SSL auf Apache Tomcat- und LDAP-Servern konfigurieren

Die Schritte zum Konfigurieren sicherer HTTP-Verbindungen mit dem IBM® UrbanCode Deploy-Server sind mit den Schritten für jede Java™ Platform Enterprise Edition-Server vergleichbar.

Vorbereitende Schritte

Sie benötigen ein Zertifikat für den Server, um SSL-Sicherheit einzurichten. Wenn Sie selbst signierte Zertifikate oder Zertifikate verwenden, die durch eine nicht vertrauenswürdige Zertifizierungsstelle ausgegeben werden, dann müssen Sie diese Zertifikate in den Truststore importieren. Ein Truststore enthält vertrauenswürdige Zertifikate aus Servern und Zertifizierungsstellen. Importieren Sie die selbst signierten Zertifikate, die CA-Zertifikate und Zwischenzertifikate in die Datei JRE_install/jre/lib/security/cacerts. Ein Beispiel für den Import eines Zertifikats in einen Truststore finden Sie im Abschnitt Importieren der Zertifikatantwort von der Zertifizierungsstelle der IBM SDK, Java Technology Edition-Hilfe.

Im Falle von LDAP-Servern benötigen SSL-Zertifikate gültige Genehmigungsketten. Wenn Sie Ihre eigene Zertifizierungsstelle verwenden, fügen Sie diese Zertifizierungsstelle dem Truststore hinzu.

Informationen zu diesem Vorgang

Da der IBM UrbanCode Deploy-Server auf Apache Tomcat ausgeführt wird, können Sie auf die Anweisungen zum Konfigurieren von Sicherheitseinstellungen unter Tomcat auf der Apache Tomcat-Website verweisen. Sie können SSL-Sicherheit für Apache Tomcat aktivieren, wenn Sie IBM UrbanCode Deploy installieren. Wenn Sie SSL-Sicherheit während der Installation aktivieren, wird ein selbst signiertes Zertifikat generiert und der Datei tomcat.keystore hinzugefügt. Der allgemeine Name (common name, CN) im selbst signierten Zertifikat ist auf 0.0.0.0 festgelegt.
Anmerkung: Die Gegenwart eines selbst signierten Zertifikats wird von vielen Webbrowsern mit einer Warnung markiert, wenn Sie eine Verbindung zum IBM UrbanCode Deploy-Server herstellen, der in der Datei tomcat.keystore ein selbst signiertes Zertifikat verwendet.

Vorgehensweise

  • Das Einstellen der SSL-Sicherheit für den Server umfasst diese allgemeinen Schritte:
    1. Übertragen Sie die Dateien für das Zertifikat auf den Computer, der den IBM UrbanCode Deploy-Server hostet.
    2. Fügen Sie das Zertifikat dem Server-Keystore hinzu. Der Server hat einen Standardschlüssel in der Datei server_install/opt/tomcat/conf/tomcat.keystore. Das Standardkennwort für diesen Keystore ist changeit.
    3. Öffnen Sie die Datei \opt\tomcat\conf\server.xml, die sich auf dem IBM UrbanCode Deploy-Server befindet.
    4. Fügen Sie nach keystoreFile="conf/tomcat.keystore" die folgende Zeile hinzu: 
      keyAlias="Alias_Ihres_Zertifikats_im_Tomcat-Keystore"
      Der folgende Code bietet ein Beispiel für eine hinzugefügte Alias-Zeile. Im Beispiel lautet das Zertifikatalias ucdserver.example.com. 
      <Server port="0" shutdown="SHUTDOWN" debug="0">
  <Service name="Catalina">
    <Connector port="${install.server.web.https.port}"
               address="${install.server.web.ip}"
               server="SERVER"
               maxThreads="150"
               minSpareThreads="25"
               maxSpareThreads="75"
               enableLookups="false"
               acceptCount="100"
               debug="0"
               connectionTimeout="20000"
               disableUploadTimeout="true"
               compression="1024"
               noCompressionUserAgents="gozilla, traviata"
               compressableMimeType="text/html,text/xml,text/javascript,text/css,text/plain,application/json"
               algorithm="${install.server.ssl.algorithm}"
               SSLEnabled="true"
               scheme="https"
               secure="true"
               clientAuth="false"
               URIEncoding="UTF-8"
               ciphers="${install.server.ssl.enabledCiphers}"
               sslEnabledProtocols="${install.server.ssl.enabledProtocols}"
               keystoreFile="conf/tomcat.keystore"
                keyAlias="ucdserver.example.com"
               keystorePass="changeit" />
    5. Starten Sie den Server neu.
    6. Fügen Sie außerdem dasselbe Zertifikat zu dem Keystore jedes Agenten und jedes Agentenrelay hinzu. Die Standardposition eines Agenten-Keystore ist beispielsweise agent_install/conf/agent.keystore.
    7. Optional: Um sichere Kommunikation zwischen dem IBM UrbanCode Deploy-Server und einem LDAP-Server zu konfigurieren, fügen Sie das LDAP-Serverzertifikat der Datei JRE_install/jre/lib/security/cacerts hinzu. Diese Datei befindet sich auf dem IBM UrbanCode Deploy-Server. Verwenden Sie den Installationsordner des JRE für JRE_install.
    Zugehörige Konzepte:
    SSL-Konfiguration
    Zugehörige Tasks:
    Ändern von Kennwörtern für den KeyStore des Servers
    Kennwörter für die Agentenrelay-Keystores ändern
    Configuring mutual authentication
    Enabling server identity verification
    Ensuring end-to-end JMS encryption
    Upgrading encryption key strength
    Sharing secured properties among servers
    Feedback