DokumentationAEM 6.4Forms-Anleitung

Konfigurieren von SSL für WebSphere Application Server configuring-ssl-for-websphere-application-server

Last update: Thu May 04 2023 00:00:00 GMT+0000 (Coordinated Universal Time)

Erstellt für:

  • User
CAUTION
AEM 6.4 hat das Ende der erweiterten Unterstützung erreicht und diese Dokumentation wird nicht mehr aktualisiert. Weitere Informationen finden Sie in unserer technische Unterstützung. Unterstützte Versionen suchen here.

Dieser Abschnitt enthält die folgenden Schritte zum Konfigurieren von SSL mit Ihrem IBM WebSphere Application Server.

Erstellen eines lokalen Benutzerkontos auf WebSphere creating-a-local-user-account-on-websphere

Für die Aktivierung von SSL benötigt WebSphere Zugriff auf ein Benutzerkonto in der Benutzerregistrierung des lokalen Betriebssystems, das zur Verwaltung des Systems berechtigt ist:

  • (Windows) Erstellen Sie einen neuen Windows-Benutzer, der der Gruppe "Administratoren"angehört und berechtigt ist, als Teil des Betriebssystems zu fungieren. (Siehe Windows-Benutzer für WebSphere erstellen.
  • (Linux, UNIX) Der Benutzer kann ein Root-Benutzer oder ein anderer Benutzer mit Root-Berechtigungen sein. Wenn Sie SSL unter WebSphere aktivieren, verwenden Sie die Serverkennung und das Kennwort dieses Benutzers.

Linux- oder UNIX-Benutzer für WebSphere erstellen create-a-linux-or-unix-user-for-websphere

  1. Melden Sie sich als Root-Benutzer an.

  2. Erstellen Sie einen Benutzer, indem Sie den folgenden Befehl an einer Eingabeaufforderung eingeben:

    • (Linux und Sun Solaris) useradd
    • (IBM AIX) mkuser

  3. Legen Sie das Kennwort des neuen Benutzers fest, indem Sie an der Eingabeaufforderung passwd eingeben.

  4. (Linux und Solaris) Erstellen Sie eine Shadow-Kennwortdatei, indem Sie an der Eingabeaufforderung pwconv (ohne Parameter) eingeben.

    note note
    NOTE
    (Linux und Solaris) Die Sicherheitsregistrierung „Local OS“ für WebSphere Application Server funktioniert nur, wenn eine Shadow-Kennwortdatei vorhanden ist. Die Shadow-Kennwortdatei trägt normalerweise den Namen /etc/adow* und basiert auf der Datei /etc/passwd . Wenn keine Shadow-Kennwortdatei vorhanden ist, tritt nach dem Aktivieren der globalen Sicherheit und dem Konfigurieren der Benutzerregistrierung als „Local OS“ ein Fehler auf.*

  5. Öffnen Sie die Gruppendatei aus dem Ordner „/etc“ in einem Texteditor.

  6. Fügen Sie der Gruppe root den Benutzer hinzu, den Sie in Schritt 2 erstellt haben.

  7. Speichern und schließen Sie die Datei.

  8. (UNIX mit aktiviertem SSL) Starten und beenden Sie WebSphere als Root-Benutzer.

Windows-Benutzer für WebSphere erstellen create-a-windows-user-for-websphere

  1. Melden Sie sich mit einem Administratorkonto bei Windows an.
  2. Auswählen Start > Systemsteuerung > Verwaltung > Computerverwaltung > Lokale Benutzer und Gruppen.
  3. Klicken Sie mit der rechten Maustaste auf Benutzer und wählen Sie Neuer Benutzer.
  4. Geben Sie in die entsprechenden Felder einen Benutzernamen und ein Kennwort ein und geben Sie in die übrigen Felder alle weiteren erforderlichen Informationen ein.
  5. Auswahl aufheben Der Benutzer muss das Kennwort bei der nächsten Anmeldung ändern klicken Erstellen und klicken Sie anschließend auf Schließen.
  6. Klicken Benutzer, klicken Sie mit der rechten Maustaste auf den soeben erstellten Benutzer und wählen Sie Eigenschaften.
  7. Klicken Sie auf Mitglied von und klicken Sie auf Hinzufügen.
  8. Geben Sie in das Feld „Geben Sie die zu verwendenden Objektnamen ein“ den Namen Administrators. Klicken Sie auf „Namen überprüfen“, um sicherzustellen, dass der Gruppenname richtig ist.
  9. Klicken OK und klicken Sie anschließend auf OK erneut.
  10. Auswählen Start > Systemsteuerung > Verwaltung > Lokale Sicherheitsrichtlinie > Lokale Richtlinien.
  11. Klicken Sie auf "Zuweisung von Benutzerrechten", klicken Sie dann mit der rechten Maustaste auf Als Teil des Betriebssystems handeln und wählen Sie Eigenschaften aus.
  12. Klicken Benutzer oder Gruppe hinzufügen.
  13. Geben Sie im Feld "Geben Sie die zu verwendenden Objektnamen ein"den Namen des Benutzers ein, den Sie in Schritt 4 erstellt haben, und klicken Sie auf Namen überprüfen , um sicherzustellen, dass der Name korrekt ist, und klicken Sie dann auf OK.
  14. Klicken OK , um das Dialogfeld Eigenschaften des Betriebssystems zu schließen.

