建立安全 Proxy 設定檔

您可以建立安全 Proxy 設定檔，來作為進入企業環境的起始點。 安全 Proxy 伺服器通常是在非管制區 (DMZ) 中，接受網際網路中用戶端發出的要求，然後將要求轉遞給企業環境中的伺服器。

1. 啟動 設定檔管理工具 ，以建立新的執行時期環境。
   您可以利用下列其中一種方式來啟動工具。

   • 直接從命令提示字元發出指令來開啟 WebSphere Customization Toolbox; 然後開啟 設定檔管理工具。
   • 從「首要步驟」主控台中選取 WebSphere Customization Toolbox 選項; 然後開啟 設定檔管理工具。
   • 使用 開始 功能表來存取 WebSphere Customization Toolbox; 然後開啟 設定檔管理工具。
   • 使用用來啟動程式的 Linux 作業系統功能表來啟動 WebSphere Customization Toolbox; 然後開啟 設定檔管理工具。
2. 按一下「人員資訊」標籤上的 建立 ，以建立新的人員資訊。

   「設定檔」標籤包含已在您的機器上建立的設定檔清單。 除非設定檔可以擴增，否則，無法對選取的設定檔執行任何動作。 除非您選取的設定檔可以擴增，否則，「擴增」按鈕會變成灰色。

   工具會顯示「選取環境」畫面。

3. 針對 WebSphere Application Server Network Deployment 映像檔選取 安全 Proxy (僅限配置) ，或針對 DMZ 映像檔選取 安全 Proxy 。 並按 下一步。

   即會顯示「設定檔建立選項」畫面。

4. 選取 一般設定檔建立 或 進階設定檔建立，然後按 下一步。

   建立一般設定檔選項會建立使用預設配置設定的設定檔。 當使用建立進階設定檔選項時，您可以指定您自己的設定檔配置值。

5. 如果您在這些步驟開始時選取 一般設定檔建立 ，請跳至顯示 管理安全的步驟。
6. 指定設定檔的名稱及設定檔目錄的目錄路徑，或接受預設值。 然後，按下一步。
   設定檔命名準則：支援雙位元組字元。 設定檔名稱可以是任何唯一名稱，但有下列限制。 在命名設定檔時，請勿使用下列任一字元：

   • 空間
   • 作業系統上的目錄名稱中不支援的特殊字元，例如 *&?
   • 斜線 (/) 或 (\)

   預設設定檔

   您在機器上建立的第一個設定檔會是預設的設定檔。 預設設定檔是從產品安裝根目錄下的 bin 目錄中，所發出指令的預設目標。 當機器上只有一個設定檔時，每一個指令都只會處理配置中的單一伺服器程序。 您可以在建立另一個設定檔時，在建立進階設定檔路徑的「設定檔名稱和位置」畫面上，勾選將這個設定檔設為預設設定檔，將它設為預設設定檔。 您也可以在建立設定檔之後，利用 manageprofiles 指令，將另一個設定檔設為預設設定檔。

   在多重設定檔環境中定址某個設定檔

   當機器上有多個設定檔時，如果指令所套用的設定檔不是預設設定檔，某些指令會要求您指定該設定檔。 這些指令會使用 -profileName 參數來識別要處理的設定檔。 您可能發現使用每一個設定檔的 bin 目錄中的指令比較容易。

   請利用這些指令，來查詢指令 Shell，以判斷發出呼叫的設定檔，並將這些指令定址至發出呼叫的設定檔。

   預設設定檔資訊

   預設設定檔名稱是 <profile_type><profile_number>：

   • <profile_type> 是值 AppSrv、Dmgr、Custom、AdminAgent、JobMgr 或 SecureProxySrv。
   • <profile_number> 是用來建立唯一設定檔名稱的序號。

   預設設定檔目錄是 app_server_root/profiles，其中 app_server_root 是安裝根目錄。

   預設設定檔目錄是 app_server_root\profiles，其中 app_server_root 是安裝根目錄。

7. 在「節點和主機名稱」畫面中，指定唯一節點名稱、伺服器名稱，以及機器的實際主機名稱。 按下一步。

   表 1. 安全 Proxy 伺服器節點 的性質。

   這個表格顯示安全 Proxy 伺服器節點的性質。

   欄位名稱	預設值	限制	說明
   節點名稱	shortHostName Node 其中： shortHostName 是簡短主機名稱。 NodeNumber 是從 01 開始的序號。	使用安全 Proxy 伺服器的唯一名稱。	這是部署管理程式 Cell 內用於管理的名稱。
   伺服器名稱	proxy1	請指定伺服器的邏輯名稱。 伺服器名稱在節點內必須是唯一的。 不過，如果叢集內有多個節點，您可以有相同伺服器名稱的不同伺服器，只要伺服器和節點配對是唯一的即可。	這是部署管理程式 Cell 內用於管理的伺服器名稱。
   主機名稱	網域名稱系統 (DNS) 伺服器名稱的長格式。	主機名稱必須透過您的網路才能定址。	請使用您機器的真實 DNS 名稱或 IP 位址，以便啟用與您機器之間的通訊。 請參閱這份表格之後有關主機名稱的其他資訊。

