Для применения SSL необходимо связать сертификат с
каждым внешним интерфейсом (IP-адресом) веб-сервера, через который принимаются запросы на
установление защищенного соединения.
Важное замечание: Данный документ не включает в себя исчерпывающую информацию по
такому сложному вопросу, как настройка идентификации и SSL в
WebSphere. Подробные сведения о различных
вариантах идентификации и шифрования приведены в справочной системе
WebSphere Application Server Information
Center. Для получения дополнительной информации перейдите на веб-сайт
WebSphere
Information Center и выполните поиск по следующим ключевым словам:
Защита приложений и их среды.
После развертывания приложений, использующих Jazz Team
Server, на сервере приложений можно выбрать один из следующих вариантов:
- Приобрести сертификат хорошо известной, надежной сертификатной компании и установить его.
- Создать и установить собственный сертификат.
- Если шифрование не требуется, можно настроить доступ к серверу по HTTP, а не по HTTPS
(это не рекомендуется делать в рабочей среде).
В Jazz Team Server предусмотрен собственный
сертификат для подключения к серверу Apache Tomcat по SSL.
Важное замечание: В файлах хранилища ключей продуктов
Rational Engineering Lifecycle Manager и
DOORS Web Access должно быть задано одинаковое
имя хоста, в противном случае эти продукты не смогут взаимодействовать друг с другом.
Для сервера Rational Engineering
Lifecycle Manager Tomcat и сервера DOORS Web
Access Tomcat предусмотрены сертификаты SSL. Сертификаты хранятся в каталоге, указанном в
файле
server.xml соответствующего сервера:
- Rational Engineering
Lifecycle Manager: <каталог-установки-RELM>/server/tomcat/conf/server.xml
- DOORS Web Access: <каталог-установки-DWA>/server/conf/server.xml
Каждый из этих файлов содержит параметр "keystoreFile", содержащий расположение файла хранилища ключей.
По умолчанию в Rational Engineering
Lifecycle Manager используется имя хоста "localhost", а в
DOORS Web Access используется фактическое имя хоста. Это несоответствие можно устранить несколькими способами:
- Создайте новое хранилище ключей, содержащее фактическое имя хоста, для
Rational Engineering Lifecycle Manager и
замените им хранилище ключей Rational
Engineering Lifecycle Manager, применяемое по умолчанию.
- Если продукт DOORS Web
Access был установлен раньше продукта Rational Engineering
Lifecycle Manager, настройте Rational Engineering
Lifecycle Manager для использования хранилища ключей DOORS Web
Access, изменив путь к хранилищу ключей в файле server.xml.
В
дополнение к этому необходимо изменить пароль (параметр keystorePass) на
пароль к хранилищу ключей DOORS Web Access.
- Если продукт Rational Engineering
Lifecycle Manager был установлен раньше DOORS Web
Access, настройте DOORS Web Access на
использование хранилища ключей продукта
Rational Engineering Lifecycle Manager. Не
забудьте изменить пароль (параметр keystorePass) на пароль к хранилищу
ключей Rational Engineering Lifecycle
Manager.
Создание собственного сертификата
Компонент
IBM® JRE, поставляемый в составе
Jazz Team Server, содержат разработанный компанией
IBM инструмент для управления ключами на сервере. Это программа keytool, которая расположена в каталоге каталог-установки-Jazz/server/jre/bin/.
С помощью программы keytool можно создать собственный сертификат, идентифицирующий хост
по его сетевому имени. Вместо этого можно запросить сертификат, подписанный надежной
сертификатной компанией (CA). Собственный сертификат должен приниматься веб-браузером.
Для получения дополнительной информации о программе keytool обратитесь к следующему
документу:
http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.
Установка сертификата защиты
Собственный сертификат можно
заменить на сертификат, принадлежащий вашей компании.
Apache Tomcat настроен для
чтения сертификата сервера из файла
каталог-установки-Jazz/server/tomcat/ibm-team-ssl.keystore. Эта
настройка задана в файле
каталог-установки-Jazz/server/tomcat/conf/server.xml.
Применяемый по умолчанию пароль к хранилищу ключей равен ibm-team.
Это хранилище ключей содержит собственный сертификат, идентифицирующий сервер как
"localhost". Для более надежной защиты рекомендуется изменить пароль к хранилищу ключей,
применяемый по умолчанию.
Дополнительные сведения о сертификатах защиты для Apache
Tomcat приведены в следующем документе:
Конфигурация SSL в Tomcat
Дополнительные сведения о сертификатах защиты для
WebSphere Application Server приведены в следующих разделах: