守护程序安全套接字层

使用管理控制台面板修改端口和安全套接字层 (SSL) 端口设置和指定 SSL 设置（SSL 指令表）。缺省指令表是与服务器使用的相同的 SystemSSL IIOP 指令表。在守护程序初始化期间，如果启用安全性且找到有效的指令表，那么尝试 SSL 使用初始化。为关闭守护进程的SSL端口，必须创建并设置单元级 WebSphere® 变量(DAEMON_security_disable_daemon_ssl)为1此变量的默认值为0.

使用位置服务守护程序，SSL 可以用于保护 SSL 守护程序中的位置，如果：

在管理控制台中配置了一个守护进程SSL密钥库（守护进程SSL密钥库指由守护进程关联的 MVS 用户ID所拥有的有效 RACF® 密钥环）
已定义证书和密钥环

在管理控制台上，单击系统管理 > 节点组 > sysplex_node_group_name。在“其他属性”下，单击“ z/OS® 位置服务”。

Location service daemon

This panel specifies the configuration settings for the location service daemon for this cell.  
Changes made to these settings to the entire cell and to the location service daemon instance 
on each node in the cell.

Job Name          BBODMNC                           Specifies z/OS jobname of location
                                                    service daemon.
Host Name         BOSSXXXX.PLEX1.L2.IBM.COM         Specifies host name to be used when 
                                                    contacting location service daemon.
Port              5755                              Specifies port location service daemon
                                                    listens on for unencrypted communication.
SSL Port          5756                              Specifies port location service daemon
                                                    listens on for encrypted communication.
SSL Setting       PLEX1Manager/DefaultIIOPSSL       Specifies a list of predefined SSL 
                                                    settings to choose from for connections.
                                                    These are configured at the SSL repertoire
                                                    panel.

可以使用以下 WebSphere 变量在 z/OS 守护程序中设置 SSL 和 TLS 协议。

您可通过管理控制台按以下方式设置单元格级别的 WebSphere 变量：

打开管理控制台。
展开“环境”下拉列表；点击加号（+）。
点击 WebSphere variables。
扩展范围；点击加号（+）。
勾选标有“--- 显示包含所有范围选项的范围选择下拉列表”的复选框。
从下拉列表中选择单元格以应用 WebSphere 变量。
点击 “新建 ”按钮添加 WebSphere 变量。

将变量设置为 1 可启用协议，设置为 0 可禁用协议。

以下默认设置适用于 V8.5.5.23 及更早的修复程序包。


DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* default 0                                                          
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* default 1

以下默认设置已配置。


DAEMON_com_ibm_DAEMON_protocol_TLSv1_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_1_enabled  //* default 0
DAEMON_com_ibm_DAEMON_protocol_TLSv1_2_enabled  //* default 1
DAEMON_com_ibm_DAEMON_protocol_TLSv1_3_enabled  //* default 1
DAEMON_com_ibm_DAEMON_protocol_SSLv2_enabled    //* default 0
DAEMON_com_ibm_DAEMON_protocol_SSLv3_enabled    //* default 0

您可以使用 WebSpherez/OS 配置文件管理工具或命令行 zpmt 指定认证信息，包括守护进程的用户ID、UID和SSL端口。 RACF 生成命令以创建服务器使用的密钥环（默认值为WASKeyring）。 z/OSzpmt 配置管理工具或命令会生成守护进程密钥环和证书。要使用 z/OS 配置文件管理工具生成守护程序密钥环和证书，请选择“安全域” > “SSL 自定义” >“ 在位置服务守护程序上启用 SSL”。若在此选项旁输入 Y ，系统将生成 RACF 命令以执行以下任务：

创建守护程序密钥环和证书
将证书和认证中心 (CA) 证书连接到密钥环。

重要提示：此选项不控制守护进程SSL的使用。

如果用户ID相同，此方法适用；但若守护进程使用独立用户ID，请参见为 WebSphere Application Server 设置密钥环以供使用 z/OS。所选值由管理控制台检取。

如果守护进程被分配了与安全密钥相同的 MVS 用户ID，则用于保护密钥 WebSphere Application Server 的密钥环也可用于 WebSphere Application Server 保护守护进程请求。如果守护进程未被分配与安全套接字层相同的 MVSWebSphere Application Server 用户ID，建议您参照安全套接字层的配置方式来设置守护 WebSphere Application Server 进程的SSL配置。修改在BBOCBRAK（或 HLQ.DATABBODBRAK） WebSphere Application Server Network Deployment中生成的自定义作业命令，以执行中的步骤为 WebSphere Application Server 设置密钥环以供使用 z/OS。