WebSphere für die Verwendung des neu erstellten Benutzers als Administrator konfigurieren configure-websphere-to-use-the-newly-created-user-as-administrator

  1. Stellen Sie sicher, dass WebSphere ausgeführt wird.

  2. Wählen Sie in WebSphere Administrative Console die Option Sicherheit > Globale Sicherheit.

  3. Wählen Sie unter "Administrative security"die Option Administratorrollen.

  4. Klicken Sie auf Hinzufügen und führen Sie die folgenden Schritte aus:

    1. Geben Sie im Suchfeld * ein und klicken Sie auf „Suchen“.
    2. Klicken Administrator unter Rollen.
    3. Fügen Sie den neu erstellten Benutzer der Rolle "Mapped to role"hinzu und ordnen Sie ihn Administrator zu.

  5. Klicken OK und speichern Sie Ihre Änderungen.

  6. Starten Sie das WebSphere-Profil neu.

Administrative Sicherheit aktivieren enable-administrative-security

  1. Wählen Sie in WebSphere Administrative Console die Option Sicherheit > Globale Sicherheit.

  2. Klicken Sicherheitskonfigurationsassistent.

  3. Sichern Anwendungssicherheit aktivieren aktiviert ist. Klicken Sie auf Weiter.

  4. Auswählen Federated Repositorys und klicken Sie auf Nächste.

  5. Geben Sie die festzulegenden Berechtigungen an und klicken Sie auf Nächste.

  6. Klicken Sie auf Beenden.

  7. Starten Sie das WebSphere-Profil neu.

    WebSphere beginnt mit der Verwendung des standardmäßigen Keystore und Truststore.

Aktivieren Sie SSL (benutzerdefinierten Schlüssel und TrustStore) enable-ssl-custom-key-and-truststore

Truststores und Keystores können mit dem Dienstprogramm ikeyman oder der Admin Console erstellt werden. Damit ikeyman ordnungsgemäß funktioniert, stellen Sie sicher, dass der WebSphere-Installationspfad keine Klammern enthält.

  1. Wählen Sie in WebSphere Administrative Console die Option Sicherheit > SSL-Zertifikat und Schlüsselverwaltung.

  2. Klicken Keystores und Zertifikate unter Verwandte Artikel.

  3. Im Schlüsselspeicherverwendung Dropdown-Liste, stellen Sie sicher, dass SSL-Keystores ausgewählt ist. Klicken Sie auf Neu.

  4. Geben Sie einen logischen Namen und eine Beschreibung ein.

  5. Geben Sie den Pfad an, in dem Ihr Keystore erstellt werden soll. Wenn Sie bereits einen Keystore über "ikeyman"erstellt haben, geben Sie den Pfad zur Keystore-Datei an.

  6. Geben Sie das Kennwort an und bestätigen Sie es.

  7. Wählen Sie den Keystore-Typ aus und klicken Sie auf Anwenden.

  8. Speichern Sie die Übergeordnete Konfiguration.

  9. Klicken Persönliches Zertifikat.

  10. Wenn Sie bereits einen Keystore mit ikeyman erstellt haben, wird Ihr Zertifikat angezeigt. Andernfalls müssen Sie ein neues selbstsigniertes Zertifikat hinzufügen, indem Sie die folgenden Schritte ausführen:

    1. Auswählen Erstellen > Selbstsigniertes Zertifikat.
    2. Geben Sie die entsprechenden Werte im Zertifikatformular an. Behalten Sie den Alias und den allgemeinen Namen als vollständig qualifizierten Domain-Namen des Computers bei.
    3. Klicken Sie auf Übernehmen.

