概述：WebSphere Application Server 的 SSL 使用
SSL（安全套接字層）由幾個 WebSphere Application Server 組件使用以提供安全通信。特別地，SSL 由下列使用：
HTTPS：應用程序服務器的內置 HTTPS 傳送。
ORB.應用程序服務器的客戶機和服務器 ORB。
LDAPS：到認證使用的 LDAP 注冊表的管理服務器安全連接。這僅在 WebSphere Application Server 高級版中可用。
WebSphere Application Server 中的管理模型允許通過配置缺省 SSL 設置而中央管理這些不同的 SSL 組件。此外，任何缺省設置都會由 HTTPS、ORB 和 LDAPS 特定的 SSL 設置所覆蓋。這提供了中央管理和 SSL 的各種使用可能需要的個別可配置性。
對瀏覽器配置 SSL
對瀏覽器配置 SSL 是瀏覽器特定。查閱您的瀏覽器文檔以獲得指令。
總之，當您輸入“https://...”而不是“http://...”時，瀏覽器創建 SSL 連接，而不是簡單的到 Web 服務器的 TCP 連接。如果瀏覽器無法確認 Web 服務器或無法同意安全性選項的級別（要使用加密算法的力度），則瀏覽器通常提示用戶或連接失敗。
對 Web 服務器配置 SSL
要對 Web 服務器配置 SSL 取決于 Web 服務器的類型。查閱您的 Web 服務器文檔以獲得指令。
一般而言，當啟用 SSL 時，SSL 密鑰文件是必需的。該密鑰文件應該包含 CA 證書（簽名者證書）和任何私人信息證書。也可啟用客戶機認證；缺省情況下，它是禁用的。
　為了客戶機證書（來自瀏覽器的證書）由 WebSphere Web 服務器插件轉發到 WebSphere Application Server，則必須為 Web 服務器啟用客戶機認證。啟用 WebSphere Application Server 本身的客戶機認證不是必需的，除非您要認證 WebSphere Web 服務器插件（或任何通過 SSL 直接連接到 WebSphere Application Server 的其它客戶機）。
逐一地對 IBM HTTP Server 配置 SSL
此節提供關于對 IBM HTTP Server 配置 SSL 的簡短示例。請參閱 IBM HTTP Server 文檔以獲得最多新近和完整的指令。同時注意您 Web 服務器的 httpd.conf.sample 文件提供所有偽指令（包括 SSL 相關的偽指令）的示例。
使用 IHS 密鑰管理實用程序創建密鑰文件。
在如"product_installation_root/myKeys" (見附1)的位置創建目錄。
此目錄將用于保持所有您的 SSL 密鑰文件和證書。
從 IBM HTTP Server 開始菜單啟動密鑰管理實用程序。
要在 Windows 平臺啟動實用程序，請單擊：開始 -> 程序 -> IBM HTTP Server -> 啟動密鑰管理實用程序
單擊密鑰數據庫文件菜單并選擇新建。
指定設置并單擊確定：
密鑰數據庫類型：CMS 密鑰數據庫文件
文件名：WebServerKeys.kdb
位置：到您的“myKeys”目錄的路徑
輸入您 SSL 密鑰文件的密碼（兩次以確認）。
選取“是否將密碼存儲到文件？”選項。單擊確定。
　這導致創建名為“WebServerKeys.sth”的文件，其中包含密碼的編碼表單。請注意此編碼防止了不經意查看密碼，但并不是非常安全的。因此，操作系統許可應該用于防止未授權的人員到此文件的所有訪問。
當您查看缺省簽字人證書列表時，請單擊簽字人證書菜單并選擇個人證書。
如果您有來自 CA（例如，Verisign）的服務器證書，您可單擊導入將此證書導入到您的 SSL 密鑰文件。將提示您包含服務器證書的文件的類型和位置。
然而，如果您沒有來自 CA 的有效服務器證書但要測試您的系統，則您可單擊新建自簽署。
將最低程度提示您輸入如“測試”的密鑰標號和如“IBM”的組織。選擇對其它值使用缺省值。
單擊密鑰數據庫文件菜單并選擇關閉。
將下列行添加到您的 httpd.conf 文件的底部file：
LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll
Listen 443
SSLEnable
Keyfile "product_installation_root/myKeys/WebServerKeys.kdb"
# SSLClientAuth required
這導致 Web 服務器偵聽端口 443（缺省 SSL 端口）。
如果您要啟用客戶機認證，取消包含“SSLClientAuth 所需”的最后行的注釋。這將導致 IHS 將對于證書的請求發送到瀏覽器上。為了執行客戶機認證，您的瀏覽器會提示您選擇要發送到 Web 服務器的證書。
