HTTPEmpfangs- und HTTPAntwortknoten für die Verwendung von SSL (HTTPS) konfigurieren

In diesem Abschnitt finden Sie Informationen zur Konfiguration der HTTPEmpfangs- und HTTPAntwortknoten, damit diese mit anderen Anwendungen unter Verwendung von HTTP über SSL kommunizieren können. In diesem Abschnitt wird die Vorgehensweise auf einem Windows-System erläutert. Die Schritte, die auf anderen Systemen ausgeführt werden müssen, sind nahezu identisch.

Erstellen Sie eine Schlüsselspeicherdatei zum Speichern der Broker-Zertifikate.

Zu WebSphere Message Broker gehört eine Java Runtime Environment (JRE), die ein Programm zur Bearbeitung des Schlüsselspeichers namens Keytool bereitstellt. Führen Sie folgende Schritte aus, um diesen Befehl aufzurufen:

  1. Wählen Sie nacheinander Start > IBM WebSphere Message Brokers 6.0 > Befehlskonsole aus, um die Befehlskonsole für den Broker zu öffnen.
  2. Geben Sie in der Befehlskonsole folgenden Befehl ein:
    "%MQSI_DATEIPFAD%\jre\bin\keytool"
    Daraufhin werden die Hilfsoptionen angezeigt und daher geprüft, ob der Befehl funktioniert.
  3. Verwenden Sie den Keytool-Befehl zum Erstellen des Schlüsselspeichers: Geben Sie in der Befehlskonsole folgenden Befehl ein:
    "%MQSI_DATEIPFAD%\jre\bin\keytool" -genkey -keypass Kennwort -keystore Schlüsselspeicherdatei -alias tomcat
    Kennwort
    Das Kennwort für den Schlüsselspeicher
    Schlüsselspeicherdatei
    Der vollständig qualifizierte Name der Schlüsselspeicherdatei. Normalerweise lautet der Name dieser Datei .keystore. Sie befindet sich im Ausgangsverzeichnis der Nachrichtenbrokerbenutzer.
    Der Befehl fordert den Benutzer zur Eingabe persönlicher Zusatzinformationen auf, die für die Generierung der Zertifikate erforderlich sind. Wenn alle Werte eingegeben wurden, wird ein Schlüsselspeicher generiert oder hinzugefügt (falls es diesen Schlüsselspeicher schon gibt).

    Es können beliebige Werte verwendet werden, jedoch müssen die Brokereigenschaften so geändert werden, dass sie mit diesen Werten übereinstimmen. Der -genkey generiert alle Zertifikatsdateien, die für die Ausführung von HTTPS benötigt werden. Bei diesen Dateien handelt es sich jedoch nicht um offizielle Zertifikate. Die Verwendung dieser Dateien in einem Produktionssystem wird nicht empfohlen. Sie müssen ein offizielles Zertifikat von einer Organisation, die Zertifikate ausstellt, käuflich erwerben. Informationen zu den Richtlinien in Ihrer Firma hinsichtlich der Erstellung von Zertifikaten erhalten Sie von Ihrem Systemadministrator. Verwenden Sie zum Importieren eines von einer Zertifizierungsstelle generierten Zertifikats die Option -import und nicht die Option-genkey.

Der Schlüsselspeicher wird erstellt und kann vom Broker verwendet werden.

Den Broker für die Verwendung von SSL auf einem bestimmten Port konfigurieren

Damit der Broker HTTP über SSL verwendet, müssen mehrere Brokereigenschaften definiert werden. All diese Eigenschaften können unter Verwendung des Befehls mqsichangeproperties geändert werden. Ändern Sie die Eigenschaften wie folgt:

Stellen Sie sicher, dass auf Ihrem System die korrekten Werte für diese Eigenschaften angegeben sind. Nur die Eigenschaft enableSSLConnector muss definiert werden. Für die drei anderen Eigenschaften sind Standardwerte eingerichtet.Es empfiehlt sich jedoch, diese Standardwerte zu ändern. Mit dem Befehl mqsichangeproperties werden die Standardwerte für diese Eigenschaften aufgelistet.

Nachrichtenfluss für die Verarbeitung von HTTPS-Anforderungen erstellen

Der am wenigsten komplexe Nachrichtenfluss, der HTTPS-Funktionen aufweist, ist ein Nachrichtenfluss mit einem HTTPEmpfangsknoten, der direkt mit einem HTTPAntwortknoten verbunden ist. Folgende Eigenschaften müssen für den HTTPEmpfangsknoten gesetzt werden:

  • URL-Selektor. Beispiel: /* oder /testHTTPS
  • HTTPS verwenden. Aktivieren Sie dieses Kästchen, wenn Sie HTTPS verwenden möchten

/* bedeutet, dass es im HTTPEmpfangsknoten Übereinstimmungen mit allen Anforderungen gibt, die an das HTTP-Empfangsprogramm auf einem bestimmten Port gesendet werden. Diese Einstellung ist zu Testzwecken geeignet, wird jedoch nicht für den Einsatz in einer Produktionsumgebung empfohlen.

Sie können nun den Nachrichtenfluss für den Broker implementieren. Wenn Sie alle bisherigen Schritte ausgeführt haben, sollte die Nachricht BIP3132 im Protokoll des lokalen Systems (unter Windows im Ereignisprotokoll) enthalten sein, die angibt, dass das HTTPS-Empfangsprogramm gestartet wurde.

Sie können nun das System testen.

Ihr Beispiel testen

Die einfachste Methode, um die korrekte Konfiguration von HTTPS zu prüfen, ist die Verwendung eines Web-Browsers zum Senden einer Anforderung an den Broker über HTTPS.

Starten Sie einen Web-Browser, und geben Sie folgende URL ein:
 https://localhost:7083/testHTTPS
Wenn Sie Änderungen an Ihrer Brokerkonfiguration vorgenommen haben, ändern Sie die entsprechenden Werte in der URL. Wenn ein Fenster angezeigt wird, in dem Sie dazu aufgefordert werden, das Zertifikat zu akzeptieren, beantworten Sie alle Fragen mit 'Ja'. Daraufhin wird der Browser aktualisiert angezeigt. Es erscheint eine leere HTML-Seite. In Mozilla-Browsern sieht dies ungefähr so aus:
<html>   
  <body/> 
</html>
Im Internet Explorer werden folgende Informationen angezeigt:
XML-Dokument muss über ein Element der höchsten Ebene verfügen.Fehler bei der Verarbeitung der Ressource 'https://localhost:7083/testHTTPS'

Diese Antworten bedeuten, dass eine leere Seite zurückgegeben wurde. Die Konfiguration wurde also korrekt ausgeführt. Um Inhalt zur zurückgegebenen Seite hinzuzufügen, können Sie einen Rechenknoten zum Fluss hinzufügen.

Sie können einen anderen HTTPS-Client für die Verarbeitung von HTTPS-Anforderungen verwenden. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen über SSL herzustellen.

Anstelle des Web-Browsers kann ein anderer HTTPS-Client wie beispielsweise der Java- oder .net-Client verwendet werden. Abhängig vom verwendeten Clienttyp müssen Sie möglicherweise das Zertifikat, das mit Keytool erstellt wurde, aus der Schlüsselspeicherdatei des HTTP-Empfangsprogramms exportieren und anschließend in den Schlüsselspeicher des Clients importieren. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen herzustellen.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Rückmeldung
Copyright IBM Corporation 1999, 2006 Letzte Aktualisierung: 23. Aug. 2006
ap12234_