Configurazione di SSL per l'Application Server WebSphere configuring-ssl-for-websphere-application-server
In questa sezione sono descritti i passaggi seguenti per configurare SSL con l'Application Server IBM WebSphere.
Creazione di un account utente locale in WebSphere creating-a-local-user-account-on-websphere
Per abilitare SSL, WebSphere deve accedere a un account utente nel registro utenti del sistema operativo locale che dispone dell'autorizzazione per amministrare il sistema:
- (Windows) Creare un utente di Windows che faccia parte del gruppo Administrators e che disponga dei privilegi necessari per operare come parte del sistema operativo. (vedere Creare un utente Windows per WebSphere.)
- (Linux, UNIX) L'utente può essere un utente root o un altro utente con privilegi root. Quando si abilita SSL su WebSphere, utilizzare l'identificazione del server e la password dell'utente.
Creare un utente Linux o UNIX per WebSphere create-a-linux-or-unix-user-for-websphere
-
Accedi come utente principale.
-
Crea un utente immettendo il comando seguente in un prompt dei comandi:
- (Linux e Sun Solaris)
useradd
- (IBM AIX)
mkuser
- (Linux e Sun Solaris)
-
Impostare il password del nuovo utente immettendo
passwd
il prompt dei comandi. -
(Linux e Solaris) Crea un file shadow password immettendo
pwconv
(senza parametri) nel prompt dei comandi.note note NOTE (Linux e Solaris) Affinché il Registro di sistema del sistema operativo locale dell'Application Server WebSphere funzioni correttamente, è necessario che esista un file di password shadow. Il file shadow password è solitamente denominato /etc/shadow ed è basato sul file /etc/passwd. Se il file shadow password non esiste, si verifica un errore dopo l'abilitazione della protezione globale e la configurazione del registro di utente come sistema operativo locale. -
Aprire il file di gruppo dalla directory /etc in un editor di testo.
-
Aggiungi al
root
gruppo il utente creato nel passaggio 2. -
Salva e chiudi il file
-
(UNIX con SSL abilitato) Avviare e arrestare WebSphere come utente root.
Creare un utente Windows per WebSphere create-a-windows-user-for-websphere
- Accedere a Windows utilizzando un account utente amministratore.
- Seleziona Start > Pannello di controllo Campaign > Strumenti di amministrazione > Gestione computer > Utenti e gruppi locali.
- Fare clic con il pulsante destro del mouse su Utenti e selezionare Nuovo utente.
- Digitare un nome utente e una password nelle caselle corrispondenti e digitare tutte le altre informazioni necessarie nelle caselle rimanenti.
- Deseleziona L'Utente Deve Cambiare La Password Al Prossimo Accesso, fai clic su Crea e quindi fare clic su Chiudi.
- Clic Utenti, fare clic con il pulsante destro del mouse sull'utente creato e selezionare Proprietà.
- Fai clic su Membro di e quindi fare clic su Aggiungi.
- Nella casella Immettere i nomi degli oggetti da selezionare digitare
Administrators
, fare clic su Controlla nomi per verificare che il nome del gruppo sia corretto. - Clic OK e quindi fare clic su OK di nuovo.
- Seleziona Start > Pannello di controllo Campaign > Strumenti di amministrazione > Criteri di sicurezza locali > Criteri locali.
- Fare clic su Assegnazione diritti utente, quindi fare clic con il pulsante destro del mouse su Agisci come parte del sistema operativo e selezionare Proprietà.
- Clic Aggiungi utente o gruppo.
- Nella casella Immettere i nomi degli oggetti da selezionare digitare il nome dell'utente creato al passaggio 4 e fare clic su Controlla nomi per verificare che il nome sia corretto, quindi fare clic su OK.
- Clic OK per chiudere la finestra di dialogo Agisci come parte delle proprietà del sistema operativo.
Configurare WebSphere per l'utilizzo dell'utente appena creato come amministratore configure-websphere-to-use-the-newly-created-user-as-administrator
-
Verificare che WebSphere sia in esecuzione.
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
-
In Protezione amministrativa, selezionare Ruoli utente amministrativi.
-
Fai clic su Aggiungi ed effettua le seguenti operazioni:
- Tipo * nella casella di ricerca e fare clic su cerca.
- Clic Amministratore in ruoli.
- Aggiungi l’utente appena creato al ruolo Mappato a e mappalo ad Amministratore.
-
Clic OK e salvare le modifiche.
-
Riavviare il profilo WebSphere.
Abilita sicurezza amministrativa enable-administrative-security
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
-
Clic Configurazione guidata sicurezza.
-
Assicurare Abilita sicurezza applicazione la casella di controllo è attivata. Fai clic su Avanti.
-
Seleziona Archivi federati e fai clic su Successivo.
-
Specifica le credenziali da impostare e fai clic su Successivo.
-
Clic Fine.
-
Riavviare il profilo WebSphere.
WebSphere inizia a utilizzare il keystore e il truststore predefiniti.
