HTTPEmpfangs- und HTTPAntwortknoten für die Verwendung von SSL (HTTPS) konfigurieren

Beginn der ÄnderungKonfigurieren Sie die HTTPInput- und HTTPReply-Knoten für die Kommunikation mit anderen Anwendungen, die HTTPS verwenden, indem Sie eine Schlüsselspeicherdatei erstellen, den Broker für die Verwendung von SSL konfigurieren und einen Nachrichtenfluss für die Verarbeitung von HTTPS-Anforderungen erstellen.Ende der Änderung

Führen Sie diese Schritte aus, um die HTTPInput- und HTTPReply-Knoten für die Kommunikation mit anderen Anwendungen unter Verwendung von HTTP über SSL zu konfigurieren:

Erstellen Sie eine Schlüsselspeicherdatei zum Speichern der Broker-Zertifikate.

Zu WebSphere Message Broker gehört eine Java Runtime Environment (JRE), die ein Programm zur Bearbeitung des Schlüsselspeichers namens Keytool bereitstellt. Führen Sie folgende Schritte aus, um diesen Befehl aufzurufen:

  1. Wählen Sie nacheinander Start > IBM WebSphere Message Brokers 6.0 > Befehlskonsole aus, um die Befehlskonsole für den Broker zu öffnen.
  2. Geben Sie in der Befehlskonsole folgenden Befehl ein:
    "%MQSI_FILEPATH%\jre\bin\keytool"
    Daraufhin werden die Hilfsoptionen angezeigt und daher geprüft, ob der Befehl funktioniert.
  3. Beginn der ÄnderungVerwenden Sie den Keytool-Befehl zum Erstellen des Schlüsselspeichers und zur Generierung eines neuen selbst signierten Zertifikats (oder Schlüsselpaars):
    1. Geben Sie in der Befehlskonsole folgenden Befehl ein:
      "%MQSI_FILEPATH%\jre\bin\keytool" -genkey -keystore Schlüsselspeicherdatei
       -storepass Kennwort -alias mykey
      Dabei steht Schlüsselspeicherdatei für den vollständig qualifizierten Namen der Schlüsselspeicherdatei, Kennwort ist das Kennwort, das für den Schlüsselspeicher verwendet wird, und mykey ist der Name (oder der Kennsatz), der dem neuen generierten Schlüsselpaar zugewiesen wird. Die Schlüsselspeicherdatei wird normalerweise als .keystore bezeichnet und befindet sich im Ausgangsverzeichnis von WebSphere Message Broker.
    2. Geben Sie persönliche Zusatzinformationen ein, die für die Generierung der Zertifikate erforderlich sind.
    3. Wenn Sie zur Eingabe eines Schlüsselkennworts für den Aliasnamen aufgefordert werden, drücken Sie die Eingabetaste, um dasselbe Kennwort wie der Schlüsselspeicher zu verwenden. Der Schlüsselspeicher wird entweder generiert oder aktualisiert (falls er bereits vorhanden ist).

    Dieser Befehl erstellt einen Schlüsselspeicher des Typs JKS, der als einziger Speichertyp vom Broker unterstützt wird.

    Sie können für diese Parameter beliebige Werte verwenden, jedoch müssen die Brokereigenschaften so geändert werden, dass sie mit diesen Werten übereinstimmen.

    Der Parameter -genkey generiert alle Zertifikatsdateien, die für die Ausführung von HTTPS zu Testzwecken benötigt werden. Die Verwendung dieser Dateien in einem Produktionssystem wird nicht empfohlen. Sie müssen ein offizielles Zertifikat von einer Zertifizierungsstelle erwerben. Informationen zu den Richtlinien in Ihrer Firma hinsichtlich der Erstellung von Zertifikaten erhalten Sie von Ihrem Systemadministrator.

    Verwenden Sie zum Importieren eines von einer Zertifizierungsstelle generierten Zertifikats den Parameter -import und nicht den Parameter -genkey.

    Beginn der ÄnderungSie müssen sicherstellen, dass der verwendete Schlüssel und die Verschlüsselung kompatibel sind. Wenn der Server beispielsweise einen DSA-Schlüssel verwendet und die vom Client verwendete Verschlüsselung SSL_DHE_RSA_WITH_AES_128_CBC_SHA ist, müssen Sie auf dem Server einen RSA-Schlüssel verwenden.Ende der Änderung

    Beginn der ÄnderungFügen Sie zum Ändern des Serverschlüssels in RSA vor dem Parameter -alias den folgenden Parameter in den Befehl 'keytool' ein:
       -keyalg RSA
    Ende der Änderung
    Ende der Änderung

Der Schlüsselspeicher wird erstellt und kann vom Broker verwendet werden.

