websphere连接池_在WebSphere Cast Iron Studio中配置HTTP连接器以进行安全的SSL通信

IBM WebSphere Cast Iron提供了一个平台，用于将领先的软件即服务（SaaS）提供程序中的基于云的应用程序与本地应用程序集成。 WebSphere Cast Iron Studio（在本教程中称为Cast Iron Studio）是一种开发工具，可用于设计，测试集成项目并将其发布到Cast Iron Integration Appliance。 Cast Iron Studio提供了许多实体，您可以将它们拖到工作区中并作为组成集成项目的一个或多个业务流程业务流程的一部分进行配置。

HTTP页面通常使用以下两种安全协议之一来加密通信：安全套接字层（SSL）或传输层安全性（TLS）。 本教程说明了如何在WebSphere Cast Iron Appliance（在本教程中称为Cast Iron Appliance）和Cast Iron Studio中为HTTP连接器配置SSL认证和相互SSL认证。

要完成本教程中的步骤，您必须熟悉Cast Iron Studio，Cast Iron Appliance和HTTP。

为什么需要SSL证书？

通过常规HTTP连接发送的所有通信均以“纯文本格式”进行，任何设法闯入客户端与服务器之间的连接的黑客都可以读取。 如果“通信”在订购单上并且包括信用卡详细信息或社会保险号，则这种情况将带来明显的危险。 通过HTTPS连接，所有通信均被安全加密。 也就是说，如果有人设法闯入连接，他们将无法解密在客户端和服务器之间传递的任何数据。

客户端和服务器通过以下两种方式交换SSL证书：

• SSL认证
• 相互SSL认证

在Cast Iron Studio中配置SSL身份验证

在SSL身份验证中，向客户端提供服务器的证书颁发机构（CA），然后客户端尝试将服务器的CA与客户端的受信任CA列表进行匹配。

为了说明SSL身份验证的安全配置，本教程使用Apache Tomcat作为端点服务器，HTTP调用活动将使用该端点服务器连接到GET / POST页面。 为HTTP连接器配置SSL身份验证：

1. 在Cast Iron Studio中创建一个新项目。 单击创建项目 。

   图1.创建一个新项目– Cast Iron工作区

   
2. 在“ 创建新项目”对话框中输入项目名称，然后单击“ 确定” 。

   图2. Create New Project窗口

   
3. 单击“ 活动”选项卡，然后将“ 调用请求”活动从HTTP端点拖到业务流程区域，如图3所示。“ 活动”选项卡显示所有可用的连接器（列为文件夹）和连接器支持的活动。

   图3.活动选项卡-HTTP端点

   
4. 使用“ 调用请求”活动创建业务流程。

   图4.调用请求活动

   
5. 单击“ 清单”面板中的“ 选择端点 ”。

   图5. Pick Endpoint选项卡

   
6. 单击“ 新建”以打开“ 创建端点”窗口。

   图6. Create New Endpoint窗口

   
7. 配置端点属性。 配置属性包括：
   • 主机名
   • 港口
   • 登录用户名
   • 登录密码
   • 安全性-协议版本

   图7.端点配置属性

   
8. 在“ 安全启用HTTPS”下 ，选择“ 协议版本” 。 然后，选择“ 客户端证书别名名称 ”，如图8a和8b所示。

   图8a。 SSL身份验证的安全设置

   

   图8b。 相互SSL身份验证的安全设置

   
9. 要测试连接，请单击“ 测试连接” 。

   图9.测试连接

   
10. 在测试结果消息窗口中，单击确定 。

    图10.测试连接结果

    
11. 单击配置选项卡，然后配置URL。

    图11.配置选项卡

    
12. 从清单中单击Map Inputs ，然后将方法的值设置为GET和body ，如图12a和12b所示。

    图12a。 地图输入部分

    

    图12b。 地图输入部分

    
13. 配置“ 调用请求”活动后，拖动“ 计划作业”活动。

    图13.最终编排

    

将服务器CA证书导入Cast Iron Studio信任库

要将Tomcat服务器证书导入Cast Iron Studio信任库：

1. 找到在server.xml文件中生成和配置的Tomcat服务器证书**库。

   图14. server.xml文件

   
2. 复制Tomcat服务器证书文件，然后转到安装Cast Iron Studio的工作站。 将其复制到Cast Iron Studio主目录中：
   c:\Program Files\IBM\WebSphere Cast Iron Studio xxx
3. 从Cast Iron Studio JRE运行ikeyman.exe并打开信任库，例如cacerts ，它位于Cast Iron Studio安全目录中。
   c:\Program Files\IBM\WebSphere Cast Iron Studio xxx\security
   

   单击确定 。

   图15. IBM**管理

   
4. 输入有效的信任库密码，然后单击确定 。

   图16.密码提示窗口

   
5. 在“ **数据库内容”下 ，选择“ 签署者证书”以查看内容。

   图17.关键数据库内容

   
6. 单击添加并浏览服务器证书，该证书已复制到Cast Iron Studio主目录中。 单击确定 。

   图18.浏览服务器证书

   
7. 输入标签名称（图19），然后单击OK 。 现在，服务器证书已成功导入Cast Iron Studio信任库中。

   图19.标签名称

   
8. 转至WebSphere Cast Iron Studio ，并调用业务流程，单击Verify选项卡下的绿色Start按钮， 如图29所示。

现在，业务流程可以成功获取该网页， 如图30所示。

在Cast Iron Studio中配置双向SSL身份验证

在双向SSL身份验证中，客户端和服务器都通过数字证书对彼此进行身份验证，从而确保双方都可以识别对方的身份。

除了前面的步骤或SSL身份验证之外，请完成以下步骤以进行相互SSL身份验证。 除了在Cast Iron Studio中配置SSL身份验证部分中的步骤之外，您还可以继续按照下一部分中的步骤进行操作 。

