SSL 配置的中央管理

缺省情况下,从管理控制台拓扑视图中的中央位置来管理服务器的安全套接字层 (SSL) 配置。 还可以使 SSL 配置和证书别名与特定管理范围相关联。 当服务器拓扑发生变化时,这是用来处理和修改配置的最有效方法。

在前发行版中,SSL 配置是对每个进程进行管理的。 必须维护拓扑中每个 SSL 配置各自的设置。 在此发行版的 WebSphere® Application Server中, SSL 配置的管理控制提供了更多选项和额外的灵活性。 对于整个拓扑,可以使用单元范围进行粗颗粒度更改,而对于特定应用程序服务器进程,也可以使用特定端点名进行细颗粒度更改。 由于 SSL 配置关联清单是可以继承的,因此可以通过只引用最高级别的管理范围(它需要唯一配置)来减少关联数。

拓扑视图提供了范围限定机制。 SSL 配置继承其范围,可在拓扑中从其显示看出这一点。 范围包含您创建配置所在的级别以及该点的所有后续级别。 例如,当您在特定节点创建 SSL 配置时,该 Node Agent 以及作为其父代的每个应用程序服务器都可以看见该配置。 任何不是此特定节点一部分的应用程序服务器或节点将看不到此 SSL 配置。

安全性环境会影响如下问题:SSL 配置的唯一性、SSL 配置和证书别名在拓扑中的布置。 还可以为入站和出站连接配置不同的证书别名和不同的 SSL 配置。

要配置必须在管理控制台中单独执行的入站和出站拓扑,请单击 安全 > SSL 证书和密钥管理 > 管理端点安全性配置 > 入站 | 出站

集中管理的缺省 SSL 配置

缺省管理范围是节点范围。 将节点联合到单元中时,将保留该节点的缺省 SSL 配置,如 sslConfigGroups 和管理范围属性的以下样本代码中所示:
<sslConfigGroups xmi:id="SSLConfigGroup_1" name="myhostNode01" 
direction="inbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostNode01" 
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1" 
scopeName="(cell):myhostNode01Cell:(node):myhostNode01" scopeType="node"/>
SSL 配置 xmi:id "SSLConfig_1" 也被联合,并且适用:
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings" 
managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" 
securityLevel="HIGH" enabledCiphers="" jsseProvider="IBMJSSE2" 
sslProtocol="SSL_TLS" keyStore="KeyStore_1" trustStore="KeyStore_2" 
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
与 SSL 配置 SSLConfig_1 相关联的密钥库同时也被联合,而 key.p12 位于配置库的节点目录中:
<keyStores xmi:id="KeyStore_1" name="NodeDefaultKeyStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE" 
location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell/nodes
/myhostNode01/key.p12" type="PKCS12" fileBased="true" hostList="" 
initializeAtStartup="true" managementScope="ManagementScope_1"/>
<keyStores xmi:id="KeyStore_2" name="NodeDefaultTrustStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE" 
location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell
/nodes/myhostNode01/trust.p12" type="PKCS12" fileBased="true" 
hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>