创建安全套接字层配置

安全套接字层 (SSL) 配置包含需要用来控制客户机和服务器 SSL 端点行为的属性。 在配置拓扑的入站和出站树上的特定管理作用域中,可以创建具有唯一名称的 SSL 配置。 本任务说明如何定义 SSL 配置,包括保护质量以及信任和密钥管理器设置。

准备工作

您必须确定需要在哪个作用域中定义 SSL 配置,例如单元作用域、节点组作用域、节点作用域、服务器作用域、集群作用域或端点作用域(这些作用域是按最不具体作用域到最具体作用域的顺序进行排列)。 例如,在节点作用域中定义 SSL 配置时,只有该节点中的那些进程才能装入该 SSL 配置;但是,单元中端点上的任何进程都可以使用单元作用域中的 SSL 配置(在拓扑中,单元作用域的位置高于节点作用域)。

还必须根据新 SSL 配置所影响的进程来确定要与该配置相关联的作用域。 例如,硬件密码设备的 SSL 配置可能需要仅在特定节点上可用的密钥库,也可能需要 SSL 配置以便连接到特定 SSL 主机和端口。 有关更多信息,请参阅 安全套接字层配置的动态出站选择

避免麻烦: 限制 security.xml 文件。 因此,如果需要对 security.xml 文件作更改,请验证您的用户标识具有管理员角色权限。 如果正在使用具有操作员角色权限的用户标识,那么您可以执行节点同步,但是不会同步您对 security.xml 文件所作的更改。

有关此任务

您可以使用管理控制台或 createSSLConfig wsadmin 命令来创建 SSL 配置。 此任务描述如何使用管理控制台创建 SSL 配置。

过程

  1. 单击 安全性 > SSL 证书和密钥管理 > 管理端点安全性配置
  2. 根据所配置的进程的不同,在“入站”或“出站”树中选择“SSL 配置”链接。
    • 如果该作用域已与某个配置及其别名相关联,就会在括号中注明该 SSL 配置别名和证书别名。
    • 如果未提供括括号内的信息,那么表示该作用域没有相关联的配置及其别名。 而是,该作用域将继承其上方第一个具有相关 SSL 配置别名和证书别名的作用域的配置属性。
    由于单元作用域在拓扑顶部并表示入站或出站连接的缺省 SSL 配置,所以它必须与 SSL 配置相关联。
  3. 单击 SSL 配置
    您可以查看和选择在此作用域中配置的任何 SSL 配置。 还可以在拓扑中每个更低的作用域中查看和选择这些配置。
  4. 单击 新建 以显示 SSL 配置面板。
    直到输入配置名并单击应用后才能选择“其他属性”的链接。
  5. 输入 SSL 配置名。
    此字段是必填字段。 配置名是 SSL 配置别名。 此别名在所选作用域中已创建的 SSL 配置别名列表中必须唯一。 在其他配置任务中,新的 SSL 配置将使用此别名。
  6. 从下拉列表中选择信任库名。
    信任库名引用存放签署者证书的特定信任库,在 SSL 握手期间,这些证书验证远程连接发送的证书是否可信。 如果列表中没有信任库,请 创建新的信任库,这是一个密钥库,其角色是在连接期间建立信任。
  7. 从下拉列表中选择密钥库名。
    密钥库包含表示签署者身份的个人证书以及 WebSphere® Application Server 用于对数据进行加密和签名的专用密钥。
    • 如果更改了密钥库名,请单击获取证书别名以刷新可以从中选择缺省别名的证书列表。 WebSphere Application Server 将服务器别名用于入站连接,将客户机别名用于出站连接。
    • 如果列表中没有密钥库,请参阅 创建新密钥库
  8. 选择入站连接的缺省服务器证书别名。
    仅当未在其他位置指定 SSL 配置别名并且尚未选择证书别名时,才应选择缺省别名。 集中管理的 SSL 配置树 可以覆盖缺省别名。
  9. 选择出站连接的缺省客户机证书别名。
    仅当服务器 SSL 配置指定了 SSL 客户机认证时,才应该选择缺省别名。
  10. 查看所标识的 SSL 配置管理作用域。
    使此字段中的管理作用域与您在步骤 2 中选择的链接相同。 如果要更改作用域,必须单击拓扑树中的其他链接,然后继续执行步骤 3。
  11. 如果您打算配置其他属性,请单击 应用 。 否则,请转至步骤 24。
  12. 单击 保护质量 (QoP) 设置
    QoP 设置 定义 SSL 加密的强度,签署者的完整性以及证书的真实性。
  13. 根据情况,选择客户机认证设置以建立 SSL 配置,从而接受入站连接并允许客户机发送它们的证书。
    • 如果选择,那么服务器不会请求客户机在握手期间发送证书。
    • 如果选择支持,那么服务器将请求客户机发送证书。 但是,即使客户机没有证书,握手也仍可能成功。
    • 如果选择必需,那么服务器将请求客户机发送证书。 但是,如果客户机没有证书,握手将失败。
    重要信息: 表示客户机的签署者证书必须位于您为 SSL 配置选择的信任库中。 缺省情况下,由于同一个单元中的服务器使用公共信任库 trust.p12(此信任库在配置库的单元目录中),所以他们相互信任。 但是,如果使用您创建的密钥库和信任库,请先执行交换签署者操作,然后再选择支持必需
  14. 为 SSL 握手选择一个或多个协议。

