Sicherheitszertifikate zum Implementieren von SSL erstellen und installieren

Zum Implementieren von SSL muss einem Web-Server ein Zertifikat für jede externe Schnittstelle (IP-Adresse) zugeordnet sein, die sichere Verbindungen akzeptiert.
Wichtig: Dieses Dokument enthält keine umfassenden Details zum Konfigurieren von WebSphere-Authentifizierung oder SSL, da es sich um ein komplexes Thema handelt. Ausführliche Informationen zu den verschiedenen Authentifizierungs- und Verschlüsselungsoptionen finden Sie in der Produktdokumentation von WebSphere Application Server. Weitere Informationen finden Sie in der WebSphere-Produktdokumentation. Suchen Sie dort nach Anwendungen und die zugehörige Umgebung sichern.
Nach dem Implementieren Jazz Team Server-basierter Anwendungen auf einem Anwendungsserver haben Sie mehrere Möglichkeiten:

Im Lieferumfang von Jazz Team Server ist ein selbst signiertes Zertifikat für SSL und für den Apache Tomcat-Server enthalten.

Wichtig: Die Keystore-Dateien von Rational Engineering Lifecycle Manager und DOORS Web Access müssen denselben Hostnamenwert gemeinsam nutzen. Andernfalls ist keine Kommunikation zwischen den beiden Produkten möglich.
Die Tomat-Server von Rational Engineering Lifecycle Manager und DOORS Web Access weisen jeweils ein SSL-Zertifikat auf. Die Zertifikate befinden sich in Verzeichnissen, die über die Datei server.xml der Server angegeben sind:
  • Rational Engineering Lifecycle Manager: <Installationspfad für RELM>/server/tomcat/conf/server.xml
  • DOORS Web Access: <Installationspfad für DWA>/server/conf/server.xml
In diesen Dateien ist der Parameter "keystoreFile" aufgeführt, der auf die Keystore-Datei verweist.
Standardmäßig wird von Rational Engineering Lifecycle Manager der Host als "localhost" angegeben. Von DOORS Web Access hingegen wird ein konkreter Hostname angegeben. Es gibt verschiedene Optionen zur Behebung dieser Abweichung:
  • Erstellen Sie einen neuen Keystore für Rational Engineering Lifecycle Manager, von dem der tatsächliche Hostname als Host angegeben wird. Ersetzen Sie den Rational Engineering Lifecycle Manager-Standardkeystore durch diesen neuen Keystore.
  • Wird DOORS Web Access vor Rational Engineering Lifecycle Manager installiert, ändern Sie Rational Engineering Lifecycle Manager so, dass der Keystore von DOORS Web Access verwendet wird. Passen Sie dazu den entsprechenden Pfad in der Datei server.xml an. Stellen Sie sicher, dass Sie ebenfalls die Kennworteinstellung (keystorePass) ändern, sodass sie mit dem Keystore von DOORS Web Access übereinstimmt.
  • Wird Rational Engineering Lifecycle Manager vor DOORS Web Access installiert, ändern Sie DOORS Web Access so, dass der Keystore von Rational Engineering Lifecycle Manager verwendet wird. Stellen Sie sicher, dass Sie ebenfalls die Kennworteinstellung (keystorePass) ändern, sodass sie mit dem Keystore von Rational Engineering Lifecycle Manager übereinstimmt.

Selbst signiertes Zertifikat erstellen

Die IBM® JRE, die im Lieferumfang von Jazz Team Server enthalten ist, umfasst ein IBM Tool, das für die Verwaltung von Schlüsseln auf Servern hilfreich ist. Das Programm keytool befindet sich im Verzeichnis Jazz_Installationsverzeichnis/server/jre/bin/.

Das Programm keytool unterstützt Sie beim Erstellen Ihres selbst signierten Zertifikats, das den Host mit seinem Netznamen bezeichnet. Sie können aber auch ein von einer anerkannten Zertifizierungsstelle signiertes Zertifikat anfordern. Ein selbst signiertes Zertifikat muss vom Web-Browser akzeptiert werden.

Weitere Informationen zum Programm keytool finden Sie unter: http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.

Installation, Sicherheitszertifikat

Sie können das selbst signierte Zertifikat durch ein Zertifikat ersetzen, das zum Unternehmen gehört.

Apache Tomcat ist in der Datei Jazz_Installationsverzeichnis/server/tomcat/conf/server.xml so konfiguriert, dass das Serverzertifikat aus der Datei Jazz_Installationsverzeichnis/server/tomcat/ibm-team-ssl.keystore gelesen wird. Das Standard-Keystore-Kennwort ist auf ibm-team gesetzt. Dieser Keystore umfasst ein selbst signiertes Zertifikat, in dem der Server als 'localhost' angegeben wird. Ändern Sie das Standardkennwort für den Keystore, um die Sicherheit zu erhöhen.

Weitere Informationen zu Sicherheitszertifikaten für Apache Tomcat finden Sie unter: Tomcat SSL-Konfiguration

Informationen zu Sicherheitszertifikaten für WebSphere Application Server finden Sie unter folgenden Themen:

Feedback