SSL-Einstellungen

Verwenden Sie diese Seite, um die SSL-Einstellungen (Secure Sockets Layer) für den Server zu konfigurieren.

Klicken Sie zum Anzeigen dieser Seite der Administrationskonsole auf Sicherheit > SSL > Aliasname.

Register "Konfiguration"

Aliasname
Gibt den Namen der spezifischen SSL-Einstellung an.
Datentyp String
Name der Schlüsseldatei
Gibt den vollständig qualifizierten Pfad der SSL-Schlüsseldatei an, die die öffentlichen und privaten Schlüssel enthält.

Eine SSL-Schlüsseldatei kann mit dem Dienstprogramm für Schlüsselverwaltung erstellt werden. Falls eine Hardwareeinheit verfügbar ist, kann die Schlüsseldatei sich auch auf diese Hardware beziehen. In beiden Fällen ist diese Option die Quelle für persönliche Zertifikate sowie Ausstellerzertifikate, vorausgesetzt, es ist keine Trust-Datei angegeben. Die SSL-Standardschlüsseldateien, DummyClientKeyFile.jks und DummyServerKeyFile.jks, enthält ein selbstunterzeichnetes persönliches Testzertifikat, das am 17. März 2005 verfällt. Das Testzertifikat ist nur für die Verwendung in einer Testumgebung vorgesehen. Die SSL-Standardschlüsseldateien dürfen nicht in einer Produktionsumgebung verwendet werden, da die privaten Schlüssel in allen Installationen des WebSphere Application Server identisch sind. Der Abschnitt "Zertifikate verwalten" im InfoCenter enthält Informationen zur Erstellung und Verwaltung digitaler Zertifikate für die Domäne des WebSphere Application Server.

Datentyp String
Kennwort der Schlüsseldatei
Gibt das Kennwort für den Zugriff auf den SSL-Schlüsselring an.
Datentyp String
Format der Schlüsseldatei
Gibt das Format des SSL-Schlüsselrings an.
Datentyp String
Standardwert JKS
Bereich JKS, JCEK, PKCS12
Name der Trust-Datei
Gibt den vollständig qualifizierten Pfad der Trust-Datei an, die die öffentlichen Schlüssel enthält.

Sie können eine Trust-Datei mit dem Dienstprogramm für Schlüsselverwaltung erstellt werden, das sich im WebSphere-Verzeichnis bin befindet. Das Dienstprogramm für Schlüsselverwaltung von Global Security Kit (GSKit) (eine andere SSL-Implementierung) kann für die JSSE-Implementierung (Java Secure Socket Extension) nicht verwendet werden.

Im Gegensatz zur SSL-Schlüsseldatei können aber keine persönlichen Zertifikate referenziert werden. Es werden nur Ausstellerzertifikate abgerufen. Die SSL-Standard-Trust-Dateien, DummyClientTrustFile.jks und DummyServerTrustFile.jks, enthalten mehrere öffentliche Testschlüssel als Ausstellerzertifikate, die verfallen können. Der öffentliche Schlüssel für die Testzertifikate des WebSphere Application Server Version 4.0 ist bis zum 15. January 2004 gültig. Der öffentliche Schlüssel für die Testzertifikate des WebSphere Application Server Version 5 und des WebSphere Application Server CORBA C++-Client ist bis zum 17. März 2005 gültig. Das Testzertifikat ist nur für die Verwendung in einer Testumgebung vorgesehen.

Wenn keine Trust-Datei, sondern eine SSL-Schlüsseldatei angegeben ist, wird die SSL-Schlüsseldatei für den Abruf der Ausstellerzertifikate und der persönlichen Zertifikate verwendet.

Datentyp String
Kennwort für Trust-Datei
Gibt das Kennwort für den Zugriff auf die SSL-Trust-Datei an.
Datentyp String
Format der Trust-Datei
Gibt das Format der SSL-Trust-Datei an.
Datentyp String
Standardwert JKS
Bereich JKS, JCEK, PKCS12
Clientauthentifizierung
Gibt an, ob zur Authentifizierung ein Zertifikat vom Client abgerufen werden soll, wenn eine Verbindung hergestellt wird.

