在《WAS启用IHS的SSL》一文中,我给出了两个PDF,详细描述了如何在IBM Http Server上启用SSL,为用户提供安全的传输通道。但有些应用不仅要实现加密传输,还需要认证功能,比如使用数字证书,或者实体的USB Key。本文就是讲述在这种环境下如何配置,为单独的WAS服务器,没有结合IHS。参考文档《IBM WebSphere Application Server V6.1 Security Handbook》(sg246316)
注意:配置前请先将密钥文件放置在对应profile的etc目录下
在管理控制台的“安全性”——“SSL证书和密钥管理”里,点击最右边的“密钥库和证书”。
会看到已经有三个默认的密钥库存在,点击新建:
写在前面:全文这么看一遍,等于把大学里的《信息安全》课程又温故了一下。理论就应该这么结合着实践来讲,早两年看到就能启发俺如何做毕业设计,不用搞的那么头痛了。
作者: Jeff Moser
译者: 马国耀
原文链接:http://www.infoq.com/cn/articles/HTTPS-Connection-Jeff-Moser
当你在浏览了一个网站上面的商品之后,点击“继续并结帐”时会发生什么?本文即将对(浏览器)与Amazon建立安全连接的整个过程中最初的若干毫秒进行分析。当你点击继续按钮时一个新的页面将被加载:
在短暂的220毫秒内,发生了很多有趣的事情,Firefox修改了地址栏的颜色,并在其右下角放置了一个锁状的图标。在我最喜爱的网络工具Wireshark以及略微修改的Firefox调试版的帮助下,我们可以对正在发生的事情看个究竟。
根据RFC 2818协议的规定,Firefox明白“https”意味着它应该连接Amazon.com的443端口:
大多数人将HTTPS和SSL(Secure Sockets Layer)联系起来,SSL是Netscape公司在90年代中期发明的。随着时间的推移这种说法就渐渐变得不准确了。由于Netscape失去了市场份额,它将SSL的维护工作移交给因特网工程任务组(IETF)。第一个后Netscape版本被重新命名为安全传输层协议(TLS),TLS1.0是在1999年1月份发布的。由于TLS诞生都10年了, 所以真正的“SSL”传输其实是几乎见不到。
这两天上海38度,脑袋发昏写不出啥东西,就拿以前积攒的内容来充数好了。
在WebSphere Application Server中可以有两个环节可以启用SSL来提高安全性:一是在客户端和IBM HTTP Server(IHS)间启用SSL,二是在IHS和应用服务器之间启用SSL。两个环节可以单独启用,也可以同时开启SSL。
一般我们会在客户端和IHS之间建立SSL连接,因为互联网在信息开放的同时带来了很多安全方面的问题,这点不用我多累述。而IHS一般处在拓扑结构的DMZ区,和互联网之间隔着一层防火墙,应用服务器则处在更安全的内部网络,所以综合安全和响应时间的考虑,IHS和应用服务器之间一般不再采用SSL。
下面两篇文章分别说明了如何在WAS6.0和WAS6.1中使用自签名的证书来开启IHS的SSL,如果是提供互联网服务的话,最好还是购买一下商业CA中心出具的证书,否则跳出个窗口提示证书不安全可就有趣了。
WAS6.0 http://docs.google.com/fileview?id=F.576ac8bd-943c-4de9-a4b0-5f8abd2a477d&hl=zh_CN
WAS6.1 http://docs.google.com/fileview?id=F.4de8195d-6801-450f-8a2c-5ce9ec9990c4&hl=zh_CN
(有别人写的那么好的文档,我就不高兴再自己写鸟,应该可以转的吧)
WAS5.1 下启用SSL方法类似,只是加载的模块为“LoadModule ibm_ssl_module modules/IBMModuleSSL128.dll”
而对申请商业证书,首先要在“个人证书请求”中新建一个请求,填入相关的信息,保存到一个certreq.arm的文件,用文本工具打开后,可以看到
—–BEGIN NEW CERTIFICATE REQUEST—–
MIIBdjCB4AIBADA3MQswCQYDVQQGEwJDTjETMBEGA1UEChMKanFjbHViLm5ldDETMBEGA1UEAxMK
WFpILUhBU0hFSTCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEAvOZmF3LojJEaAordCmbK9xze
//caxC+0M399AxFUdTbA6HCC8SImRFgItmfBhXt3GsRekCtcbCOxPWmoIr3A9Y6mOMh0uOkQbVVv
EFlbmyxGNha7tBLrFz3l3juRtHiiyXZ2KPUDu8gWFL6tC2DBvoFVaq9ValeX7umAAKpyQ9ECAwEA
AaAAMA0GCSqGSIb3DQEBBAUAA4GBADOtHdOX0UY2GVKw3trjjrlNO4D2wN05cE6SmBm2zJXOrzdz
WKs01TEsnYlEEWS7Z7vRnhgj23eynd646/Kzxb8biipAL0TUcYkEUMRN1+VSFNdmHRGRQIeolGIf
ZzpZk0I1BHQeccHCdFRItNovWMD4XsmBq3WufgRhyNpHmHPQ
—–END NEW CERTIFICATE REQUEST—–
上传这个请求到CA发行商那里并通过后,会得到一个证书,在“个人证书”里接受即可。
当你的网站有许多个应用,而不希望每个应用都启用SSL,同时希望启用SSL的应用禁止通过80端口访问的话,可以通过“虚拟主机”来实现这个目标。
默认的应用都发布在default_host下,你可以新建一个ssl_enable的虚拟主机,在ssl_enable下仅启用443端口,把应用映射到这台虚拟主机上,那么这个应用只能通过443端口来访问了,而别的应用照旧可以在80端口下访问。
[1] MIXI工程师介绍memcached
上周提到的“豆瓣网技术架构变迁”演讲中,豆瓣的技术总监洪强宁介绍了豆瓣使用memcached的经验。如今越来越多的Web2.0应用采用了这个高速的服务器缓存软件,即便是作为个人blog软件的MT(MovableType)也支持了memcached。如果你还对其不了解的话,可以看一下这篇翻译mixi(http://mixi.jp)两位工程师的文章。语言简洁、通俗易懂,非常适合memcached入门阅读。
http://docs.google.com/fileview?id=F.e49c4d77-af47-4490-ad8c-836bcb819573
[2] WebSphere Portal中启用SSL
安全是如今软件设计中非常重要的一环,Twitter、facebook等热门网站都有爆出安全漏洞使用户利益受到损失的例子。本文则通过“对WebSphere Portal启用SSL进行后台LDAP用户信息管理”来保证用户信息的安全。
在 WebSphere Portal 中启用 SSL 来进行用户管理 之后我会写如何在WebSphere Application Server中开启IHS的SSL
[3] 牛的是人还是环境
一篇文章加上数十个讨论,探讨“牛人”产生的原因,分析牛人是“择良木而栖,逢佳时而鸣”,还是“金子在哪里都会发光”。我们常听说“人总是被提拔到一个他不擅长的岗位”,那么换个环境情况会如何呢?
http://groups.google.com/group/pongba/browse_frm/thread/d39eb6df594ad4d7/
[4]如何克服诱惑
《奥德赛》中,主人翁奥德修斯为抵御海妖歌声的诱惑,预先把自己绑在桅杆上。那我们如何抵御现在那么多的诱惑,做一些一直计划去做,却没有贯彻下去做的事呢?
《棉花糖实验》告诉我们,“much of will is skill”(表面上看是意志力强,实际上则是得法)
http://groups.google.com/group/pongba/browse_frm/thread/0ab29422a5abdb3b#
 |
 |
|
最及时的声音