Для применения SSL необходимо связать сертификат с
каждым внешним интерфейсом (IP-адресом) веб-сервера, через который принимаются запросы на
установление защищенного соединения.
Важное замечание: Данный документ не включает в себя исчерпывающую информацию по
такому сложному вопросу, как настройка идентификации и SSL в
WebSphere. Подробные сведения о различных вариантах идентификации и
шифрования приведены в документации по WebSphere Application
Server.
Для получения дополнительной информации откройте
веб-страницу
документации
по WebSphere и
выполните поиск по следующим ключевым словам:
Защита приложений и их среды.
После развертывания приложений, использующих
Jazz Team Server, на сервере приложений можно выбрать один из следующих вариантов:
- Приобрести сертификат хорошо известной, надежной сертификатной компании и установить его.
- Создать и установить собственный сертификат.
- Если шифрование не требуется, можно настроить доступ к серверу по HTTP, а не по HTTPS
(это не рекомендуется делать в рабочей среде).
В Jazz Team Server предусмотрен собственный сертификат для подключения к серверу Apache Tomcat по SSL.
Важное замечание: В файлах хранилища ключей продуктов
Rational Engineering Lifecycle
Manager и DOORS Web Access должно быть задано одинаковое имя хоста, в противном случае эти продукты не смогут взаимодействовать друг с другом.
Для сервера
Rational Engineering Lifecycle
Manager Tomcat и сервера DOORS Web Access Tomcat предусмотрены сертификаты SSL. Сертификаты хранятся в каталоге, указанном в
файле
server.xml соответствующего сервера:
- Rational Engineering Lifecycle
Manager: <каталог-установки-RELM>/server/tomcat/conf/server.xml
- DOORS Web Access: <каталог-установки-DWA>/server/conf/server.xml
Каждый из этих файлов содержит параметр "keystoreFile", содержащий расположение файла хранилища ключей.
По умолчанию в
Rational Engineering Lifecycle
Manager используется имя хоста "localhost", а в DOORS Web Access используется фактическое имя хоста. Это несоответствие можно устранить несколькими способами:
- Создайте новое хранилище ключей, содержащее фактическое имя хоста, для Rational Engineering Lifecycle
Manager и замените им хранилище ключей Rational Engineering Lifecycle
Manager, применяемое по умолчанию.
- Если продукт DOORS Web Access был установлен раньше продукта Rational Engineering Lifecycle
Manager, настройте Rational Engineering Lifecycle
Manager для использования хранилища ключей DOORS Web Access, изменив путь к хранилищу ключей в файле server.xml.
В
дополнение к этому необходимо изменить пароль (параметр keystorePass) на
пароль к хранилищу ключей DOORS Web Access.
- Если продукт Rational Engineering Lifecycle
Manager был установлен раньше DOORS Web Access, настройте DOORS Web Access на использование хранилища ключей продукта Rational Engineering Lifecycle
Manager. Не забудьте изменить пароль (параметр keystorePass) на пароль к хранилищу ключей Rational Engineering Lifecycle
Manager.
Создание собственного сертификата
Компонент
IBM® JRE, поставляемый в составе
Jazz Team Server, содержат разработанный компанией
IBM инструмент для управления ключами на сервере. Это программа keytool, которая расположена в каталоге каталог-установки-Jazz/server/jre/bin/.
С помощью программы keytool можно создать собственный сертификат, идентифицирующий хост
по его сетевому имени. Вместо этого можно запросить сертификат, подписанный надежной
сертификатной компанией (CA). Собственный сертификат должен приниматься веб-браузером.
Для получения дополнительной информации о программе keytool обратитесь к следующему
документу:
http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.
Установка сертификата защиты
Собственный сертификат можно
заменить на сертификат, принадлежащий вашей компании.
Apache Tomcat настроен для
чтения сертификата сервера из файла
каталог-установки-Jazz/server/tomcat/ibm-team-ssl.keystore. Эта
настройка задана в файле
каталог-установки-Jazz/server/tomcat/conf/server.xml.
Применяемый по умолчанию пароль к хранилищу ключей равен ibm-team.
Это хранилище ключей содержит собственный сертификат, идентифицирующий сервер как
"localhost". Для более надежной защиты рекомендуется изменить пароль к хранилищу ключей,
применяемый по умолчанию.
Дополнительные сведения о сертификатах защиты для Apache
Tomcat приведены в следующем документе:
Конфигурация SSL в Tomcat
Дополнительные сведения о сертификатах защиты для
WebSphere Application Server приведены в следующих разделах: