IBM HTTP Server für verschlüsselte Verbindungen konfigurieren

Konfigurieren Sie den IBM® HTTP Server für die Verwendung einer verschlüsselten Verbindung.

Informationen zu diesem Vorgang

Damit verschlüsselte Verbindungen unterstützt werden, erstellen Sie ein selbst signiertes Zertifikat und konfigurieren Sie IBM HTTP Server für den Datenverkehr über verschlüsselte Verbindungen. Wenn Sie dieses Zertifikat in der Produktion verwenden, erhalten Benutzer möglicherweise Warnungen von ihren Browsern. In einer typischen Implementierung in der Produktionsumgebung würden Sie ein Zertifikat von einer anerkannten Zertifizierungsstelle verwenden.

Wenn Sie auswählen, dass Sie den HTTP-Server während der Installation von IBM Connections konfigurieren möchten, kann diese Task im Verlauf der Installation durchgeführt werden, und nicht als Task vor der Installation. Wenn Sie HTTP während der Installation konfigurieren, müssen Sie die Schritte für die Zuordnung der Anwendungen zum Plug-in nicht ausführen.

Gehen Sie wie folgt vor, um IBM HTTP Server für verschlüsselte Verbindungen zu konfigurieren:

Vorgehensweise

  1. Erstellen Sie eine Schlüsseldatei.
    1. Starten Sie die iKeyman-Benutzerschnittstelle. Weitere Information finden Sie unter Benutzerschnittstelle des Dienstprogramms Key Management starten im IBM HTTP Server Information Center.
    2. Klicken Sie in der Hauptbenutzerschnittstelle auf Schlüsseldatenbankdatei und anschließend auf Neu. Wählen Sie CMS als Schlüsseldatenbanktyp aus. IBM HTTP Server unterstützt keine anderen Datenbanktypen außer CMS.
    3. Geben Sie einen Namen für die neue Schlüsseldatei ein. Beispiel: hostname-schluessel.kdb. Klicken Sie auf OK.
      Anmerkung: Überschreiben Sie nicht die Standarddatei Plugin-key.kdb, da andere Anwendungen möglicherweise auf diese Datei zugreifen.
    4. Geben Sie Ihr Kennwort im Dialogfenster für die Aufforderung zur Kennworteingabe ein und bestätigen Sie es. Wählen Sie die Option zum verdeckten Speichern des Kennworts in einer Datei aus und klicken Sie auf OK. Die neue Schlüsseldatenbank sollte daraufhin im iKeyman-Dienstprogramm angezeigt werden.
  2. Erstellen Sie ein selbst signiertes Zertifikat.
    1. Klicken Sie im Inhaltsframe der Schlüsseldatenbank auf Persönliche Zertifikate und anschließend auf die Option für neue, selbst signierte Zertifikate.
    2. Geben Sie im Dialogfenster die erforderlichen Informationen zur Schlüsseldatei, zu Ihrem Web-Server und zur Organisation an.
    3. Klicken Sie auf OK.
  3. Beenden Sie IBM HTTP Server.
  4. Melden Sie sich bei der WebSphere Application Server Integrated Solutions Console für den Deployment Manager an und wählen Sie die Optionen Server > Servertypen > Webserver aus.
  5. Klicken Sie in der Liste der Web-Server auf den Web-Server, den Sie für dieses Profil definiert haben.
  6. Klicken Sie auf der Konfigurationsseite dieses Web-Servers auf den Link Konfigurationsdatei. Daraufhin wird die Konfigurationsdatei "httpd.conf" im Deployment Manager geöffnet.
  7. Fügen Sie den folgenden Text zum Ende der Konfigurationsdatei hinzu:

    LoadModule ibm_ssl_module modules/mod_ibm_ssl.so

    <IfModule mod_ibm_ssl.c>

    Listen 0.0.0.0:443

    <VirtualHost *:443>

    ServerName server_name

    SSLEnable

    </VirtualHost>

    </IfModule>

    SSLDisable

    Keyfile "path_to_key_file"

    SSLStashFile "path_to_stash_file"

    Dabei gilt Folgendes:
    • server_name ist der Hostname von IBM HTTP Server.
    • path_to_key_file ist der Pfad zur Schlüsseldatei, die Sie mit dem iKeyman-Dienstprogramm erstellt haben.
    • path_to_stash_file ist der Pfad zur zugehörigen Stashdatei.
    Zum Beispiel:
    • AIX:
      • Keyfile "/usr/IBM/keyfiles/key_file.kdb"
      • SSLStashFile "/usr/IBM/keyfiles/key_file.sth"
    • Linux:
      • Keyfile "/opt/IBM/keyfiles/key_file.kdb"
      • SSLStashFile "/opt/IBM/keyfiles/key_file.sth"
    • Microsoft Windows:

      Verwenden Sie normale Schrägstriche in der Datei httpd.conf unter Windows.

      • Keyfile "C:/IBM/keyfiles/key_file.kdb"
      • SSLStashFile "C:/IBM/keyfiles/key_file.sth"
    Dabei steht key_file für den Namen, den Sie der Schlüsseldatei und der Stashdatei gegeben haben.
  8. Klicken Sie auf Anwenden und anschließend auf OK.
  9. Starten Sie den IBM HTTP Server erneut, um die Änderungen anzuwenden.
  10. Testen Sie die neue Konfiguration wie folgt: Öffnen Sie einen Web-Browser und stellen Sie sicher, dass Sie auf die Adresse https://server_name zugreifen können. Sie werden ggf. aufgefordert, das selbst signierte Zertifikat in Ihrem Browser zu akzeptieren.

Ergebnisse

IBM Connections-Benutzer können über das Protokoll für verschlüsselte Verbindungen auf die Anwendungen zugreifen.
Achtung: Wenn eine Fehlernachricht angezeigt wird, die Ihnen mitteilt, dass das Laden einer GSK-Bibliothek (libgsk7ssl.so) fehlgeschlagen ist, installieren Sie die GSK-Bibliothek libgsk7ssl.so. Weitere Informationen finden Sie auf der folgenden Unterstützungsseite: Failure attempting to load GSK library when using SSL with IBM HTTP Server (Fehler beim Versuch, die GSK-Bibliothek bei Verwendung von SSL mit dem IBM HTTP Server zu laden).

Nächste Schritte

Weitere Informationen zum Sichern der Datenübertragung im Web finden Sie im WebSphere Application Server Information Center.

Weitere Informationen zum Schlüsselspeicher und zur Konfiguration des IBM HTTP Server finden Sie im Abschnitt Kommunikation schützen im WebSphere Application Server Information Center.

Die Schlüsseldatei kann von zwei Web-Servern geteilt werden, sodass die Funktionsübernahmefunktion zur Verfügung steht.