Создание и установка сертификатов защиты для применения SSL

Для применения SSL необходимо связать сертификат с каждым внешним интерфейсом (IP-адресом) веб-сервера, через который принимаются запросы на установление защищенного соединения.
Важное замечание: Данный документ не включает в себя исчерпывающую информацию по такому сложному вопросу, как настройка идентификации и SSL в WebSphere. Подробные сведения о различных вариантах идентификации и шифрования приведены в документации по WebSphere Application Server. Для получения дополнительной информации откройте веб-страницу документации по WebSphere и выполните поиск по следующим ключевым словам: Защита приложений и их среды.
После развертывания приложений, использующих Jazz Team Server, на сервере приложений можно выбрать один из следующих вариантов:

В Jazz Team Server предусмотрен собственный сертификат для подключения к серверу Apache Tomcat по SSL.

Важное замечание: В файлах хранилища ключей продуктов Rational Engineering Lifecycle Manager и DOORS Web Access должно быть задано одинаковое имя хоста, в противном случае эти продукты не смогут взаимодействовать друг с другом.
Для сервера Rational Engineering Lifecycle Manager Tomcat и сервера DOORS Web Access Tomcat предусмотрены сертификаты SSL. Сертификаты хранятся в каталоге, указанном в файле server.xml соответствующего сервера:
  • Rational Engineering Lifecycle Manager: <каталог-установки-RELM>/server/tomcat/conf/server.xml
  • DOORS Web Access: <каталог-установки-DWA>/server/conf/server.xml
Каждый из этих файлов содержит параметр "keystoreFile", содержащий расположение файла хранилища ключей.
По умолчанию в Rational Engineering Lifecycle Manager используется имя хоста "localhost", а в DOORS Web Access используется фактическое имя хоста. Это несоответствие можно устранить несколькими способами:
  • Создайте новое хранилище ключей, содержащее фактическое имя хоста, для Rational Engineering Lifecycle Manager и замените им хранилище ключей Rational Engineering Lifecycle Manager, применяемое по умолчанию.
  • Если продукт DOORS Web Access был установлен раньше продукта Rational Engineering Lifecycle Manager, настройте Rational Engineering Lifecycle Manager для использования хранилища ключей DOORS Web Access, изменив путь к хранилищу ключей в файле server.xml. В дополнение к этому необходимо изменить пароль (параметр keystorePass) на пароль к хранилищу ключей DOORS Web Access.
  • Если продукт Rational Engineering Lifecycle Manager был установлен раньше DOORS Web Access, настройте DOORS Web Access на использование хранилища ключей продукта Rational Engineering Lifecycle Manager. Не забудьте изменить пароль (параметр keystorePass) на пароль к хранилищу ключей Rational Engineering Lifecycle Manager.

Создание собственного сертификата

Компонент IBM® JRE, поставляемый в составе Jazz Team Server, содержат разработанный компанией IBM инструмент для управления ключами на сервере. Это программа keytool, которая расположена в каталоге каталог-установки-Jazz/server/jre/bin/.

С помощью программы keytool можно создать собственный сертификат, идентифицирующий хост по его сетевому имени. Вместо этого можно запросить сертификат, подписанный надежной сертификатной компанией (CA). Собственный сертификат должен приниматься веб-браузером.

Для получения дополнительной информации о программе keytool обратитесь к следующему документу: http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.

Установка сертификата защиты

Собственный сертификат можно заменить на сертификат, принадлежащий вашей компании.

Apache Tomcat настроен для чтения сертификата сервера из файла каталог-установки-Jazz/server/tomcat/ibm-team-ssl.keystore. Эта настройка задана в файле каталог-установки-Jazz/server/tomcat/conf/server.xml. Применяемый по умолчанию пароль к хранилищу ключей равен ibm-team. Это хранилище ключей содержит собственный сертификат, идентифицирующий сервер как "localhost". Для более надежной защиты рекомендуется изменить пароль к хранилищу ключей, применяемый по умолчанию.

Дополнительные сведения о сертификатах защиты для Apache Tomcat приведены в следующем документе: Конфигурация SSL в Tomcat

Дополнительные сведения о сертификатах защиты для WebSphere Application Server приведены в следующих разделах:

Комментарии