Configurazione dei nodi HTTPInput e HTTPReply per l'uso di SSL (HTTPS)

Questo argomento di attività spiega come configurare i nodi HTTPInput e HTTPReply per comunicare con altre applicazioni utilizzando HTTP su SSL. L'attività descrive i passi richiesti per il sistema Windows, ma pressoché identiche sono le attività richieste per qualsiasi altra piattaforma.

Creazione di un file di archivio di chiavi per la memorizzazione dei certificati del broker

WebSphere Message Broker include JRE (Java Runtime Environment) che fornisce un programma di gestione dell'archivio di chiavi, chiamato keytool. Per richiamare questo comando completare i seguenti passi:

  1. Selezionare Start > IBM WebSphere Message Brokers 6.0 > Console di comandi per aprire la console di comandi del broker.
  2. Nella console di comandi, digitare il seguente comando:
    "%MQSI_FILEPATH%\jre\bin\keytool"
    Vengono visualizzate le opzioni guida e perciò viene convalidato che il comando è in funzione.
  3. Utilizzare il comando keytool per creare l'archivio di chiavi: Nella console di comandi, digitare il seguente comando:
    "%MQSI_FILEPATH%\jre\bin\keytool" -genkey -keypass password -keystore file archivio chiavi -alias tomcat
    password
    la password utilizzata per l'archivio di chiavi
    file archivio chiavi
    il nome completo del file dell'archivio di chiavi. Questo file normalmente è chiamato .keystore ed è ubicato di solito nella directory home degli utenti del broker di messaggi.
    Il comando richiede quindi alcuni dettagli personali che vengono utilizzati per generare i certificati. Una volta immessi tutti i valori, deve essere generato anche un archivio di chiavi o aggiunto se ne esiste già uno.

    Questi valori possono essere impostati su qualsiasi valore richiesto, ma le proprietà sul broker devono essere modificate in modo da riflettere tali valori. -genkey genera tutti i file di certificati richiesti per il funzionamento di HTTPS, ma questi non sono certificati ufficiali e non ne è consigliabile l'uso in un sistema di produzione. E' necessario acquistare un vero certificato da un'organizzazione di certificazione. Consultare l'amministratore di sistema per informazioni di politica aziendale in merito alla creazione di certificati. Per importare un certificato generato da un'organizzazione di certificazione utilizzare l'opzione -import anziché l'opzione -genkey.

Una volta creato l'archivio di chiavi, questo può essere utilizzato dal broker.

Configurazione del broker all'utilizzo di SSL su una determinata porta

Per l'utilizzo di HTTP su SSL, il broker richiede l'impostazione di diverse proprietà. Queste possono essere modificate utilizzando il comando mqsichangeproperties. Modificare le proprietà nel modo riportato di seguito:

Assicurarsi che tutte queste proprietà siano impostate con i valori corretti per il sistema in uso. Deve essere impostata solo la proprietà enableSSLConnector. Le altre tre proprietà hanno valori predefiniti. Tuttavia, è consigliabile modificare questi valori predefiniti. Il comando mqsichangeproperties crea un elenco dei valori predefiniti relativi a tutte le proprietà.

Creazione di un flusso di messaggi per l'elaborazione delle richieste HTTPS

Il flusso di messaggi più semplice che mostra la funzionalità HTTPS in funzione è quello che contiene un nodo HTTPInput collegato direttamente ad un nodo HTTPReply. Le due proprietà più importanti da impostare sul nodo HTTPInput sono:

  • Selettore URL. Ad esempio, /* o /testHTTPS
  • Utilizza HTTPS. Selezionare la casella se si desidera utilizzare HTTPS

/* indica che il nodo HTTPInput avrà corrispondenza con l'eventuale richiesta inviata al listener http su una determinata porta. Ciò risulta utile allo scopo di test, ma non è consigliato per la produzione.

E' possibile ora distribuire il flusso di messaggi al broker. Se sono stati eseguiti tutti i passi fino a questo punto, nella registrazione del sistema locale (ovvero la registrazione di eventi su Windows) viene visualizzato un messaggio BIP3132 che indica l'avvio del listener https.

E' possibile a questo punto eseguire il test del sistema.

Verifica dell'esempio

Il metodo più semplice per verificare se HTTPS è configurato correttamente consiste nell'utilizzo di un browser web al fine di effettuare una richiesta al broker su HTTPS.

Avviare un browser web e digitare la seguente URL:
 https://localhost:7083/testHTTPS
Modificare nella URL i valori che sono stati modificati nella configurazione del broker in uso. Quando viene visualizzata una finestra a comparsa in cui si richiede di accettare il certificato, selezionare la riposta affermativa. Il browser deve essere quindi aggiornato e visualizza la struttura di una pagina html vuota. Nei browser Mozilla risulterà come il seguente esempio:
<html>   
  <body/> 
</html>
e in Internet Explorer vengono visualizzate le seguenti informazioni:
XML document must have a top level element. Error processing resource 'https://localhost:7083/testHTTPS'

Queste risposte indicano che è stata restituita una pagina vuota, il che dimostra che la configurazione ha funzionato correttamente. Per aggiungere il contenuto alla pagina restituita, è possibile aggiungere un nodo compute al flusso.

E' possibile utilizzare un altro client HTTPS per elaborare le richieste HTTPS. Consultare la documentazione del client per informazioni su come deve essere configurato per effettuare le connessioni al client su SSL.

Anziché utilizzare il browser web è possibile utilizzare un altro client HTTPS, come ad esempio Java o client .net. A seconda del tipo di client, il certificato che è stato creato con keytool potrebbe essere esportato dal file dell'archivio di chiavi del listener http e quindi importato nell'archivio di chiavi proprio di tale client. Consultare la documentazione del client per informazioni su come deve essere configurato per effettuare le connessioni al client su SSL.

Informazioni particolari | Marchi | Download | Libreria | Supporto | Commenti
Copyright IBM Corporation 1999, 2006 Ultimo aggiornamento: ago 17, 2006
ap12234_