Secure Socket Layer 設定

請利用這個頁面來配置伺服器的 Secure Socket Layer (SSL) 設定。

如果要檢視這個管理主控台頁面,請按一下安全 > SSL > alias_name

「配置」標籤

別名
指定特定 SSL 設定的名稱
資料類型: 字串
金鑰檔名稱
指定包含公開金鑰和私密金鑰的 SSL 金鑰檔之完整路徑。

您可以利用金鑰管理公用程式來建立 SSL 金鑰檔,如果有硬體裝置的話,這個檔案可以對應於硬體裝置。 不論是哪一種情況,除非指定了信任檔,否則,這個選項都會指出個人憑證和簽章者憑證的來源。 預設 SSL 金鑰檔 DummyClientKeyFile.jksDummyServerKeyFile.jks 包含自行簽章的個人測試憑證,在 2005 年 3 月 17 日到期。 這個測試憑證只供測試環境使用。 在正式作業環境中,永遠不應使用預設 SSL 金鑰檔,因為所有 WebSphere Application Server 安裝架構的私密金鑰都相同。 請參閱 InfoCenter 中管理憑證的文章,以取得建立和管理 WebSphere Application Server 領域的數位憑證之相關資訊。

資料類型: 字串
金鑰檔密碼
指定存取 SSL 金鑰檔的密碼。
資料類型: 字串
金鑰檔格式
指定 SSL 金鑰檔的格式。
資料類型: 字串
預設值: JKS
範圍: JKS、JCEK、PKCS12
信任檔名稱
指定通往含有公開金鑰的信任檔之完整路徑。

您可以利用 WebSphere bin 目錄中所包括的金鑰管理公用程式來建立信任檔。 當使用 Global Security Kit (GSkit)(另一個 SSL 實作)的金鑰管理公用程式時,無法使用 Java Secure Socket Extension (JSSE) 實作。

但它不像 SSL 金鑰檔,不會參照個人憑證;只會擷取簽章者憑證。 預設 SSL 信任檔 DummyClientTrustFile.jksDummyServerTrustFile.jks 含有多個用來作為簽章者憑證的測試公開金鑰,它們可能會到期。WebSphere Application Server 4.0 版測試憑證的公開金鑰在 2004 年 1 月 15 日到期, WebSphere Application Server 第 5 版測試憑證和 WebSphere Application Server CORBA C++ 用戶端的公開金鑰在 2005 年 3 月 17 日到期。 這個測試憑證只供測試環境使用。

如果未指定信任檔,但指定了 SSL 金鑰檔,則會利用 SSL 金鑰檔來擷取簽章者憑證及個人憑證。

資料類型: 字串
信任檔密碼
指定存取 SSL 信任檔的密碼。
資料類型: 字串
信任檔格式
指定 SSL 信任檔的格式。
資料類型: 字串
預設值: JKS
範圍: JKS、JCEK、PKCS12
用戶端鑑別
指定當進行連線時,是否要基於鑑別目的,向用戶端要求憑證。

這個屬性只在 Web 儲存區 HTTP 傳輸使用它時才有效。 當利用網際網路交互 ORB 通訊協定 (IIOP) 執行用戶端鑑別(EJB 要求)時,您必須在管理主控台左側的導覽窗格中, 按一下安全 > 鑑別通訊協定 > CSIv2 入埠離埠鑑別。 請按一下 SSL 用戶端憑證鑑別,以啟用它來處理這些要求。

資料類型: Boolean
預設值: 停用
範圍: 啟用或停用
安全層次
指定伺服器是否要從預先配置的一組安全層次中選取。
資料類型: 有效值如下:
  • LOW(低)只指定數位簽章密碼(不加密)
  • MEDIUM(中)只指定 40 位元的密碼(包括數位簽章)
  • HIGH(高)只指定 128 位元的密碼(包括數位簽章)。

如果要指定所有密碼或任何特定範圍,您可以設定 com.ibm.ssl.enabledCipherSuites 內容。

請參閱 InfoCenter 中的 SSL 文件。

預設值:
範圍: 低、中或高
密碼組合
指定可以選取供 SSL 訊息交換期間使用的支援密碼組合清單。 如果您在這裡個別選取密碼組合,您就會改寫「安全層次」欄位中所設定的密碼組合。
資料類型:
預設值:
範圍:
加密記號
指定伺服器要啟用或停用加密硬體和軟體支援。
資料類型: Boolean
預設值: 停用
範圍: 啟用或停用
提供者   [修正套件 5.0.2 和更新版本]
係指提供 Java 安全 API 的加密方面子集之具體實作的套件。

如果您選取第一個按鈕,請從功能表中選取提供者。WebSphere Application Server 有下列預先定義的提供者:IBMJSSEIBMJSSEFIPSIBMJSSEFIPS 是美國聯邦資訊處理標準 (FIPS) 核准的 IBMJSSE 提供者版本。 如果您選取第二個按鈕,請輸入自訂提供者。 對於自訂提供者,您必須先利用「其他內容」下的自訂內容來輸入「密碼組合」。密碼組合和通訊協定值會隨著提供者而不同。

資料類型 整數
預設值 100
範圍 1 至 86400
通訊協定   [修正套件 5.0.2 和更新版本]
指定所用的 SSL 通訊協定。

如果您使用 FIPS 核准的 JSSE(如 IBMJSSEFIPS),您就必須選取 TLS 通訊協定。 由於 FIPS 核准的 JSSE 提供者不具備向下相容性,因此,使用 TLS 通訊協定的伺服器無法與使用 SSL 通訊協定的用戶端通訊。

相關資訊

管理主控台按鈕
管理主控台頁面特性
管理主控台範圍設定
管理主控台過濾器設定
管理主控台喜好設定
自訂內容的 Secure Socket Layer 設定