啟動您的 IBM HTTP Server。
通過輸入輸入 URL 從瀏覽器測試您的配置，如：
https://localhost
如果您正在使用自簽署證書，而不是 CA （如 Verisign ）發出的證書，則您的瀏覽器應提示您查看是否要信任服務器證書的未知簽署者。此外，如果您啟用客戶機認證，為了執行客戶機認證，您的瀏覽器會提示您選擇要發送到 Web 服務器的證書。然后應顯示頁面。
對 Web 服務器的 WebSphere 插件配置 SSL
一旦 SSL 在您的瀏覽器和 Web 服務器間工作后，則您可繼續配置 Web 服務器插件和 WebSphere Application Server 間的 SSL。如果已知插件和應用程序服務器間的鏈接是安全的或您的應用程序不敏感，則這不是必需的。然而，如果應用程序數據的私密是關注的問題，此連接應是 SSL 連接。
步驟 1：對 WebSphere Web 服務器插件創建 SSL 密鑰文件
當配置 SSL 時，您必須首先創建 SSL 密鑰文件。
請注意，如果您正在使用 IBM HTTP Server，您可使用 Web 服務器正在使用的相同 SSL 密鑰文件；然而，推薦您使用分隔的 SSL 密鑰文件，因為連接到 Web 服務器的信任策略將很可能與連接到應用程序服務器的信任策略不同。
例如，我們可能要允許許多瀏覽器連接到 Web 服務器的 HTTPS 端口，我們卻只想允許一小部分已知數的 WebSphere 插件直接連接到 WebSphere application server 的 HTTPS 端口。下列是一個示例，有關如何創建您的 WebSphere 插件的 SSL 密鑰文件，這將僅允許插件連接到其 SSL 端口上的應用程序服務器。
如果擰還未這樣做，創建目錄product_installation_root\myKeys。
此目錄將包含所有的 SSL 密鑰文件和您將創建的抽取的證書。
啟動 GSKit 的密鑰管理實用程序。
GSKit 是由 WebSphere 插件使用的 SSL 實現，這同 IBM HTTP Server 使用的實現相同。
Windows 上到此實用程序的缺省路徑是 C:\Program Files\ibm\gsk5\bin\gsk5ikm.exe。
單擊密鑰數據庫文件下拉并選擇新建。
指定設置并單擊確定：
密鑰數據庫類型：CMS 密鑰數據庫文件
文件名：plug-inKeys.kdb
位置：您的 myKeys 目錄
輸入您 SSL 密鑰文件的密碼（兩次以確認）。
選取是否將密碼存儲到文件？ 選項。單擊確定。
這導致創建文件（如"product_installation_root\myKeys\plug-inKeys.sth），其中包含密碼的編碼表單。此編碼防止密碼的不規則視圖，但并不是非常安全。因此，操作系統許可應該用于防止未授權的人員到此文件的所有訪問。
當您查看缺省簽字人證書列表時，選擇首個證書并單擊刪除。
重復前一個步驟直至以刪除所有簽署者證書。
創建自簽署證書：
單擊簽字者菜單并選擇個人證書。
單擊新建自簽署。
為密鑰標簽輸入“插件”，為組織輸入“IBM”。
單擊確定。
抽取證書以便您稍后能將其導入應用程序服務器密鑰文件。
單擊抽取證書。
指定設置：
編碼為 Base64 的 ASCII 數據：數據類型
證書文件名：plug-in.arm
位置：到您的 myKeys 目錄的路徑
單擊確定。
單擊密鑰數據庫文件菜單并選擇關閉。
步驟 2：修改 WebSphere Web 服務器的插件配置文件
現在您已創建了插件的 SSL 密鑰文件，編輯插件配置文件，以便其引用您的密鑰文件。
下列是插件配置文件的示例。該配置導致插件將 HTTP 請求轉發到應用程序服務器的 HTTP 端口，并將 HTTPS 請求轉發到應用程序服務器的 HTTPS 端口。
SSL 配置信息是用來指定 secureServer1 的，這是 secureServers 組的唯一成員。所有 HTTPS 請求均轉發到 secureServers 組。（服務器組是個概念，僅在高級版中支持，而不是在高級單服務器版中支持。）
SSL 密鑰文件是由 keyring 特性指定，以及存儲文件（包含編碼密碼）由 stashfile 特性指定。確保此文件的路徑在您的 Web 服務器配置（例如，IHS 的 "httpd.conf"）中已指定。

































<特性名="keyring" 值="product_installation_root\myKeys\plug-inKeys.kdb">
<特性名="stashfile" 值="product_installation_root\myKeys\plug-inKeys.sth">