    缺省情况下,产品使用单个 SSL 握手协议 SSL_TLSv2。 通过 SSL_TLSv2,连接可以接受 TLSv1TLSv1.1TLSv1.2 协议。 SSL_TLSv2 协议支持除服务器端的 SSLv2 以外的所有握手协议。 您可以将缺省值从 SSL_TLSv2 更改为不同的单一协议或定制的协议列表。

    • 要指定单个协议,请单击 预定义协议 ,然后从 选择协议 列表中选择 SSL 协议。

      [9.0.5.11 或更高版本]在 V 9.0.5.11中,此设置的名称已从 协议 更改为 预定义协议

      某些单个 SSL 协议值表示多个 SSL 配置。 例如, SSL_TLSv2 允许使用 TLSv1TLSv1.1TLSv1.2TLSv1.3 协议。

    • [9.0.5.11 或更高版本]要指定多个 SSL 协议的定制列表,请单击 定制协议列表,从列表中选择协议,然后单击 添加。 定制协议列表在安全性配置中显示为逗号分隔列表。

    您可以从以下协议中进行选择:

    • SSL_TLSv2(缺省协议) 支持客户机协议 TLSv1SSLv3
    • TLSv1 支持 TLSTLSv1。 SSL 服务器连接必须支持此协议才能进行握手。
    • SSLv2
    • SSLv3 支持 SSLSSLv3。 SSL 服务器连接必须支持此协议才能进行握手。
    • TLSTLSv1
    • TLSv1
    • SSL_TLSv2SSLv3TLSv1TLSv1.1TLSv1.2
    • TLSv1.1
    • TLSv1.2
    • [9.0.5.6 或更高版本] TLSv1.3
    重要说明:
    • 请勿将 SSLv2 协议用于 SSL 服务器连接。 仅当在客户端有必要使用此协议时才会使用此协议。
    • 从 V9.0.5.6 到 V9.0.5.10 适用以下信息:当您的应用程序服务器运行在支持 TLSv1.3 协议的 JVM 上时,TLSv1.3 会出现在可选协议列表中。 TLSv1.3协议目前不包含在任何其他协议中。 如果使用的是 TLSv1.3 协议,则只能接受该协议。
    • AIX®、Windows 和 Linux® 支持 [9.0.5.6 或更高版本]TLSv1.3 协议。对于在 JVM 上运行应用程序服务器 id 的 Solaris,不支持 TLSv1.3 协议。
  15. 选择 JSSE 提供程序。
    • 预定义的 Java™ 安全套接字扩展 (JSSE) 提供程序。 建议在所有支持 IBMJSSE2 提供程序的平台上使用。 通道框架 SSL 通道需要此提供程序。 当联邦信息处理标准 (FIPS) 处于启用状态时,将与 IBMJCEFIPS 加密提供程序配合使用 IBMJSSE2。
    • 定制 JSSE 提供程序。 在定制提供程序字段中输入提供程序名。
  16. 从以下密码套件组中进行选择。
    • : WebSphere Application Server 可以对加密执行 128 位机密性算法,并支持完整性签名算法。 但是,强密码套件会影响连接的性能。
    • 介质: WebSphere Application Server 可以对加密执行 40 位加密算法,并支持完整性签名算法。
