Show Menu
ARGOMENTI×

Configurazione di SSL per WebSphere Application Server

Questa sezione include i passaggi seguenti per configurare SSL con il server applicazioni IBM WebSphere.

Creazione di un account utente locale su WebSphere

Per abilitare SSL, WebSphere richiede l'accesso a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:
  • (Windows) Create un nuovo utente Windows appartenente al gruppo Amministratori e dotato del privilegio di agire come parte del sistema operativo. Consultate Creare un utente Windows per WebSphere .
  • (Linux, UNIX) L'utente può essere un utente principale o un altro utente con privilegi di root. Quando si abilita SSL su WebSphere, utilizzare l'identificazione del server e la password di questo utente.

Creare un utente Linux o UNIX per WebSphere

  1. Accedete come utente principale.
  2. Create un utente immettendo il seguente comando in un prompt dei comandi:
    • (Linux e Sun Solaris) useradd
    • (IBM AIX) mkuser
  3. Impostate la password del nuovo utente immettendo passwd nel prompt dei comandi.
  4. (Linux e Solaris) Crea un file di password shadow immettendo pwconv (senza parametri) nel prompt dei comandi.
    (Linux e Solaris) Per il funzionamento del Registro di sistema di sicurezza del sistema operativo locale del server applicazioni WebSphere, è necessario che esista un file password shadow. Il file della password shadow è in genere denominato /etc/shadow ed è basato sul file /etc/passwd. Se il file della password shadow non esiste, si verifica un errore dopo l'attivazione della protezione globale e la configurazione del Registro di sistema come sistema operativo locale.
  5. Aprite il file del gruppo dalla directory /etc in un editor di testo.
  6. Aggiungete al root gruppo l’utente creato al punto 2.
  7. Salvate e chiudete il file.
  8. (UNIX con SSL abilitato) Avviare e arrestare WebSphere come utente principale.

Creare un utente Windows per WebSphere

  1. Effettuate l'accesso a Windows utilizzando un account utente amministratore.
  2. Selezionate Start > Pannello di controllo > Strumenti di amministrazione > Gestione computer > Utenti e gruppi locali.
  3. Fate clic con il pulsante destro del mouse su Utenti e selezionate Nuovo utente .
  4. Digitate un nome utente e una password nelle caselle appropriate e digitate tutte le altre informazioni necessarie nelle caselle rimanenti.
  5. Deselezionate Utente deve cambiare la password al login successivo, fate clic su Crea , quindi su Chiudi .
  6. Fate clic su Utenti , fate clic con il pulsante destro del mouse sull’utente appena creato e selezionate Proprietà .
  7. Fare clic sulla scheda Membro di e quindi su Aggiungi .
  8. Nella casella Immettere i nomi degli oggetti da selezionare, digitare Administrators , fare clic su Controlla nomi per verificare che il nome del gruppo sia corretto.
  9. Fate clic su OK , quindi fate di nuovo clic su OK .
  10. Selezionare Start > Pannello di controllo > Strumenti di amministrazione > Criteri di sicurezza locali > Criteri locali.
  11. Fate clic su Assegnazione diritti utente, quindi fate clic con il pulsante destro del mouse su Agisci come parte del sistema operativo e selezionate Proprietà.
  12. Click Add User or Group .
  13. Nella casella Immettere i nomi degli oggetti da selezionare, digitare il nome dell'utente creato al punto 4, fare clic su Controlla nomi per verificare che il nome sia corretto, quindi fare clic su OK .
  14. Fare clic su OK per chiudere la finestra di dialogo Agisci come parte della finestra di dialogo Proprietà sistema operativo.

Configurare WebSphere per utilizzare l'utente appena creato come amministratore

  1. Assicurarsi che WebSphere sia in esecuzione.
  2. Nella console di amministrazione di WebSphere, selezionate Protezione > Sicurezza globale.
  3. In Sicurezza amministrativa, selezionare Ruoli utente amministrativi.
  4. Fate clic su Aggiungi ed effettuate le seguenti operazioni:
    1. Tipo * nella casella di ricerca e fate clic su Cerca.
    2. Fare clic su Amministratore in Ruoli.
    3. Aggiungete l’utente appena creato a Mappato al ruolo e mapparlo ad Amministratore.
  5. Click OK and save your changes.
  6. Riavviare il profilo WebSphere.

Abilita protezione amministrativa

  1. Nella console di amministrazione di WebSphere, selezionate Protezione > Sicurezza globale.
  2. Fate clic su Configurazione guidata sicurezza.
  3. Assicurarsi che la casella di controllo Abilita protezione applicazione sia abilitata. Fai clic su Avanti .
  4. Selezionate Federated Repository e fate clic su Avanti .
  5. Specificate le credenziali da impostare e fate clic su Avanti .
  6. Click Finish .
  7. Riavviare il profilo WebSphere.
    WebSphere inizierà a utilizzare l'archivio di chiavi e l'archivio di trust predefiniti.

Abilita SSL (chiave personalizzata e trust store)

Truststore e keystore possono essere creati utilizzando l'utility ikeyman o admin console. Per garantire il corretto funzionamento di ikeyman, verificare che il percorso di installazione di WebSphere non contenga parentesi.
  1. Nella console di amministrazione di WebSphere, selezionate Protezione > certificato SSL e gestione chiavi.
  2. Fare clic su Keystores e certificati in Elementi correlati.
  3. Nel menu a discesa degli usi dell'archivio chiavi, accertatevi che SSL Keystores sia selezionato. Fai clic su Nuovo .
  4. Digitare un nome logico e una descrizione.
  5. Specificate il percorso in cui desiderate creare l'archivio chiavi. Se avete già creato un archivio di chiavi tramite ikeyman, specificate il percorso del file dell'archivio di chiavi.
  6. Specificate e confermate la password.
  7. Scegliete il tipo di archivio di chiavi e fate clic su Applica .
  8. Salvate la configurazione principale.
  9. Fate clic su Certificato personale.
  10. Se hai già creato un archivio chiavi con ikeyman, verrà visualizzato il certificato. In caso contrario, è necessario aggiungere un nuovo certificato autofirmato eseguendo la procedura seguente:
    1. Selezionare Crea > Certificato autofirmato.
    2. Specificare i valori appropriati nel modulo del certificato. Assicurarsi di mantenere Alias e nome comune come nome di dominio completo del computer.
    3. Fate clic su Applica .
  11. Ripetete i passaggi da 2 a 10 per creare un trust store.

Applicare l'archivio chiavi personalizzato e l'archivio attendibili al server

  1. Nella console di amministrazione di WebSphere, selezionate Protezione > certificato SSL e gestione chiavi.
  2. Fate clic su Gestisci configurazione di protezione endpoint. Viene visualizzata la mappa topologia locale.
  3. In Inbound, selezionare direct child of nodes (figlio diretto dei nodi).
  4. In Elementi correlati, selezionate Configurazioni SSL.
  5. Selezionare NodeDefaultSSLSetting .
  6. Negli elenchi a discesa Nome e Nome archivio chiavi, selezionate l'archivio di dati attendibili e l'archivio di chiavi che avete creato.
  7. Fate clic su Applica .
  8. Salvate la configurazione principale.
  9. Riavviare il profilo WebSphere.
    Il profilo ora viene eseguito in base alle impostazioni SSL personalizzate e al certificato.

Abilitazione del supporto per i moduli nativi AEM

  1. Nella console di amministrazione di WebSphere, selezionate Protezione > Sicurezza globale.
  2. Nella sezione Autenticazione, espandi la protezione RMI/IIOP e fai clic su Comunicazioni in ingresso CSIv2.
  3. Assicurarsi che nell'elenco a discesa Trasporto sia selezionato il supporto SSL.
  4. Riavviare il profilo WebSphere.

Configurazione di WebSphere per convertire gli URL che iniziano con https

Per convertire un URL che inizia con https, aggiungi un certificato del firmatario per tale URL al server WebSphere.
Creare un certificato del firmatario per un sito abilitato per https
  1. Assicurarsi che WebSphere sia in esecuzione.
  2. Nella console di amministrazione di WebSphere, passare ai certificati del firmatario, quindi fare clic su Protezione > Certificato SSL e gestione chiave > Archivi e certificati chiave > NodeDefaultTrustStore > Certificati del firmatario.
  3. Fate clic su Recupera da porta ed eseguite le seguenti operazioni:
    • Nella casella Host, digitate l'URL. For example, type www.paypal.com .
    • Nella casella Porta digitare 443 . Questa porta è la porta SSL predefinita.
    • Nella casella Alias digitare un alias.
  4. Fate clic su Recupera informazioni firmatario, quindi verificate che le informazioni vengano recuperate.
  5. Fate clic su Applica, quindi su Salva.
La conversione da HTML a PDF dal sito il cui certificato è stato aggiunto ora funziona dal servizio Genera PDF.
Affinché un'applicazione possa connettersi a siti SSL da WebSphere, è necessario un certificato di firma. Viene utilizzato da Java Secure Socket Extensions (JSSE) per convalidare i certificati inviati dal lato remoto durante un handshake SSL.

Configurazione di porte dinamiche

IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per informazioni sulla restrizione permanente, consultate https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Per impostare la porta come dinamica e risolvere il problema, effettuate le seguenti operazioni:
  1. Nella console di amministrazione di WebSphere, selezionare Server > Tipi di server > server applicazioni WebSphere.
  2. Nella sezione Preferenze, selezionate il server.
  3. Nella scheda Configurazione , nella sezione Comunicazioni , espandete Porte e fate clic su Dettagli .
  4. Fate clic sui seguenti nomi di porta, modificate il numero della porta in 0 e fate clic su OK .
    • ORB_LISTENER_ADDRESS
    • SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
    • CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Configurare il file sling.properties

  1. Aprite il file [aem-forms_root] \crx-repository\launchpad\sling.properties per la modifica.
  2. Individuare la sling.bootdelegation.ibm proprietà e aggiungere com.ibm.websphere.ssl.* al relativo campo valore. Il campo aggiornato sarà simile al seguente:
    sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
    
    
  3. Salva il file e riavvia il server.