SSL 配置的中央管理
缺省情况下,从管理控制台拓扑视图中的中央位置来管理服务器的安全套接字层 (SSL) 配置。 还可以使 SSL 配置和证书别名与特定管理范围相关联。 当服务器拓扑发生变化时,这是用来处理和修改配置的最有效方法。
在前发行版中,SSL 配置是对每个进程进行管理的。 必须维护拓扑中每个 SSL 配置各自的设置。 在此发行版的 WebSphere® Application Server中, SSL 配置的管理控制提供了更多选项和额外的灵活性。 对于整个拓扑,可以使用单元范围进行粗颗粒度更改,而对于特定应用程序服务器进程,也可以使用特定端点名进行细颗粒度更改。 由于 SSL 配置关联清单是可以继承的,因此可以通过只引用最高级别的管理范围(它需要唯一配置)来减少关联数。
拓扑视图提供了范围限定机制。 SSL 配置继承其范围,可在拓扑中从其显示看出这一点。 范围包含您创建配置所在的级别以及该点的所有后续级别。 例如,当您在特定节点创建 SSL 配置时,该 Node Agent 以及作为其父代的每个应用程序服务器都可以看见该配置。 任何不是此特定节点一部分的应用程序服务器或节点将看不到此 SSL 配置。
安全性环境会影响如下问题:SSL 配置的唯一性、SSL 配置和证书别名在拓扑中的布置。 还可以为入站和出站连接配置不同的证书别名和不同的 SSL 配置。
要配置必须在管理控制台中单独执行的入站和出站拓扑,请单击
。集中管理的缺省 SSL 配置
缺省管理范围是节点范围。 将节点联合到单元中时,将保留该节点的缺省 SSL 配置,如 sslConfigGroups 和管理范围属性的以下样本代码中所示:
<sslConfigGroups xmi:id="SSLConfigGroup_1" name="myhostNode01"
direction="inbound" certificateAlias="default" sslConfig="SSLConfig_1"
managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostNode01"
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1"
managementScope="ManagementScope_1"/>
<managementScopes xmi:id="ManagementScope_1"
scopeName="(cell):myhostNode01Cell:(node):myhostNode01" scopeType="node"/>
SSL 配置 xmi:id "SSLConfig_1" 也被联合,并且适用:
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings"
managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true"
securityLevel="HIGH" enabledCiphers="" jsseProvider="IBMJSSE2"
sslProtocol="SSL_TLS" keyStore="KeyStore_1" trustStore="KeyStore_2"
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
与 SSL 配置 SSLConfig_1 相关联的密钥库同时也被联合,而 key.p12 位于配置库的节点目录中:<keyStores xmi:id="KeyStore_1" name="NodeDefaultKeyStore"
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE"
location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell/nodes
/myhostNode01/key.p12" type="PKCS12" fileBased="true" hostList=""
initializeAtStartup="true" managementScope="ManagementScope_1"/>
<keyStores xmi:id="KeyStore_2" name="NodeDefaultTrustStore"
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMJCE"
location="${USER_INSTALL_ROOT}/config/cells/myhostNode01Cell
/nodes/myhostNode01/trust.p12" type="PKCS12" fileBased="true"
hostList="" initializeAtStartup="true" managementScope="ManagementScope_1"/>