SSL 中的 Web 服务器插件缺省配置

当您创建新的 Web 服务器定义时, WebSphere® Application Server将 Web 服务器插件与证书管理服务 (CMS) 特定节点的密钥库。 密钥库中包含当前单元的所有签署者以及属于节点的自签名证书或链式证书。 该插件可以安全地与WebSphere Application Server,即使插件配置了启用安全套接字层 (SSL) 客户端身份验证。

当您将 Web 服务器定义设置为webserver1在节点上myhostNode01, WebSphere Application Server创建密钥库配置。 密钥库范围限于 webserver1 服务器,因此只有此服务器才能看见该密钥库。 其他进程 将不能使用此密钥库定义。

[IBM i]密钥库的缺省密码为 WebAS。 可以使用管理控制台或者适当的 AdminTask 命令来更改缺省密钥库密码。 而且,只能为每个管理范围创建一个 CMSKeyStore 条目。 如果范围 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 已经存在 CMS 密钥库,那么不能再创建另一个 CMSKeyStore 条目。 WebSphere Application Server如果特定节点尚不存在自签名证书,则使用插件名称创建自签名证书。 如果该节点已存在自签名证书,那么缺省情况下会将该证书放入 CMS 密钥库和单元中的所有签署者。

[AIX Solaris HP-UX Linux Windows][z/OS]以下示例代码来自security.xml文件显示 Web 服务器插件的配置条目。
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider" 
location="C:\WASX_e0540.11\AppServer\profiles\AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb" 
type="CMSKS" fileBased="true" createStashFileForCMS="true" 
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
[AIX Solaris HP-UX Linux Windows][z/OS]以下示例代码展示了如何CMSkeystore 和 stash 文件在security.xml文件。
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01\nodes
\myhostNode01\servers\webserver1\plugin-key.kdb
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01
\nodes\myhostNode01\servers\webserver1\plugin-key.sth
密钥库的缺省密码为 WebAS。 可以使用管理控制台或者适当的 AdminTask 命令来更改缺省密钥库密码。 以下样本代码显示了可以用来创建此 CMS 密钥库的 AdminTask 命令。
$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
请注意前一示例中的下列特征:
  • 只能为每个管理范围创建一个 CMSKeyStore 条目。 如果范围 (cell):myhostCell01:(node):myhostNode01:(server):webserver1 已经存在 CMS 密钥库,那么不能再创建另一个 CMSKeyStore 条目。
  • 密钥库名称的统一资源标识 (URI) 为 /config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb
  • 插件位置中的主机名为 myhost.austin.ibm.com。 WebSphere Application Server如果该特定节点尚不存在链式证书,则使用此名称创建链式证书。 如果该节点已存在链式证书,那么缺省情况下会将该证书放入 CMS 密钥库并添加单元中的所有签署者。

当联合了其他节点时,不会将这些节点的签署者自动添加至 CMS 密钥库的每个 Web 服务器。 要使 Web 服务器插件能够与新联合的节点通信,必须以手动方式与 CMSKeyStore 密钥库交换签署者。 使用管理控制台的密钥库证书管理功能来交换签署者。 有关详细信息,请参阅For more information, see将正确的 SSL 签名者证书添加到插件密钥库