Abilita SSL (chiave personalizzata e truststore) enable-ssl-custom-key-and-truststore
I TrustStore e i keystore possono essere creati utilizzando l'utilità ikeyman o Admin Console. Per il corretto funzionamento di ikeyman, verificare che il percorso di installazione di WebSphere non contenga parentesi.
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > Certificato SSL e gestione delle chiavi.
-
Clic Key store e certificati in Elementi correlati.
-
In Utilizzi del registro chiavi , assicurati che Key store SSL è selezionato. Clic Nuovo.
-
Digitare un nome logico e una descrizione.
-
Specifica il percorso in cui desideri creare il keystore. Se avete già creato un keystore tramite ikeyman, specificate il percorso del file keystore.
-
Specifica e conferma la password.
-
Scegli il tipo di registro chiavi e fai clic su Applica.
-
Salva la configurazione principale.
-
Clic Certificato personale.
-
Se hai già aggiunto un keystore utilizzando ikeyman, verrà visualizzato il certificato. In caso contrario, devi aggiungere un nuovo certificato autofirmato eseguendo i seguenti passaggi:
- Selezionare Crea > Certificato autofirmato.
- Specificare i valori appropriati nel modulo del certificato. Assicurarsi di mantenere Alias e nome comune come nome di dominio completo della macchina.
- Fai clic su Applica.
-
Ripeti i passaggi da 2 a 10 per creare un truststore.
Applica keystore personalizzato e truststore al server apply-custom-keystore-and-truststore-to-the-server
-
Nella console di amministrazione di WebSphere, selezionare Sicurezza > gestione dei certificati SSL e delle chiavi.
-
Fare clic su Gestisci configurazione sicurezza endpoint. Viene visualizzata la mappa della topologia locale.
-
In In entrata selezionare figlio diretto dei nodi.
-
In Elementi correlati, selezionare Configurazioni SSL.
-
Selezionare NodeDeafultSSLSetting.
-
Dall'elenco a discesa nome truststore e nome keystore, selezionare il truststore personalizzato e il keystore creato.
-
Fai clic su Applica.
-
Salva la configurazione principale.
-
Riavviare il profilo WebSphere.
Il profilo ora viene eseguito con impostazioni SSL personalizzate e il certificato.
Abilitazione del supporto per i moduli AEM nativi enabling-support-for-aem-forms-natives
- Nella console di amministrazione di WebSphere, selezionare Sicurezza > Sicurezza globale.
- Nella sezione Autenticazione espandere Sicurezza RMI/IIOP e fai clic su Comunicazioni in entrata CSIv2.
- Assicurati che Supporto SSL è selezionato nell’elenco a discesa Trasporto.
- Riavviare il profilo WebSphere.
Configurazione di WebSphere per la conversione degli URL che iniziano con https configuring-websphere-to-convert-urls-that-begins-with-https
Per convertire un URL che inizia con https, aggiungere un certificato Firmatario per tale URL al server WebSphere.
Creare un certificato del firmatario per un sito abilitato per https
-
Verificare che WebSphere sia in esecuzione.
-
In WebSphere Administrative Console passare a Certificati firmatario e quindi fare clic su Protezione > Certificato SSL e gestione chiavi > Archivi chiavi e certificati > NodeDefaultTrustStore > Certificati firmatari.
-
Fare clic su Recupera dalla porta ed eseguire le operazioni seguenti:
- Nella casella Host digitare l'URL. Ad esempio, digitare
www.paypal.com
. - Nella casella Porta digitare
443
. Questa porta è la porta SSL predefinita. - Nella casella Alias digitare un alias.
- Nella casella Host digitare l'URL. Ad esempio, digitare
-
Fare clic su Recupera informazioni firmatario, quindi verificare che le informazioni vengano recuperate.
-
Fare clic su Applica e quindi su Salva.
La conversione da HTML a PDF dal sito di cui è stato aggiunto il certificato ora funziona dal servizio Genera PDF.
Configurazione delle porte dinamiche configuring-dynamic-ports
IBM WebSphere non consente più chiamate a ORB.init() quando la sicurezza globale è abilitata. Per maggiori informazioni sulla restrizione permanente, consulta https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Per impostare la porta come dinamica e risolvere il problema, effettuare le seguenti operazioni:
-
Nella console di amministrazione di WebSphere, selezionare Server > Tipi di server > Server applicazioni WebSphere.
-
Nella sezione Preferenze, seleziona il server.
-
In Configurazione scheda, sotto Comunicazioni , espandere Porte e fai clic su Dettagli.
-
Fare clic sui seguenti nomi di porta, modificare numero di porta a 0 e fare clic su OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Configurare il file sling.properties configure-the-sling-properties-file
-
Apri
[aem-forms_root]
File \crx-repository\launchpad\sling.properties per la modifica. -
Individua il
sling.bootdelegation.ibm
proprietà e aggiungicom.ibm.websphere.ssl.*
nel relativo campo di valore. Il campo aggiornato è simile al seguente:code language-shell sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
-
Salva il file e riavvia il server.