SSL 中的动态配置更新

在安全套接字层 (SSL) 运行时期间,动态配置更新会同时影响入站和出站 SSL 端点。 对于入站 SSL 端点,由 SSL 通道实现的更改仅受动态更改的影响。 对于出站 SSL 端点,所有出站连接都会继承新配置更改。

在此发行版中,动态更新功能为您提供了更大的灵活性和更高的效率。 您可以在不重新启动 WebSphere® Application Server 的情况下更改 SSL 配置,以使更改生效。

要进行动态更改,请在管理控制台中单击 安全性 > SSL 证书和密钥管理,然后选中 Dynamically update the runtime when SSL configuration changes occur 复选框。 必须保存您所作的更改,然后将 security.xml 文件应用于远程系统。 远程系统必须能够确认 dynamicallyUpdateSSLConfig=true 位于 security.xml 文件中。

SSL 运行时将重新装入经过修改的 SSL 配置,并为与入站端点相关联的已修改连接创建新的 SSLEngine。 新的出站连接将使用新配置,而现有连接仍将使用旧的 SSLEngine 对象并且不会受影响。

提示: 在非高峰时段对 SSL 配置进行动态更改。 如果在高峰时段更新 SSL 配置,那么会因存在同步延迟而对连接产生负面影响。
可以通过执行以下操作来打开和关闭 security.xml 文件中的 dynamicallyUpdateSSLConfig 属性,以确保成功地进行更新:
  1. 设置 dynamicallyUpdateSSLConfig=On。
  2. 保存已更新的配置。
  3. security.xml 文件应用于远程系统。
  4. 将 dynamicallyUpdateSSLConfig 属性设置为 Off
在关闭 dynamicallyUpdateSSLConfig 属性之前,必须验证所有节点都已进行了更改。 在更新生产环境之前,请在测试环境中测试这些更改。
提示: 某些 SSL 更改 (尤其是管理 SSL 更改) 可能会导致服务器中断 (如果您未能首先对其进行测试)。 如果某一更改妨碍了两个端点之间的信任关系,这两个端点之间就无法互相通信。 另外,如果管理 SSL 连接更新导致系统中断,那么在使用 Deployment Manager 进行更正之后可能需要禁用节点。 可以从命令行中手动使服务器同步以检索新的 SSL 更改,然后重新启动节点。