   保留名稱: 避免使用保留資料夾名稱作為欄位值。 使用保留的資料夾名稱會導致無法預期的結果。 下列詞彙是保留的資料夾名稱：

   • Cell
   • 節點
   • 伺服器
   • 叢集
   • 應用程式
   • 部署

   目錄路徑長度：

   profiles_directory_path\profile_name 目錄中的字元數必須小於或等於 80 個字元。

   主機名稱考量：

   主機名稱是節點安裝所在之實體機器的網路名稱。 主機名稱必須解析成伺服器上的實體網路節點。 如果伺服器中有多片網路卡，主機名稱或 IP 位址必須解析成其中一片網路卡。 遠端節點利用主機名稱來連接這個節點，並與這個節點通訊。 選取網路中其他機器能夠呼叫到的主機名稱很重要。 對於此值，請勿使用一般 ID localhost。 此外，請勿嘗試在主機名稱使用雙位元組字集 (DBCS) 中字元的機器上安裝 WebSphere Application Server 產品。 不支援在主機名稱中使用 DBCS 字元。

   如果您在相同電腦上定義具有唯一 IP 位址的共存節點，則在 DNS 伺服器查閱表格中定義每一個 IP 位址。 獨立式應用程式伺服器的配置檔在使用單一網址的機器上，不提供對多個 IP 位址進行網域名稱解析。

   您指定給主機名稱的值，會作為獨立式應用程式伺服器之配置文件中的 hostName 內容值。 請使用下列其中一種格式來指定主機名稱值：

   • 完整 DNS 伺服器主機名稱字串，例如 xmachine.manhattan.ibm.com
   • 預設簡短 DNS 主機名稱字串，例如 xmachine
   • 數值 IP 位址，例如 127.1.255.3

   完整 DNS 主機名稱的優點是明確而靈活。 您可以靈活變更主機系統的實際 IP 位址，且不需要變更應用程式伺服器配置。 當您利用「動態主機配置通訊協定 (DHCP)」來指派 IP 位址時，如果您打算經常變更 IP 位址，這個主機名稱值就特別有用。 此格式的缺點是需倚賴 DNS。 如果 DNS 無法使用，連線功能就會受損。

   簡短主機名稱也可供動態解析。 簡稱格式的附加功能是能夠在本端 hosts 檔案中重新定義，因此即使網路斷線，系統也能夠執行應用程式伺服器。 如果要在斷線模式下執行，請在 hosts 檔中將簡稱定義為迴圈位址 127.0.0.1，以在斷線模式下執行。 這個格式的缺點是遠端存取時需倚賴 DNS。 如果 DNS 無法使用，連線功能就會受損。

   數值 IP 位址的優點是不需透過 DNS 進行名稱解析。 遠端節點可以連接您使用數值 IP 位址命名的節點，而不需要有可用的 DNS。 此格式的缺點為數值 IP 位址是固定的。

   顯示安全 Proxy 設定檔的節點名稱、伺服器名稱和主機名稱之後，工具會顯示「選取安全層次」畫面。

8. 接受預設值或變更 Proxy 安全層次和通訊協定，然後按 下一步。

   在建立安全 Proxy 伺服器設定檔之後，您可以選擇性地變更您的安全設定。 請閱讀有關調整安全 Proxy 伺服器安全內容的說明。

   顯示安全層次選項之後，工具會顯示「管理安全」畫面。

9. 選擇性地啟用管理安全，然後按 下一步。

   在建立設定檔期間，您可以立即啟用管理安全，或之後再從主控台啟用。 如果您立即啟用管理安全，請輸入使用者名稱和密碼，以登入管理主控台。

   指定安全性質之後，如果您先前已選取建立進階設定檔，工具會顯示「安全憑證」畫面。

10. 如果您在這些步驟開始時選取 一般設定檔建立 ，請跳至顯示 設定檔摘要畫面的步驟。
11. 建立預設個人憑證和主要簽署憑證，或從金鑰儲存庫檔匯入個人憑證和主要簽署憑證，然後按 下一步。