    • : WebSphere Application Server 可以支持完整性签名算法,但不能执行加密。 选择此选项后,通过网络传输的密码和其他敏感信息对于因特网协议 (IP) 侦探器来说是可视的,因此务必谨慎使用。
    • 定制:您可以选择特定的密码。 每当您将列示的密码更改为除特定密码套件组以外的密码时,组名就会更改为“定制”。
  17. 单击 更新所选密码 以查看每个密码强度的可用密码列表。
  18. 单击 确定 以返回到新的 SSL 配置面板。
  19. 单击 信任和密钥管理器
  20. 选择用于主 SSL 握手信任决策的缺省信任管理器。
    • 当要求使用证书中的 CRL 分发点或在线证书状态协议 (OCSP) 来检查证书撤销列表 (CRL) 时,请选择 IbmPKIX
    • 当不要求检查 CRL 但需要提高性能时,请选择 IbmX509。 在必要时,可以配置定制信任管理器以执行 CRL 检查。
  21. 根据情况,定义定制信任管理器。
    可以定义与所选缺省信任管理器配合运行的定制信任管理器。 定制信任管理器必须实现 JSSE javax.net.ssl.X509TrustManager 接口,并且可以选择实现 com.ibm.wsspi.ssl.TrustManagerExtendedInfo 接口,以获取特定于产品的信息。
    1. 单击 安全性> SSL 证书和密钥管理> 管理端点安全性配置> SSL_configuration > 信任和密钥管理器> 信任管理器> 新建
    2. 输入唯一信任管理器名称。
    3. 选择 定制 选项。
    4. 输入类名。
    5. 单击确定
      当返回“信任和密钥管理器”面板时,新的定制信任管理器将显示在其他有序信任管理器字段中。 使用列表框来添加和移除定制信任管理器。
  22. 为 SSL 配置选择密钥管理器。
    缺省情况下,除非创建了定制密钥管理器,否则 IbmX509 是唯一的密钥管理器。
    要点: 如果选择实现自己的密钥管理器,那么可能会影响别名选择行为,因为密钥管理器负责从密钥库中选择证书别名。 定制密钥管理器可能不会像 WebSphere Application Server 密钥管理器 IbmX509 那样解释 SSL 配置。 要定义定制密钥管理器,请单击安全性 > 安全通信 > SSL 配置 > SSL_configuration > 信任和密钥管理器 > 密钥管理器 > 新建
  23. 单击 确定 以保存信任和密钥管理器设置并返回到新的 SSL 配置面板。
  24. 单击 保存 以保存新的 SSL 配置。

结果

重要信息: 配置至少一个定制信任管理器并将 com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined 属性设置为true. 在 SSL 配置面板上单击 定制属性 。 但是,如果更改了缺省信任管理器,那么所有信任决策都将由定制信任管理器执行,建议您不要在生产环境中这样做。 在测试环境中,可以使用虚拟信任管理器以避免进行证书验证。 记住,这些环境是不安全的。

下一步做什么?

在此 WebSphere Application Server发行版中,可以使用下列其中一种方法将 SSL 配置与协议相关联: