Configurando os Nós HTTPInput e HTTPReply para Utilizar SSL (HTTPS)

Este tópico da tarefa explica como configurar os nós HTTPInput e HTTPReply para comunicar-se com outros aplicativos utilizando HTTP sobre SSL. A tarefa cobre as etapas requeridas para o sistema Windows, mas tarefas quase idênticas são requeridas para qualquer outra plataforma.

Criar um Arquivo de Armazenamento de Chaves para Armazenar Certificados do Intermediário

O WebSphere Message Broker inclui um JRE (Java Runtime Environment) que fornece um programa de manipulação de armazenamento de chaves que é chamado de keytool. Para chamar este comando, conclua as seguintes etapas:

  1. Selecione Iniciar > IBM WebSphere Message Brokers 6.0 > Console de Comandos para abrir o console de comandos do intermediário.
  2. No console de comandos, digite o seguinte comando:
    "%MQSI_FILEPATH%\jre\bin\keytool"
    Isto exibe as opções de ajuda e, portanto, valida se o comando está funcionando.
  3. Utilize o comando keytool para criar o armazenamento de chaves: No console de comandos, digite o seguinte comando:
    "%MQSI_FILEPATH%\jre\bin\keytool" -genkey -keypass password
    -keystore keystore file -alias tomcat
    senha
    a senha utilizada para o armazenamento de chaves
    arquivo de armazenamento de chaves
    o nome completo do arquivo de armazenamento de chaves. Este arquivo normalmente é chamado de .keystore e, geralmente, está localizado no diretório home dos usuários do intermediário de mensagem.
    O comando então solicita alguns detalhes pessoais que são utilizados para gerar os certificados. Quando todos os valores tiverem sido digitados, um armazenamento de chaves deverá ser gerado ou incluído (se já existir um).

    Estes valores podem ser configurados como quaisquer valores requeridos, mas as propriedades no intermediário devem ser alteradas para refletir estes valores. O -genkey gera todos os arquivos de certificado requeridos para que o HTTPS funcione, mas eles não são certificados oficiais e não seria recomendável utilizá-los em um sistema de produção. É necessário comprar um certificado real de uma organização de certificação. Consulte o administrador do sistema para saber a política da empresa para a criação de certificados. Para importar um certificado gerado por uma autoridade de certificação, utilize a opção -import em vez da opção -genkey.

O armazenamento de chaves já está criado e pronto para utilização pelo intermediário.

Configurando o Intermediário para Utilizar SSL em uma Porta Específica

O intermediário requer a configuração de várias propriedades para utilizar o HTTP sobre SSL. Todas estas propriedades podem ser alteradas utilizando o comando mqsichangeproperties. Altere as propriedades da seguinte forma:

Certifique-se de que todas estas propriedades estejam configuradas com os valores corretos para seu sistema. Apenas a propriedade enableSSLConnector precisa ser configurada. As outras três propriedades possuem valores padrão. No entanto, é recomendável alterar estes valores padrão. O comando mqsichangeproperties lista os valores padrão para todas as propriedades.

Criando um Fluxo de Mensagens para Processar os Pedidos HTTPS

O fluxo de mensagens mais simples que mostra a funcionalidade HTTPS funcionando é um que contém um nó HTTPInput conectado diretamente a um nó HTTPReply: As duas propriedades importantes a serem configuradas no nó HTTPInput são:

  • Seletor de URL. Por exemplo, /* ou /testHTTPS
  • Utilizar HTTPS. Marque a caixa se desejar utilizar HTTPS

/* significa que o nó HTTPInput corresponderá em qualquer pedido que seja enviado para o listener http em uma porta designada. Isto é útil para fins de teste, mas não é recomendado para produção.

Agora você pode implementar o fluxo de mensagens para o intermediário. Se todas as demais etapas tiverem sido seguidas até esse ponto, uma mensagem BIP3132 deverá aparecer no registro do sistema local (este é o registro de eventos no Windows) indicando que o listener https foi iniciado.

Agora você pode testar o sistema.

Testando seu Exemplo

O método mais simples de testar se o HTTPS está configurado corretamente é utilizar um navegador da Web para fazer um pedido para o intermediário sobre HTTPS.

Inicie um navegador da Web e digite a seguinte URL:
 https://localhost:7083/testHTTPS
Altere os valores na URL para refletir as alterações feitas na configuração do intermediário. Quando uma janela pop-up aparecer perguntando se você aceita o certificado, selecione yes para qualquer uma das perguntas. O navegador deve então atualizar e exibir a estrutura de uma página html vazia. Nos navegadores Mozilla, isto será semelhante ao seguinte exemplo:
<html>  
  <body/>
</html>
e no Internet Explorer as seguintes informações devem ser exibidas:
O documento XML deve ter um elemento de nível superior. Erro
ao processar o recurso 'https://localhost:7083/testHTTPS'

Estas respostas significam que uma página em branco foi retornada, mostrando que configuração funcionou corretamente. Para incluir conteúdo na página retornada, é possível incluir um nó compute no fluxo.

É possível utilizar outro cliente HTTPS para processar pedidos HTTPS. Leia a documentação para o cliente para saber como ele deve ser configurado para fazer conexões do cliente sobre SSL.

Outro cliente HTTPS, como um cliente Java ou .net, pode ser utilizado em vez do navegador da Web. Dependendo do tipo de cliente, o certificado que foi criado com keytool poderá ser exportado do arquivo de armazenamento de chaves do listener http e, em seguida, importado para o armazenamento de chaves pertencente ao cliente. Consulte a documentação do cliente para saber como você deve configurar o cliente para fazer conexões do cliente sobre SSL.

Avisos | Marcas Registradas | Downloads | Biblioteca | Suporte | Feedback
Direitos Autorais IBM Corporation 1999, 2006 Última Atualização: 1 Sep 2006
ap12234_