    您可以同時建立或匯入這兩個憑證，也可以建立其中一個憑證，並匯入另一個憑證。

    最佳作法: 當您匯入個人憑證作為預設個人憑證時，請匯入簽署個人憑證的主要憑證。 否則， 設定檔管理工具 會將個人憑證的簽章者新增至 trust.p12 檔。

    如果您匯入預設個人憑證或主要簽署憑證，請針對您匯入的每一個憑證，指定其路徑和密碼，並選取其金鑰儲存庫類型和金鑰儲存庫別名。

12. 驗證憑證資訊是否正確，然後按 下一步。

    如果是建立憑證，可以使用預設值，或是加以修改，來建立新的憑證。 依預設，預設個人憑證的有效期為一年，且是由主要簽章憑證簽署。 依預設，主要簽章憑證是一個有效期 15 年的自簽憑證。 主要簽章憑證的預設金鑰儲存庫密碼為 WebAS。 您應該變更密碼。 密碼不能包含任何雙位元組字集 (DBCS) 字元，因為某些金鑰儲存庫類型（包括 PKCS12）不支援這些字元。 支援的金鑰儲存庫類型取決於 java.security 檔中的提供者。

    當您建立或匯入這兩個憑證之一或全部時，所建立的金鑰儲存庫檔有 key.p12、trust.p12、root-key.p12、default-signers.p12、deleted.p12 和 ltpa.jceks。 當您建立或匯入憑證時，這些檔案全都有相同的密碼，有可能是預設密碼，或是您指定的密碼。 key.p12 檔包含預設個人憑證。 trust.p12 檔包含預設主要憑證中的簽章者憑證。 root-key.p12 檔包含主要簽署憑證。 default-signer.p12 檔包含安裝並執行伺服器之後，新增到任何新金鑰儲存庫檔的簽章者憑證。 依預設，預設主要憑證簽章者位於 default-signer.p12 金鑰儲存庫檔中。 deleted.p12 金鑰儲存庫檔用來保存 deleteKeyStore 作業所刪除的憑證，以便在必要時可以回復。 ltpa.jceks 檔案包含環境中伺服器用來彼此通訊的伺服器預設「小型認證機構 (LTPA)」金鑰。

    所匯入的憑證會新增到 key.p12 檔或 root-key.p12 檔中。

    如果您匯入任何憑證，但這些憑證沒有包含您要的資訊，請按上一步，匯入另一個憑證。

    如果您先前選取了建立進階設定檔，在顯示「安全憑證」畫面之後，工具會顯示「埠」畫面。

13. 驗證安全 Proxy 設定檔內的埠是唯一的，或刻意衝突，然後按 下一步。

    埠衝突解決

    如果存在下列其中一種狀況，會將埠視為使用中：

    • 埠已指派給設定檔，且該設定檔是從現行使用者所執行的安裝架構來建立。
    • 埠目前使用中。

    當您存取「指派埠值」畫面時，會驗證各個埠。 由於在設定檔建立完成後，才會指派埠，「指派埠值」畫面和「設定檔建立完成」畫面之間仍可能發生衝突。

    如果您懷疑發生埠衝突，您可以在建立設定檔之後，再調查埠衝突。 請檢查下列檔案，判斷建立設定檔期間所用的埠。

    • profile_root/properties/portdef.props 檔案
    • profile_root\properties\portdef.props 檔案

    這個檔案包含設定埠時所使用的索引鍵和值。 如果發現埠衝突，您可以手動重新指派埠。 如果要重新指派埠，請利用 ws_ant Script 來執行 updatePorts.ant 檔。

    如果您要在 Windows 作業系統上安裝，且安裝 ID 具有管理群組專用權，則此工具會顯示 Windows 服務定義畫面。 如果您要在支援的 Linux 作業系統上安裝，且執行 設定檔管理工具 的 ID 是 root 使用者，則此工具會顯示 Linux 服務定義畫面。

14. 選擇是將安全 Proxy 伺服器作為 Windows 作業系統上的 Windows 服務執行，還是作為 Linux 作業系統上的 Linux 服務執行，然後按一下 下一個。

    只有在安裝 Windows 服務的 ID 具有管理者群組專用權時，才會針對 Windows 作業系統顯示 Windows 服務定義畫面。 不過，只要安裝程式 ID 屬於管理者群組，您可以執行 WASService.exe 指令來建立 Windows 服務。 如需相關資訊，請閱讀有關自動重新啟動伺服器程序的說明。

    產品會針對 startServer 指令所啟動的安全 Proxy 處理程序，嘗試啟動 Windows 服務。 比方說，如果您將安全 Proxy 伺服器配置成 Windows 服務，並發出 startServer 指令，則 wasservice 指令會嘗試啟動所定義的服務。