将客户端证书导入服务器信任库

1. 从Cast Iron Studio JRE运行ikeyman.exe ，然后打开Cast Iron Studio的**库，例如certs ，它位于Cast Iron Studio安全目录中。
   c:\Program Files\IBM\WebSphere Cast Iron Studio xxx\security
   

   单击确定 。

   图20. IBM**管理

   
2. 输入有效的**库密码（图21），然后单击OK 。

   图21.密码提示

   
3. 选择列出的个人证书，例如工厂提供的身份，然后单击“ 提取证书”选项卡。

   图22.关键数据库内容

   
4. 输入证书名称和位置。

   图23.提取证书

   
5. 找到在server.xml文件中配置的Tomcat服务器信任库。

   图24. server.xml文件

   
6. 从Cast Iron Studio JRE运行ikeyman.exe ，然后打开Tomcat服务器的信任库。

   图25.服务器信任库

   
7. 将提取的证书添加到Tomcat信任库中。

   图26.添加客户端证书

   
8. 对于标签名称，输入在端点中配置的相同名称，例如工厂提供的标识。 然后，单击确定 。

   图27.标签名称

   
9. 添加证书后，您会看到它，如图28所示。在验证之后，关闭ikeyman工具。

   图28. IBM**管理

   
10. 转到WebSphere Cast Iron Studio ，然后开始业务流程，单击“ 验证”选项卡下的绿色“ 开始”按钮。

    图29.开始编排

    

业务流程现在可以成功获取网页。

图30. Cast Iron Studio中的验证消息输出

该业务流程已针对SSL身份验证和相互SSL身份验证进行了验证。 现在，您可以在运行时或设备中部署项目。

在Cast Iron Appliance中配置SSL身份验证

您可以将Cast Iron Studio中开发的Cast Iron项目部署到物理设备（WebSphere DataPower Cast Iron设备XH40），虚拟设备（WebSphere Cast Iron Hypervisor Edition）或完整的云服务（IBM Cast Iron Cloud）。 您可以在Cast Iron Appliance中配置或验证SSL身份验证配置的HTTP连接器活动。 执行以下步骤：

1. 将创建的项目从Cast Iron Studio上传到Cast Iron Appliance。 首先，在Cast Iron Studio中单击发布项目选项。 输入铸铁设备详细信息，然后单击确定 。

   图31.将项目发布到Cast Iron Appliance

   

   发布后，状态指示发布成功。

   图32.成功发布的项目

   
2. 在Cast Iron Appliance中，点击标签左侧的“ 安全性”选项。 在选项中，点击证书 。

   图33.证书选项卡

   
3. 在“信任库”下，单击“ 导入” 。

   图34.信任库窗口

   
4. 在“导入证书”窗口中，输入以下详细信息：
   • 别名 ：提供别名。
   • 可信（复选框）：选中它。
   • 内容（无线电选项）：单击来自文件，然后浏览服务器证书，该证书已复制到Cast Iron Studio主目录下。

   图35.导入证书窗口

   
5. 点击导入 。

   图36.导入证书

   

   服务器证书已成功导入到设备信任库中。

   图37.信任库中的导入证书

   
6. 导入证书后，转到Cast Iron Appliance中的“ 存储库”选项卡。 单击从Cast Iron Studio上传的项目， 如图41所示。
7. 如图42所示，在设备中启动项目。
8. 在项目状态为“正在运行”的位置，单击业务流程， 如图43所示。

   您会看到每个作业状态都已完成， 如图44所示。

9. 单击Details选项卡以查找结果， 如图45所示。

在Cast Iron Appliance中配置相互SSL身份验证

除了上一节中的步骤之外，请完成以下步骤以进行相互认证。 您可以继续执行下一部分中的步骤以及在Cast Iron Appliance中配置SSL身份验证部分中的步骤。

1. 再次在Cast Iron Appliance中，点击标签左侧的“ 安全性”选项。 从选项列表中，单击证书 。

   图38.**存储窗口

   
2. 单击工厂提供的身份以显示证书。 点击导出 。

   图39.导出证书窗口

   
3. 在下一个窗口中，选择要导出的格式。

   图40.导出证书的格式窗口

   
4. 使用ikeyman.exe将Studio JRE中的导出证书导入到Tomcat信任库中，如将客户端证书导入到服务器信任库部分中所述。
5. 导入证书后，在Cast Iron Appliance的“ 存储库”选项卡上，单击从Cast Iron Studio上传的项目。

   图41.在Repository选项卡下的上载项目

   
6. 在Cast Iron Appliance中启动项目。

   图42.启动HTTP连接器项目

   
7. 当您看到项目状态为“正在运行”时，请单击业务流程。

   图43. HTTP连接器项目的配置细节

   

   您会看到每个作业状态都已完成。

   图44.作业状态完成

   
8. 单击详细信息选项卡以查找结果。

   图45.作业输出详细信息

   

现在，已在Cast Iron Appliance中成功验证了配置有SSL身份验证和相互身份验证的业务流程和项目。

结论

本教程演示了如何以更安全和加密的方式为常用的HTTP连接器配置SSL身份验证和相互SSL身份验证。

致谢

作者感谢C. Vamsi和Hariharan I. Subramanian在审阅本教程和提供宝贵意见方面的帮助。

翻译自: https://www.ibm.com/developerworks/websphere/library/techarticles/1509_kota-trs/1509_kota.html