Dieses Attribut ist nur gültig, wenn es vom HTTP-Transport des Webcontainers verwendet wird. Beim Durchführen der Clientauthentifizierung mit dem IIOP-Protokoll (Internet InterORB Protocol) für EJB-Anforderungen müssen Sie im linken Navigationsfenster der Administrationskonsole auf Sicherheit > Authentifizierungsprotokoll > Eingehende Authentifizierung gemäß CSIv2 oder Abgehende Authentifizierung gemäß CSIv2 klicken. Klicken Sie auf Authentifizierung über SSL-Clientzertifikat, um diese Authentifizierung für diese Anforderungen zu aktivieren.

Datentyp Boolean
Standardwert Inaktiviert
Bereich Aktiviert oder inaktiviert
Sicherheitsstufe
Gibt an, ob der Server Optionen aus einer vordefinierten Gruppe von Sicherheitsstufen auswählt.
Datentyp Die gültigen Werte lauten Niedrig, Mittel, Hoch.
  • NIEDRIG gibt an, das nur digitale Signatur-Schlüssel verwendet werden (keine Verschlüsselung).
  • MITTEL gibt an, dass nur 40-Bit-Schlüssel (einschließlich digitaler Signatur) verwendet werden.
  • HOCH gibt an, dass nur 128-Bit-Schlüssel (einschließlich digitaler Signatur) verwendet werden.

Wenn Sie alle Schlüssel oder einen bestimmten Schlüsselbereich angeben möchten, können Sie das Merkmal com.ibm.ssl.enabledCipherSuites definieren.

Nähere Informationen hierzu finden Sie in der SSL-Dokumentation im InfoCenter.

Standardwert Hoch
Bereich Niedrig, Mittel oder Hoch
Cipher Suites
Gibt eine Liste der unterstützten Cipher Suites an, die während des SSL-Handshake verwendet werden können. Wenn Sie Cipher Suites einzeln auswählen, überschreiben Sie die Cipher Suites, die im Feld für die Sicherheitsstufe angegeben sind.
Datentyp
Standardwert
Bereich
Verschlüsselungs-Token
Gibt an, ob der Server die Unterstützung der Verschlüsselungshard- und -software aktiviert oder inaktiviert.
Datentyp Boolean
Standardwert Inaktiviert
Bereich Aktiviert oder inaktiviert
Provider   [Fixpack 5.0.2 und höher]
Bezeichnet ein Paket, das eine konkrete Implementierung eines Teil der Verschlüsselungsfunktionen der Java-Sicherheits-API bereitstellt.

Wenn Sie den ersten Knopf auswählen, wählen Sie im Menü einen Provider aus. WebSphere Application Server hat die folgenden vordefinierten Provider: IBMJSSE und IBMJSSEFIPS. IBMJSSEFIPS ist die FIPS-Version (Federal Information Processing Standard) des IBMJSSE-Providers. Wenn Sie den zweiten Knopf auswählen, geben Sie einen eigenen Provider ein. Wenn Sie einen eigenen Provider angeben, müssen Sie zuerst unter "Weitere Merkmale" in der Anzeige Benutzerdefinierte Merkmale die Cipher Suites angeben. Cipher Suites und Protokollwerte hängen vom Provider ab.

Datentyp Integer
Standardwert 100
Bereich 1 bis 86400
Protokoll   [Fixpack 5.0.2 und höher]
Gibt das verwendete SSL-Protokoll an.

Wenn Sie einen FIPS-JSSE-Provider wie IBMJSSEFIPS verwenden, müssen Sie ein TLS-Protokoll auswählen. Weil die FIPS-konformen JSSE-Provider nicht abwärtskompatibel sind, können Server, die das Protokoll TLS verwenden, nicht mit Clients kommunizieren, die ein SSL-Protokoll verwenden.

Zugehörige Informationen

Knöpfe in der Adminstrationskonsole
Funktionen auf den Seiten der Administrationskonsole
Geltungsbereichseinstellungen für die Administrationskonsole
Filtereinstellungen für die Administrationskonsole
Vorgaben für die Administrationskonsole
SSL-Einstellungen für benutzerdefinierte Merkmale