.
    • AIXLinux /opt/ibm/apm/agent/JRE/lx8266/bin/ikeyman
      Прим.: Для работы iKeyman в среде нужно установить X-Window.
    • Windows c:\IBM\APM\java\java80_x64\jre\bin\ikeyman
  3. Создайте базу данных склада ключей. В диалоговом окне Создать выполните следующие действия:
    1. Выберите в списке Тип базы данных ключей CMS.
      Если CMS нет в списке, то это значит, что провайдер CMS не разрешен. Разрешите провайдер CMS в файле защиты Java.
    2. В поле Имя файла введите имя файла склада ключей HTTPS и нажмите кнопку OK.
      Например, keys.kdb.
  4. В диалоговом окне Запрос пароля выполните следующие действия:
    1. Введите в поля Пароль и Подтвердите пароль пароль для доступа к keys.kdb.
      Не задавайте срок действия, если только вы не хотите время от времени заново создавать базу данных ключей и перезапускать агентМониторинг времени ответа.
    2. Выберите Сохранить пароль в файле?, чтобы сохранить пароль для keys.kdb в зашифрованном виде в stash-файле keys.sth.

      Примечание: Агент времени ответа поддерживает только зашифрованные пароли версии 1. В версиях APM после 8.1.4 введите следующую команду, чтобы сохранить пароль для keys.kdb в зашифрованном stash-файле keys.sth.

      В Linux:
      cp keyfile.sth keyfile.sth.new-format
      cd /opt/IBM/ccm/agent/lx8266/gs/bin
      #export LD_LIBRARY_PATH=/opt/ibm/apm/agent/lx8266/gs/lib64:$LD_LIBRARY_PATH
      ./gsk8capicmd_64 -keydb -stashpw -db /opt/IBM/ccm/agent/keyfiles/keyfile.kdb -v1stash
      Windows:
      copy server.sth server.sth.backup
      set PATH=c:\IBM\APM\GSK8_x64\lib64;%PATH%
      C:\IBM\APM\GSK8_x64\bin\gsk8capicmd_64 -keydb -stashpw -db .\server.kdb -pw passw0rd -v1stash
  5. В разделе Содержимое базы данных ключей окна iKeyman выполните следующие действия:
    1. Выберите Личные сертификаты.
    2. Щелкните по Импорт.
    3. В окне Импортировать ключ выберите в списке Тип файла ключа CMS.
    4. Перейдите к файлу хранилища ключей, щелкните по Открыть, а затем по OK.
    5. В окне Запрос пароля введите пароль хранилища ключей.
    6. Выберите ключ в списке и щелкните по OK.
    7. В окне Изменить метки выберите имя метки ключа. В поле Введите новую метку укажите имя хоста сервера и щелкните по Применить.
      Прим.: Это значение потребуется при конфигурировании Мониторинг времени ответа, поэтому запишите его.
    8. Нажмите кнопку ОК.
  6. Сохраните хранилище ключей HTTPS.

Импорт ключей из Internet Information Services

Чтобы извлечь ключи из Internet Information Services и импортировать их в KT5Keystore, выполните следующие шаги:

  1. Установите агент Мониторинг времени ответа на каждом сервере, который вы хотите отслеживать.
  2. Экспортируйте файл .pfx из Internet Information Services:
    1. В меню Windows Пуск выберите Администрирование > Менеджер Internet Information Services (IIS).
    2. Выберите веб-сервер и сайт, закрытый ключ которого вы хотите экспортировать, затем щелкните правой кнопкой мыши и выберите Свойства из контекстного меню.
    3. Выберите вкладку Защита каталога, затем в разделе Защита связи выберите Сертификат сервера.
    4. В окне Мастер по сертификатам IIS нажмите кнопку Далее.
    5. Выбрать Экспортировать текущий сертификат в файл .pfx и нажмите кнопку Далее.
    6. Введите путь каталог и имя файла и нажмите кнопку Далее.
    7. Введите пароль экспорта для ключа и нажмите кнопку Далее.
    8. Нажмите кнопку Далее на всех последующих страницах, затем нажмите кнопку Готово.
  3. Извлеките персональный сертификат и сертификат подписавшего из файла .pfx:
    1. Запустите IBM Key Management (iKeyman) из каталога IBM Java bin при помощи команды c:\IBM\APM\java\java80_x64\jre\bin\ikeyman. Убедитесь, что задана переменная среды JAVA_HOME.
    2. В базе данных склада ключей выберите Файл > Открыть.
    3. Выберите в списке Тип базы данных ключей PKCS12.
    4. Введите имя и путь для файла .pfx, который вы создали ранее, затем нажмите кнопку ОК. В ответ на запрос введите пароль и нажмите кнопку OK.
    5. Выберите Содержимое базы данных ключей > Персональные сертификаты, затем нажмите кнопку Экспорт/Импорт.
    6. Выберите тип действия Экспортировать ключ и тип файла ключей PKCS12. Введите имя и положение файла для экспортируемого ключа и нажмите кнопку ОК. В ответ на запрос введите пароль экспорта и снова нажмите кнопку OK.
    7. Если персональный сертификат был подписан Центром сертификации, выберите Содержимое базы данных ключей > Сертификаты подписавшего и нажмите кнопку Извлечь. Выберите тип файла по умолчанию, и введите имя и положение файла для экспортируемого сертификата, затем нажмите кнопку ОК.
  4. Извлеките файлы .cer подписавшего (если требуется):
    1. Если файл сертификатов подписавшего был извлечен из файла .pfx, перейдите в каталогу, где он был сохранен, и сделайте новую копию с расширением .cer. Дважды щелкните по новой копии, чтобы открыть ее с помощью программы просмотра сертификатов Windows.
    2. На вкладке Путь сертификации можно просмотреть цепочку сертификатов подписавшего. Самым нижним узлом в цепочке должен быть персональный сертификат. Для всех сертификатов выше его сделайте следующее:
      1. Выберите сертификат и щелкните по Посмотреть сертификат.
      2. Выберите Подробности и щелкните по Скопировать в файл.
      3. Примите все значения по умолчанию в мастере по экспорту сертификатов и введите имя файла с расширением .cer.
  5. Создайте базу данных склада ключей. В диалоговом окне Создать выполните следующие действия:
    1. Выберите в списке Тип базы данных ключей CMS и введите имя и положение файла. В ответ на запрос введите пароль для нового склада ключей.
      Прим.: Убедитесь, чтобы вы выбрали Сохранить пароль в файле.
    2. Если сертификаты подписавшего были извлечены из файла .pfx, сделайте следующее:
      1. Выберите Содержимое базы данных ключей > Сертификаты подписавшего.
      2. Для каждого сертификата подписавшего нажмите кнопку Добавить и добавьте файл .cer.
    3. Выберите Содержимое базы данных ключей > Персональные сертификаты, затем нажмите кнопку Импорт.
    4. Выберите тип файла ключей PKCS12, и имя и положение файла .p12. В ответ на запрос введите пароль.
    5. Сохраните склад ключей и выйдите из утилиты управления ключами.
    6. Скопируйте файлы .kdb и .sth в KT5Keystore на компьютере средства Мониторинг времени ответа.
    7. Поместите файл базы данных IBM Key Management (.kdb) и файл хранения (.sth) в защищенный каталог, и убедитесь, что их могут читать только пользователь-администратор root (или пользователь, который установил агент Мониторинг времени ответа).