总之,当您输入“https://...”而不是“http://...”时,浏览器创建 SSL 连接,而不是简单的到 Web 服务器的 TCP 连接。如果浏览器无法确认 Web 服务器或无法同意安全性选项的级别(要使用加密算法的力度),则浏览器通常提示用户或连接失败。
对 Web 服务器配置 SSL
要对 Web 服务器配置 SSL 取决于 Web 服务器的类型。查阅您的 Web 服务器文档以获得指令。
一般而言,当启用 SSL 时,SSL 密钥文件是必需的。该密钥文件应该包含 CA 证书(签名者证书)和任何私人信息证书。也可启用客户机认证;缺省情况下,它是禁用的。
为了客户机证书(来自浏览器的证书)由 WebSphere Web 服务器插件转发到 WebSphere Application Server,则必须为 Web 服务器启用客户机认证。启用 WebSphere Application Server 本身的客户机认证不是必需的,除非您要认证 WebSphere Web 服务器插件(或任何通过 SSL 直接连接到 WebSphere Application Server 的其它客户机)。
逐一地对 IBM HTTP Server 配置 SSL
此节提供关于对 IBM HTTP Server 配置 SSL 的简短示例。请参阅 IBM HTTP Server 文档以获得最多新近和完整的指令。同时注意您 Web 服务器的 httpd.conf.sample 文件提供所有伪指令(包括 SSL 相关的伪指令)的示例。
如果您要启用客户机认证,取消包含“SSLClientAuth 所需”的最后行的注释。这将导致 IHS 将对于证书的请求发送到浏览器上。为了执行客户机认证,您的浏览器会提示您选择要发送到 Web 服务器的证书。
启动您的 IBM HTTP Server。
通过输入输入 URL 从浏览器测试您的配置,如:
https://localhost
如果您正在使用自签署证书,而不是 CA (如 Verisign )发出的证书,则您的浏览器应提示您查看是否要信任服务器证书的未知签署者。此外,如果您启用客户机认证,为了执行客户机认证,您的浏览器会提示您选择要发送到 Web 服务器的证书。然后应显示页面。
对 Web 服务器的 WebSphere 插件配置 SSL
一旦 SSL 在您的浏览器和 Web 服务器间工作后,则您可继续配置 Web 服务器插件和 WebSphere Application Server 间的 SSL。如果已知插件和应用程序服务器间的链接是安全的或您的应用程序不敏感,则这不是必需的。然而,如果应用程序数据的私密是关注的问题,此连接应是 SSL 连接。
步骤 1:对 WebSphere Web 服务器插件创建 SSL 密钥文件
当配置 SSL 时,您必须首先创建 SSL 密钥文件。
请注意,如果您正在使用 IBM HTTP Server,您可使用 Web 服务器正在使用的相同 SSL 密钥文件;然而,推荐您使用分隔的 SSL 密钥文件,因为连接到 Web 服务器的信任策略将很可能与连接到应用程序服务器的信任策略不同。
例如,我们可能要允许许多浏览器连接到 Web 服务器的 HTTPS 端口,我们却只想允许一小部分已知数的 WebSphere 插件直接连接到 WebSphere application server 的 HTTPS 端口。下列是一个示例,有关如何创建您的 WebSphere 插件的 SSL 密钥文件,这将仅允许插件连接到其 SSL 端口上的应用程序服务器。
如果拧还未这样做,创建目录product_installation_root\myKeys。
此目录将包含所有的 SSL 密钥文件和您将创建的抽取的证书。
启动 GSKit 的密钥管理实用程序。
GSKit 是由 WebSphere 插件使用的 SSL 实现,这同 IBM HTTP Server 使用的实现相同。
Windows 上到此实用程序的缺省路径是 C:\Program Files\ibm\gsk5\bin\gsk5ikm.exe。