    如果您選擇安裝本端系統服務，就不需要指定您的使用者 ID 或密碼。 如果建立指定的服務使用者類型，您必須指定執行這項服務之使用者的使用者 ID 和密碼。 使用者必須具有 Log on as a service 權限，服務才能正確執行。 如果使用者沒有 Log on as a service 權限，則「設定檔管理」工具會自動新增權限。

    如果要執行這項設定檔建立作業，使用者 ID 不能包含空格。 除了屬於管理者群組之外， ID 還必須具有 Log on as a service的進階使用者專用權。 如果使用者 ID 尚未具備進階使用者專用權，且該使用者 ID 屬於管理者群組，「安裝程式」會授與使用者 ID 進階使用者存取權。

    您也可以在安裝完成之後建立其他 Windows 服務，以啟動其他伺服器處理程序。 如需相關資訊，請閱讀有關自動重新啟動伺服器程序的說明。

    您可以在設定檔刪除期間移除設定檔建立期間所新增的 Windows 服務。 您也可以使用 wasservice 指令來移除 Windows 服務。

    IPv6 考量

    當使用 Internet Protocol 6.0 (IPv6) 時，如果服務配置成以本端系統執行，則建立來作為 Windows 服務執行的設定檔無法啟動。 請建立使用者特定的環境變數來啟用 IPv6。 因為此環境變數是使用者變數而非本端系統變數，所以只有以該特定使用者身分執行的 Windows 服務才能存取此環境變數。 依預設，當建立新的設定檔並配置成以 Windows 服務方式執行時，服務會設為以本端系統方式執行。 當安全 Proxy 伺服器處理程序的 Windows 服務嘗試執行時，服務無法存取指定 IPv6的使用者環境變數，因此會嘗試以 IPv4啟動。 在此情況下，伺服器不會正確地啟動。 如果要解決這個問題，在建立設定檔時，請指定安全 Proxy 伺服器處理程序的 Windows 服務是以定義 IPv6 環境變數的相同使用者 ID 來執行，而不是以「本端系統」來執行。

    Windows 服務定義畫面的下列預設值存在:

    • 預設值是作為 Windows 服務執行。
    • 選取服務程序，以系統帳戶來執行。
    • 使用者帳戶是現行使用者名稱。 使用者名稱需求是 Windows 作業系統對於使用者 ID 的強制需求。
    • 啟動類型是 automatic。 啟動類型的值是 Windows 作業系統所強制的那些值。 如果您想使用 automatic 以外的啟動類型，可以從功能表中選取另一個可用的選項，或在建立設定檔之後，變更啟動類型。 您也可以在建立設定檔之後，移除所建立的服務，之後再以您要的啟動類型來新增它。 您可以選擇不在建立設定檔時建立服務，並選擇性地稍後以想要的啟動類型來建立服務。

    如果現行作業系統是 Linux 作業系統的受支援版本，且現行使用者具有適當的許可權，則會顯示 Linux 服務定義畫面。

    產品會針對 startServer 指令所啟動的應用程式伺服器程序，嘗試啟動 Linux 服務。 比方說，如果您將應用程式伺服器配置成 Linux 服務，並發出 startServer 指令， wasservice 指令會嘗試啟動所定義的服務。

    依預設，不會選取產品作為 Linux 服務執行。

    若要建立服務，執行「 設定檔管理工具 」的使用者必須是 root 使用者。 如果您使用非 root 使用者 ID 執行 設定檔管理工具 ，則不會顯示 Linux 服務定義畫面，且不會建立任何服務。

    當您建立 Linux 服務時，必須指定從中執行服務的使用者名稱。

    若要刪除 Linux 服務，使用者必須是 root 使用者或具有刪除服務的適當專用權。 否則，會建立一個移除 Script ， root 使用者可以執行該 Script 來刪除該使用者的服務。

    工具會顯示「設定檔建立摘要」畫面。

15. 按一下 建立 以建立安全 Proxy 伺服器設定檔，或按 上一步 以變更設定檔的性質。

    即會顯示「設定檔建立進度」畫面，其中顯示配置指令正在執行。

    當設定檔建立完成時，工具會顯示「設定檔建立完成」畫面。

16. 如果您要建立的安全 Proxy 設定檔是 DMZ Secure Proxy Server for IBM WebSphere Application Server 安裝架構的一部分， 選擇性地選取 啟動「首要步驟」主控台。 按一下 完成 以結束。

    您可以利用「首要步驟」主控台來建立其他設定檔，並啟動應用程式伺服器。

    如果您要建立的安全 Proxy 設定檔是 WebSphere Application Server Network Deployment 安裝架構的一部分，則您沒有啟動「首要步驟」主控台的選項。