Den Broker für die Verwendung von SSL auf einem bestimmten Port konfigurieren

Damit der Broker HTTP über SSL verwendet, müssen mehrere Brokereigenschaften definiert werden. All diese Eigenschaften können unter Verwendung des Befehls mqsichangeproperties geändert werden. Ändern Sie die Eigenschaften wie folgt:

Stellen Sie sicher, dass auf Ihrem System die korrekten Werte für alle diese Eigenschaften angegeben sind. Nur die Eigenschaft enableSSLConnector muss festgelegt werden; die übrigen drei Eigenschaften haben Standardwerte. Mit dem Befehl mqsichangeproperties werden die Standardwerte für alle Eigenschaften aufgeführt.

Beginn der ÄnderungAuf UNIX-Systemen können nur Prozesse, die unter einem privilegierten Benutzerkonto (in den meisten Fällen root) ausgeführt werden, eine Bindung zu niedrigeren Ports als 1024 herstellen. Damit der Broker an diesen Ports empfangsbereit sein kann, muss die Servicebenutzer-ID des Brokers 'root' sein. Ende der Änderung

Nachrichtenfluss für die Verarbeitung von HTTPS-Anforderungen erstellen

Beginn der ÄnderungSie können einen einfachen Nachrichtenfluss erstellen, der HTTPS verwenden soll. Hierbei müssen Sie einen HTTPInput-Knoten mit einem HTTPReply-Knoten verbinden. Die beiden wichtigsten Eigenschaften, die auf dem HTTPInput-Knoten festgelegt werden müssen, lauten wie folgt: Ende der Änderung

  • Pfadsuffix für URL. Beispiel: /* oder /testHTTPS
  • HTTPS verwenden.

/* bedeutet, dass es im HTTPInput-Knoten Übereinstimmungen mit allen Anforderungen gibt, die an das HTTP-Empfangsprogramm auf einem bestimmten Port gesendet werden. Diese Einstellung ist zu Testzwecken geeignet, wird jedoch nicht für den Einsatz in Produktionssystemen empfohlen.

Sie können nun den Nachrichtenfluss für den Broker implementieren. Wenn Sie alle bisherigen Schritte ausgeführt haben, sollte die Nachricht BIP3132 im Protokoll des lokalen Systems (unter Windows im Ereignisprotokoll) enthalten sein, die angibt, dass das HTTPS-Empfangsprogramm gestartet wurde.

Sie können nun das System testen.

Ihr Beispiel testen

Die einfachste Methode, um die korrekte Konfiguration von HTTPS zu prüfen, ist die Verwendung eines Web-Browsers zum Senden einer Anforderung an den Broker über HTTPS.

Starten Sie einen Web-Browser, und geben Sie folgende URL ein:
 https://localhost:7083/testHTTPS
Wenn Sie Änderungen an Ihrer Brokerkonfiguration vorgenommen haben, ändern Sie die entsprechenden Werte in der URL. Wenn ein Fenster angezeigt wird, in dem Sie dazu aufgefordert werden, das Zertifikat zu akzeptieren, wählen Sie Ja aus. Der Browser aktualisiert das Fenster und zeigt eine leere HTML-Seite an. In Mozilla-Browsern sieht die leere HTML-Seite in etwa folgendermaßen aus:
<html>   
  <body/> 
</html>
Im Internet Explorer werden folgende Informationen angezeigt:
XML-Dokument muss über ein Element der höchsten Ebene verfügen. Fehler bei der Verarbeitung der Ressource 'https://localhost:7083/testHTTPS'

Diese Antworten bedeuten, dass eine leere Seite zurückgegeben wurde. Die Konfiguration wurde also korrekt ausgeführt. Um Inhalt zu der leeren Seite hinzuzufügen, können Sie einen Rechenknoten zum Fluss hinzufügen.

Sie können einen anderen HTTPS-Client für die Verarbeitung von HTTPS-Anforderungen verwenden. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen über SSL herzustellen.

Anstelle des Web-Browsers kann ein anderer HTTPS-Client wie beispielsweise der Java- oder .net-Client verwendet werden. Abhängig vom verwendeten Clienttyp müssen Sie möglicherweise das Zertifikat, das mit Keytool erstellt wurde, aus der Schlüsselspeicherdatei des HTTP-Empfangsprogramms exportieren und anschließend in den Schlüsselspeicher des Clients importieren. Lesen Sie die Dokumentation für den Client. Hier finden Sie Informationen darüber, wie der Client konfiguriert werden muss, um Client-Verbindungen herzustellen.

Bemerkungen | Marken | Downloads | Bibliothek | Unterstützung | Feedback

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Letzte Aktualisierung : 2009-02-17 15:29:46

ap12234_