Sie können Ihren Server von IBM®
Engineering Requirements Management DOORS - Web
Access
(DWA)
für die Verwendung von Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) konfigurieren, die eine sichere
Kommunikation zwischen Servern und Clients oder Browsern bereitstellen. Dabei müssen Sie für DWA
die Verwendung von HTTPS festlegen und auf dem im Produkt enthaltenen Apache Tomcat-Server den HTTPS-Connector
aktivieren.
Vorbereitende Schritte
Damit
DWA
SSL oder TLS verwenden kann, benötigen Sie ein Sicherheitszertifikat und einen Keystore (Schlüsselspeicher), der das Serverzertifikat enthält.
Zu Testzwecken können Sie das Beispielsicherheitszertifikat verwenden, das im Lieferumfang von
DWA
enthalten ist. Die Apache Tomcat-Datei 'server.xml' ist standardmäßig für die Verwendung dieses Zertifikats konfiguriert. Sie können auch ein eigenes
Sicherheitszertifikat für Testzwecke generieren. Kaufen Sie für die Produktion ein Zertifikat von einer anerkannten
Zertifizierungsstelle.
Falls Sie ein Zertifikat erwerben, installieren Sie es auf dem Apache Tomcat-Server gemäß
den Anweisungen des Zertifikatsanbieters. Treten bei der Installation des Zertifikats Probleme auf, wenden Sie sich
an den Zertifikatsanbieter. Ändern Sie anschließend die Datei server.xml wie in diesem Abschnitt beschrieben.
Wenn Sie
ein eigenes Zertifikat zu Testzwecken generieren möchten, können Sie einen Keystore mithilfe
des Java™-Dienstprogramms 'keytool' erstellen und verwalten. Weitere
Informationen finden Sie in Keystores und Zertifikate für DWA konfigurieren. Außer
mit diesem Dienstprogramm können Sie auch mithilfe anderer Ressourcen aus dem Internet ein Zertifikat erstellen
und es auf dem Tomcat-Server installieren.
Vor dem Ändern der Konfiguration müssen Sie den
DWA-Server
stoppen. Prozeduren zum Herunterfahren des Servers finden Sie im Abschnitt DWA starten, stoppen und entfernen.
Sichern Sie
Ihre Konfigurationsdateien, bevor Sie sie aktualisieren.
Anmerkung: Nach Beenden dieser Prozedur müssen Sie
IBM Engineering Requirements
Management DOORS
(DOORS)
und DWA
erneut starten. Falls Sie ein Produktionssystem neu konfigurieren,
planen Sie eine ausreichende Ausfallzeit ein.
Informationen zu diesem Vorgang
Wenn Sie über den Keystore verfügen, müssen Sie den im Lieferumfang von
DWA enthaltenen
Tomcat-Server gemäß der folgenden Prozedur so konfigurieren, dass HTTPS mit dem Keystore
verwendet wird. Konfigurieren Sie anschließend DWA
neu, sodass HTTPS verwendet wird.
Vorgehensweise
- Wechseln Sie im Installationsverzeichnis für Ihren DWA-Server
in das Verzeichnis server/festival/config und öffnen Sie die Datei
festival.xml.
- Setzen Sie im Abschnitt <f:properties> der
Datei die Eigenschaft ForceHttpsForAuthenticationForOAuth
auf true.
- Speichern und schließen Sie die Datei.
- Wechseln Sie im Installationsverzeichnis Ihres DWA-Servers
in das Verzeichnis server/conf und öffnen Sie die Datei server.xml.
Achtung: Gehen Sie bei den Änderungen an der Datei server.xml
mit Sorgfalt vor, da eine fehlerhafte Bearbeitung einen vollständigen
Verlust der Systemfunktion zur Folge haben kann.
Sichern Sie die Datei, bevor Sie sie bearbeiten. Weitere Informationen
zum Konfigurieren von HTTPS und zu anderen Konfigurationsmethoden finden Sie in der
Tomcat-Dokumentation.
- Gehen Sie zu dem Abschnitt, der den HTTPS-Connector enthält,
und führen Sie die Tasks aus, die Ihren Sicherheitsanforderungen entsprechen, wie
in Apache Tomcat Configuration Reference for the HTTP
Connector (Apache Tomcat-Konfigurationsreferenz für den HTTP-Connector) dokumentiert. Ändern Sie den HTTPS-Connector (wie im folgenden
Beispiel dargestellt) wie in der Liste unten beschrieben.
<Connector URIEncoding="UTF-8"
clientAuth="false"
port="8443"
scheme="https"
minSpareThreads="5"
enableLookups="true"
acceptCount="100"
maxThreads="200"
secure="true"
SSLEnabled="true"
keystoreFile="localhost.keystore"
keystorePass="doorsdwa"
clientAuth="true"
truststoreFile="client-keystore.jks"
truststorePass="doorsdwa"
SSLVerifyClient="require"
SSLEngine="on"
SSLVerifyDepth="2"
sslProtocol="TLS"
algorithm="IbmX509"
compression="on"
noCompressionUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml,text/css,text/plain,text/javascript,application/javascript,application/x-javascript"
/>
In der folgenden Liste sind wichtige Tasks enthalten; weitere HTTP-Connector-Optionen finden Sie in der Apache Tomcat-Dokumentation.
- Sie konfigurieren den Server für die Verwendung von HTTPS über Port 8443. Der HTTPS-Standardport für den Tomcat-Server und für
DWA lautet
8443. Wenn Sie einen anderen HTTPS-Port verwenden möchten, ersetzen Sie die Portnummer 8443 in der Datei
server.xml und in allen
DWA-Konfigurationsdateien,
die den Port 8443 als HTTPS-Port angeben, durch den gewünschten Port.
- Sie können den Code des HTTPS-Connectors so ändern, dass das Sicherheitszertifikat verwendet wird; ändern Sie hierzu die Keystoreposition (keystoreFile) und das Kennwort (keystorePass), die im obigen Beispiel in Fettdruck angezeigt werden.
- Sie konfigurieren den Tomcat-Server für die Aktivierung von SSL. Sie können optional für den sslProtocol-Wert festlegen, dass eine TLS-Version für das SSL-Protokoll angegeben wird. Beispiel: sslProtocol="TLSv1.2". Mit dem Standardwert von sslProtocol="TLS" können der Client und der Server die höchste Version von TLS vereinbaren, die beide in der Lage sind zu unterstützen. Falls Sie eine Version angeben, sollten Sie die Anbieterdokumentation zu Rate ziehen, um zu ermitteln, ob Ihr Browser diese Version unterstützt.
- Speichern und schließen Sie die Datei server.xml.
- Konfigurieren Sie den DOORS-Server
neu, sodass er die korrekte DWA-HTTPS-URL
verwendet, indem Sie den Befehl dbadmin in einer Eingabeaufforderung ausführen. Eine entsprechende Beschreibung
finden Sie im Abschnitt
DOORS-Datenbankserver
konfigurieren.
- Starten Sie DOORS
und DWA erneut.