问题描述
我们有一个特殊的 WAS v85 环境,正在尝试解决应用团队提出的证书/安全问题:
- 一个多节点集群。
- 其中只有一半获得了实时流量,为此对插件进行了调整。
- 网络服务器层的实时流量证书。
- 集群成员的其余部分处理批处理作业并直接从负载均衡器获取流量(中间没有网络服务器并使用不安全的 URL)。
现在,这个批处理服务器需要处理一些需要安全 url 的新负载。 如何将内部签名的个人证书仅添加到批处理节点并确保当前的活动服务器不会受到干扰?
解决方法
在开始生产之前,显然要在某处进行测试。
根据您的描述,我假设您拥有 WebSphere Application Server Network Deployment 版本 8.5.5.x
从 WebSphere Application Server 管理控制台, 在安全、SSL 证书和密钥管理、密钥存储和证书...
使用您要使用的证书创建一个新的 SSL 密钥库 从 CellDefaultKeyStore 复制 Path 信息,对于我的系统,它是: ${CONFIG_ROOT}/cells/wrhrhelCell01/ 你的手机名称会有所不同。 按下 New... 按钮,填写您可以关联的新密钥库的名称,例如 BatchJobKeyStore 并将路径信息放入路径编辑框中,并附加 batchkey.p12,例如:${CONFIG_ROOT}/cells/ wrhrhelCell01/batchkey.p12 输入你要使用的密码,我就用和默认的“WebAS”一样的,其余保持默认,按OK,然后保存到主配置。 选择 BatchJobKeyStore,然后选择个人证书,在创建按钮上选择链式证书...为别名输入默认值,然后保持选中单元格的根和密钥大小为 2048。在通用名称中输入主机名并设置有效期到 3650 天(10 年或您需要的任何时间)在组织中输入您的单元名称,然后输入 BatchJobs 并输入您所在的州(如北卡罗来纳州)和邮政编码,然后选择国家或地区(如美国)...最后按 OK 和保存它。
现在创建一个新的 SSL 配置...
从 WebSphere Application Server 管理控制台, 在安全、SSL 证书和密钥管理、密钥存储和证书...
选择 SSL 配置,然后按 New... 按钮 键入 BatchJobsSettings 确保信任存储名称是 CellDefaultTrustStore(您通常必须更改它)将 Keystore 名称设置为 BatchJobKeyStore(您创建的新的)并保留其余的默认值,然后按 OK 并保存。
现在将新配置映射到运行批处理作业的节点。
从 WebSphere Application Server 管理控制台, 在安全、SSL 证书和密钥管理、密钥存储和证书...
选择管理端点安全配置,从入站树下开始,选择正在运行批处理作业的节点,或者如果您必须向下选择服务器并选中覆盖继承值框并选择您创建的新值BatchJobSettings 并在 Outbound 树下执行相同操作。保存并同步它并重新启动所有内容。
你现在需要调用受保护的端口,所以如果他们使用默认的 9080 那么他们需要使用类似 9443 的东西