Налаштування ssl

У цьому розділі описані всі завдання, які необхідно виконати для налаштування SSL в WebSphere Portal. Деякі з цих завдань виконуються на сервері WebSphere Application Server і на Web-сервері. Нижче ви можете знайти короткий опис цих завдань. За більш детальною інформацією зверніться до документації по WebSphere Application Server і Web-сервера. Дії, які відносяться тільки до WebSphere Portal, описані більш детально.

Налаштування підтримки SSL в WebSphere Portal являє собою складний процес, фактично включає в себе настройку наступних компонентів:

  • Web-сервер, застосовуваний спільно з WebSphere Application Server
  • WebSphere Application Server
  • WebSphere Portal

В цілому процес можна описати таким чином: потрібно налаштувати на Web-сервері прийом вступників даних SSL. Потім слід налаштувати на вбудовуваному модулі WebSphere Application Server для цього Web-сервера передачу отриманих через захищений порт даних WebSphere Application Server або WebSphere Portal. Цей крок включає в себе настройку інформації про віртуальному хості. І, нарешті, слід налаштувати в WebSphere Portal створення URL із застосуванням SSL в якості транспортного протоколу.

Примітка: При використанні проміжного Proxy-сервера системи безпеки, наприклад, Tivoli Access Manager WebSEAL, процедура може дещо відрізнятися від описаної. У цьому випадку з'єднання SSL з клієнтом обробляються проміжним сервером. Web-сервер отримує з'єднання від проміжного Proxy-сервера. При необхідності на Web-сервері і на Proxy-сервері системи безпеки можна налаштувати SSL з взаємної ідентифікацією. Необхідність такого захисту визначається вимогами конкретної середовища.

Якщо ви плануєте застосовувати Tivoli Access Manager WebSEAL TAI з проміжним з'єднанням SSL, то виконайте тільки кроки 1-3 цієї процедури.

  1. Налаштуйте підтримку HTTPS на Web-сервері. Ця процедура включає в себе настройку на Web-сервер прийому запитів SSL, що надходять від браузерів клієнтів. На Web-сервері повинен бути визначений захищений порт (зазвичай 443). Крім того, повинні бути встановлені необхідні сертифікати і ключі.

У робочому середовищі необхідно отримати сертифікат від сертифікатної компанії. Для цілей тестування можна створити власний сертифікат за допомогою IKEYMAN. Докладні інструкції з виконання цих дій можна знайти в наступних джерелах:

  • IBM WebSphere V5.0 Security, SG24-6573-00
  • Документація по Web-сервера

  • Налаштуйте на вбудовуваному модулі WebSphere Application Server для Web-сервера передачу отриманих за допомогою бездротової технології SSL даних WebSphere Portal сервера WebSphere Application Server (який буде передавати ці дані WebSphere Portal). Оновлення список віртуальних хостів WebSphere Application Server, включивши в нього правильне ім'я хоста і номер порту, а потім поновіть конфігурацію вбудованого модуля.
    1. Відкрийте адміністративну консоль WebSphere Application Server і виберіть опції Середовище> Віртуальні хости.
    2. Додайте псевдонім хоста і номер порту SSL, певні на Web-сервері на кроці 1. В конфігурації за замовчуванням досить буде додати до віртуального хосту "default_host" новий псевдонім.

      Примітка: Як ім'я хоста може бути вказано значення "*" або повне ім'я хоста. Зазвичай використовується ім'я хоста Web-сервера.

    3. Виберіть опції Середовище> Оновити вбудований модуль Web-сервера. Натисніть кнопку OK.
    4. Якщо застосовується віддалений Web-сервер, то скопіюйте на цей сервер файл plugin-cfg.xml.

    Примітка: Повний опис функції віртуальних хостів WebSphere Application Server наведено в документації по WebSphere Application Server.

  • Якщо Web-сервер і WebSphere Portal розташовані на різних комп'ютерах, то запити, що надходять на Web-сервер, перенаправляються сервера додатків. В цьому випадку для забезпечення повноцінного захисту необхідно додатково налаштувати з'єднання SSL між Web-сервером і сервером додатків. Для цього потрібно створити файли ключів для модуля Web-сервера і вбудованого HTTPD продукту WebSphere Application Server. Докладні інструкції з виконання цього завдання наведені в розділі 10.11: SSL between the Web server and WebSphere керівництва IBM WebSphere V5.0 Security (SG24-6573-00).
  • Відкрийте файл ConfigService.properties. розташований в каталозі <каталог-wp> / Shared / app / config / services /. і зміни у наступних параметрах:

    де <порт-псевдонима> - це номер порту псевдонімів віртуальних хостів, визначених на кроці 2. Параметр redirect.logout.ssl ​​можна задає протокол, який застосовується при натисканні кнопки виходу з системи. Якщо цей параметр дорівнює true. то застосовується протокол HTTPS. Якщо параметр дорівнює false. то застосовується протокол HTTP. Значення цього параметра не впливає на протокол, застосовуваний для доступу до головній сторінці порталу.

  • Примітка: Це крок потрібно тільки в тому випадку, якщо для вхідних з'єднань WebSphere Portal необхідно застосовувати SSL. Якщо вхідні з'єднання перенаправлені з зовнішніх Web-серверів через стандартний HTTP, що означає, що Web-сервер є кінцевою точкою SSL, то пропустіть цей крок. Відкрийте файл web.xml. розташований в каталозі <каталог-was> / InstalledApps /<имя-хоста> /wps.ear/wps.war/WEB-INF. і змініть тег захищеного URL порталу таким чином, щоб застосовувався HTTPS:
  • Змініть JSP, що містять посилання входу в систему. Знайдіть в каталогах тим все JSP, що містять наступний рядок:

    Цей атрибут повинен бути розташований на засланні приблизно наступного вигляду:

    Додайте в тег посилання атрибут ssl = "true". наприклад:
  • Видаліть скомпільовані JSP з кешу сервера додатків, очистивши наступний каталог:
  • Перезапустіть Web-сервер і WebSphere Application Server, щоб внесені зміни вступили в силу.
  • Перевірте правильність внесених змін, відкривши домашню сторінку порталу в Web-браузері і клацнувши на посиланні входу в систему. Після входу в систему в сеансі буде встановлено захищене з'єднання. Після вибору посилання входу в систему для відправки дозволити серверу з'явиться повідомлення браузера про включення захисту.

    • пов'язана інформація

    Схожі статті