  11. Wiederholen Sie die Schritte 2 bis 10 für die Erstellung eines TrustStore.

Anwenden von benutzerdefiniertem Keystore und TrustStore auf den Server apply-custom-keystore-and-truststore-to-the-server

  1. Wählen Sie in WebSphere Administrative Console die Option Sicherheit > SSL-Zertifikat und Schlüsselverwaltung.

  2. Klicken Konfiguration der Endpunktsicherheit verwalten. Die lokale Topologiemap wird geöffnet.

  3. Wählen Sie unter "Eingehend"das direkt untergeordnete Element der Knoten aus.

  4. Wählen Sie unter Verwandte Elemente die Option SSL-Konfigurationen.

  5. Auswählen NodeDeafultSSLSetting.

  6. Wählen Sie aus den Dropdownlisten Truststore name and keystore name den von Ihnen erstellten benutzerdefinierten Truststore und Keystore aus.

  7. Klicken Sie auf Übernehmen.

  8. Speichern Sie die Übergeordnete Konfiguration.

  9. Starten Sie das WebSphere-Profil neu.

    Ihr Profil wird jetzt mit benutzerdefinierten SSL-Einstellungen und Ihrem Zertifikat ausgeführt.

Aktivieren der Unterstützung für native AEM Forms enabling-support-for-aem-forms-natives

  1. Wählen Sie in WebSphere Administrative Console die Option Sicherheit > Globale Sicherheit.
  2. Erweitern Sie im Abschnitt Authentifizierung den RMI/IIOP-Sicherheit und klicken Sie auf CSIv2 Inbound Communications.
  3. Stellen Sie sicher, dass SSL-gestützt wird in der Dropdown-Liste Transport ausgewählt.
  4. Starten Sie das WebSphere-Profil neu.

WebSphere zum Konvertieren von URLs konfigurieren, die mit https beginnen configuring-websphere-to-convert-urls-that-begins-with-https

Um eine URL zu konvertieren, die mit HTTPS beginnt, fügen Sie dem WebSphere-Server ein Signiererzertifikat für diese URL hinzu.

Erstellen eines Signiererzertifikats für eine HTTPS-aktivierte Site

  1. Stellen Sie sicher, dass WebSphere ausgeführt wird.

  2. Navigieren Sie in WebSphere Administrative Console zu den Signiererzertifikaten und klicken Sie dann auf Security

    SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.

  3. Klicken Sie auf Aus Port abrufen und führen Sie die folgenden Aufgaben aus:

    • Geben Sie in das Feld "Host"die URL ein. Geben Sie beispielsweise www.paypal.com.
    • Geben Sie in das Feld „Port“ den Wert 443 ein. Dieser Port ist der standardmäßige SSL-Anschluss.
    • Geben Sie in das Feld "Alias"einen Alias ein.

  4. Klicken Sie auf "Signiererinformationen abrufen"und überprüfen Sie dann, ob die Informationen abgerufen werden.

  5. Klicken Sie auf Anwenden und dann auf Speichern.

Die HTML-zu-PDF-Konvertierung von der Site, deren Zertifikat hinzugefügt wird, funktioniert jetzt mit dem Generate PDF-Dienst.

NOTE
Damit eine Anwendung von in WebSphere aus eine Verbindung zu SSL-Sites herstellen kann, ist ein Signiererzertifikat erforderlich. Sie wird von Java Secure Socket Extensions (JSSE) verwendet, um Zertifikate zu überprüfen, die die Remote-Seite der Verbindung während eines SSL-Handshake sendet.

Dynamische Ports konfigurieren configuring-dynamic-ports

IBM WebSphere lässt nicht mehrere Aufrufe an ORB.init() zu, wenn die globale Sicherheit aktiviert ist. Informationen über die dauerhafte Einschränkung finden Sie unter https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Führen Sie die folgenden Schritte aus, um den Port als dynamisch festzulegen und das Problem zu beheben:

  1. Wählen Sie in WebSphere Administrative Console die Option Server > Servertypen > WebSphere-Anwendungsserver.

  2. Wählen Sie im Bereich Voreinstellungen den gewünschten Server aus.

  3. Im Konfiguration Registerkarte unter Kommunikation Abschnitt erweitern Ports und klicken Sie auf Details.

  4. Klicken Sie auf die folgenden Portnamen und ändern Sie die Anschlussnummer auf 0 klicken und auf OK.

    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Konfigurieren der sling.properties-Datei configure-the-sling-properties-file

  1. Öffnen [aem-forms_root]\crx-repository\launchpad\sling.properties Datei zur Bearbeitung.

  2. Suchen Sie die Eigenschaft sling.bootdelegation.ibm und fügen Sie com.ibm.websphere.ssl.* zu ihrem Wertfeld hinzu. Das aktualisierte Feld sieht wie folgt aus:

    code language-as3 
    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*

  3. Speichern Sie die Datei und starten Sie den Server neu.

recommendation-more-help
a6ebf046-2b8b-4543-bd46-42a0d77792da