　插件配置文件的 XML 實現能在再次更新該文檔前更改。使用您當前的產品版本和修訂包級別查閱安裝在您系統上的實際配置文件作為最新和最正確的 XML 語法版本。
對 WebSphere Application Server 配置 SSL
管理控制臺提供到 SSL 設置的下列訪問點。
使用缺省 SSL 設置在中心管理在管理域中的資源 SSL 設置。在設置個別的資源類型中，可以覆蓋任何缺省設置 － 傳送或 ORB 設置。
缺省 SSL 設置
在控制臺樹視圖中，單擊安全性 -> 缺省 SSL 設置。
對 Web 容器的 HTTP 傳送 HTTPS SSL 設置
顯示傳送特性。單擊 SSL。
ORB SSL 設置
顯示 ORB 設置。單擊安全套接字層設置。
以上設置能通過下面描述的任何 SSL 設置配置：
SSL 特性引用
在 SSL 設置對話框中，注意加密令牌按鈕以對支持的加密設備配置設置。
對應用程序服務器的 HTTPS 傳送配置 SSL
為了配置 SSL，您必須首先創建 SSL 密鑰文件。該文件的內容取決于您允許誰通過 HTTPS 端口直接與應用程序服務器通信（換句話說，您正在定義 HTTPS 服務器安全性策略）。
本章節顯示了限制性的安全性策略，其中僅允許明確的客戶機集合（Web 服務器的 WebSphere 插件）連接到應用程序服務器的 HTTPS 端口。下列創建 SSL 密鑰文件的過程不用遵循缺省簽署者證書的限制性趨勢。
步驟 1：不用缺省簽署者證書來創建 SSL 密鑰文件
啟動 IKeyMan。
在 Windows 上，從 Windows 啟動菜單上的 WebSphere Application Server 入口啟動 IKeyMan。
創建新的密鑰數據庫文件。
單擊密鑰數據庫文件并選擇新建。
指定設置：
密鑰數據庫類型：JKS
文件名：appServerKeys.jks
位置：您的 myKeys 目錄，如 "product_installation_root\myKeys
單擊確定。
輸入密碼（兩次以確認）并單擊確定。
刪除所有簽署者證書。
單擊簽署者證書并選擇個人證書。
添加新的自簽署證書。
單擊新建自簽署來添加自簽署證書。
指定設置。
密鑰標簽：appServerTest
組織：IBM
單擊確定。
從該自簽署證書抽取證書以便能把它導入到插件的 SSL 密鑰文件。
單擊抽取證書。
指定設置：
數據類型：編碼為 Base64 的 ASCII 數據
證書文件名：appServer.arm
位置：到您的 myKeys 目錄的路徑
單擊確定。
導入插件的證書。
單擊個人證書并選擇簽署者證書。
單擊添加。
指定設置：
數據類型：編碼為 Base64 的 ASCII 數據
證書文件名：appServer.arm
位置：到您的 myKeys 目錄的路徑
單擊確定。
為標簽輸入“插件”并單擊確定。
單擊密鑰數據庫文件。
選擇退出。
步驟 2：將應用程序服務器的簽署者證書添加到插件的 SSL 密鑰文件
啟動密鑰管理實用程序。
單擊密鑰數據庫文件菜單并選擇打開。
選擇 product_installation_root\myKeys\plug-inKeys.kdb 文件。
輸入相關聯的密碼并單擊確定。
單擊個人證書并選擇簽署者證書。
單擊添加。
指定設置。
數據類型：編碼為 Base64 的 ASCII 數據
證書文件名：appServer.arm
位置：到您的 myKeys 目錄的路徑。
單擊確定。
單擊密鑰數據庫文件并選擇退出。
步驟 3：引用 WebSphere Application Server 系統管理中的密鑰文件
引用在缺省 SSL 設置配置面板中或在 HTTPS SSL 設置配置面板中適當的 SSL 密鑰文件。在此，我們將使用缺省 SSL 設置面板。
啟動管理控制臺。
在樹視圖中，單擊安全性 -> 缺省 SSL 設置。
指定設置。
密鑰文件名稱：product_installation_root/myKeys/appServer.jks
密鑰文件密碼：輸入您的密碼
密鑰文件格式：JKS
信任文件名：（空的）
信任文件密碼：（空的）
客戶機認證：所選
單擊確定。
保存您的服務器配置。
步驟 4：停止服務器并再次啟動
配置完成。為了激活配置，停止并重新啟動 Web 服務器和應用程序服務器。
.6.18.3：用 Web 控制臺管理安全性
使用 Web 控制臺啟用和禁用全局安全性，使用本地操作系統注冊表認證用戶。啟用安全性之后，對此管理控制臺的訪問將被登錄屏幕保護。
通過將它們定位在控制臺左側的樹中，來使用安全性配置：
在樹中，單擊安全性條目。
附1:產品安裝根參考

檢查產品先決條件，以確認給定的操作系統支持您所使用的 WebSphere Application Server 的版本。