安全套接字层设置

使用此页面配置服务器的安全套接字层(SSL)设置。

要查看此管理控制台页面,单击安全性> SSL > alias_name

“配置”选项卡

别名
指定特定 SSL 设置的名称
数据类型: String
密钥文件名
指定到包含公用密钥及专用密钥的 SSL 密钥文件的全限定路径。

您可以使用密钥管理实用程序创建 SSL 密钥文件,或者此文件可以与硬件设备相对应(如果有一个可用设备的话)。无论在哪种情况下,此选项都表明了个人证书以及签署者证书的源,除非指定信任文件。缺省 SSL 密钥文件 DummyClientKeyFile.jksDummyServerKeyFile.jks 包含 2005 年 3 月 17 日到期的自签署个人测试证书。测试证书仅用于测试环境。缺省 SSL 密钥文件决不应该在生产环境中使用,因为在所有 WebSphere Application Server 安装上,专用密钥都是相同的。请参阅信息中心的管理证书一文,以获取关于创建和管理您的 WebSphere Application Server 域的数字证书的信息。

数据类型: String
密钥文件密码
指定用于访问 SSL 密钥文件的密码。
数据类型: String
密钥文件格式
指定 SSL 密钥文件的格式。
数据类型: String
缺省: JKS
范围: JKS、JCEK、PKCS12
信任文件名
指定到包含公用密钥的信任文件的全限定路径。

您可以使用 WebSphere bin 目录中包含的密钥管理实用程序来创建信任文件。从 Global Security Kit(GSKit)(另一个 SSL 实现)使用密钥管理实用程序不能与 Java 安全套接字扩展(JSSE)实现一起工作。

与 SSL 密钥文件不同,它不引用个人证书;仅检索签署者证书。缺省 SSL 信任文件 DummyClientTrustFile.jksDummyServerTrustFile.jks 包含多个测试公用密钥,作为可到期的签署者证书。WebSphere Application Server V4.0 测试证书的公用密钥于 2004 年 1 月 15 日到期,WebSphere Application Server V5 测试证书和 WebSphere Application Server CORBA C++ 客户机的公用密钥于 2005 年 3 月 17 日到期。测试证书仅用于测试环境。

如果未指定信任文件,但指定了 SSL 密钥文件,则 SSL 密钥文件将用于检索签署者证书和个人证书。

数据类型: String
信任文件密码
指定用于访问 SSL 信任文件的密码。
数据类型: String
信任文件格式
指定 SSL 信任文件的格式。
数据类型: String
缺省: JKS
范围: JKS、JCEK、PKCS12
客户机认证
连接时指定是否为认证从客户机请求证书。

仅当 Web 容器 HTTP 传输使用此属性时,它才有效。 使用因特网 ORB 间协议(IIOP)(对 EJB 请求)执行客户机认证时,您必须在管理控制台左边的导航窗格中单击安全性 > 认证协议 > CSIv2 入站出站认证。单击 SSL 客户机证书认证,为这些请求启用它。

数据类型: Boolean
缺省: 禁用的
范围: 启用的或禁用的
安全级别
指定服务器是否在安全性级别的预配置集中选择。
数据类型: 有效值包含 LowMediumHigh
  • LOW 仅指定数字签名密码(未加密)
  • MEDIUM 仅指定 40 位密码(包含数字签名)
  • HIGH 仅指定 128 位密码(包含数字签名)。

要指定所有密码或任何特定范围,您可以设置属性 com.ibm.ssl.enabledCipherSuites

请参阅信息中心中的 SSL 文档。

缺省:
范围: Low、Medium 或 High
密码套件
指定支持的密码套件列表,您可以从中选择在 SSL 握手期间使用的密码套件。如果您在此处个别地选择密码套件,那么您覆盖那些在“安全性级别”字段中设置的密码套件。
数据类型:
缺省:
范围:
加密令牌
指定服务器是启用还是禁用加密硬件和软件支持。
数据类型: Boolean
缺省: 禁用的
范围: 启用的或禁用的
提供程序   [Fix Pack 5.0.2 and later]
是指提供 Java 安全性 API 的密码术方面的子集的具体实现的软件包。

如果您选择第一个按钮,则从菜单选择提供程序。WebSphere Application Server 具有下列预定义的提供程序:IBMJSSEIBMJSSEFIPSIBMJSSEFIPS 是联邦信息处理标准(FIPS)核准版本的 IBMJSSE 提供程序。如果您选择第二个按钮,则输入定制提供程序。 对于定制提供程序,您首先必须在“其它属性”下通过定制属性输入 Cipher Suites。Cipher Suites 和协议值取决于提供程序。

数据类型 整型
缺省 100
范围 1 到 86400
协议   [Fix Pack 5.0.2 and later]
指定使用的 SSL 协议。

如果您使用 FIPS 核准的 JSSE(如 IBMJSSEFIPS),您必须选择 TLS 协议。因为 FIPS 核准的 JSSE 不是向后兼容的,所以使用 TLS 协议的服务器无法与使用 SSL 协议的客户机进行通信。

相关信息

管理控制台按钮
管理控制台页面功能
管理控制台作用域设置
管理控制台过滤器设置
管理控制台首选项设置
定制属性的安全套接字层设置