1
背景介紹
由于客戶集團檢查發現很多網站系統使用websphere中間件服務都是采用http協定提供網站服務,集團漏洞掃描出來需要對其進行安全加強,需要将系統http改造成https, 已確定業務系統不會被黑客攻擊與篡改。現介紹如何在websphere環境下配置https協定方法來保證系統能正常通路。
2
配置秘鑰與證書
配置https,需要調用圖形界面,請登入伺服器圖形視窗或是使用xmanger軟體調出圖形視窗來安裝,這裡就不詳細介紹配置方法,直接進入配置主題。 啟動his bin目錄下的ikeyman(x11, export DISPLAY, export LANG等,LANG是中文啟動也會中文)
1、建立密鑰
2、 類型CMS,指定存放地點和名稱
https協定_WebSphere配置https協定改造 3、 設定密碼、密碼儲存到檔案(名字.sth)
https協定_WebSphere配置https協定改造 4、 “個人證書”中“建立自簽名”https協定_WebSphere配置https協定改造 5、填寫基本資訊。有效期20年https協定_WebSphere配置https協定改造 完成後概況https協定_WebSphere配置https協定改造 https協定_WebSphere配置https協定改造
3
配置https
1、備份現有配置檔案(plugin-cfg.xml& httpd.conf)
cd /usr/IBM/HTTPServer/Plugins/config/webserver1/
cp plugin-cfg.xml plugin-cfg.xml.bak.202010
cd /usr/IBM/HTTPServer/conf/httpd.conf
cp httpd.conf httpd.conf.bak.202010
2、在was 控制台新增虛拟主機 443端口
環境->虛拟主機進入,點選“新增”,進入新增頁面
https協定_WebSphere配置https協定改造 點選“确定”,新增成功
點選虛拟主機nmwxcs_host進入以下頁面
點選右側“主機名稱”,進入後,再點選“新增”按鈕,https協定_WebSphere配置https協定改造 https協定_WebSphere配置https協定改造 點選“确定”,完成!
3、在was 控制台更新 Web 伺服器插件
更新plugin-cfg.xml儲存在/usr/WebSphere/AppServer/config/cells/ 目錄下
4、重新開機was服務
5、傳播更新插件檔案到IHS
cp /usr/WebSphere/AppServer/config/cells/plugin-cfg.xml /usr/IBM/HTTPServer/Plugins/config/webserver1/
6、增加SSL配置到IHS配置 httpd.conf 檔案中
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
SSLEnable
KeyFile /usr/IBM/HTTPServer/bin/sbkey/serverkey.kdb
LoadModule rewrite_module modules/mod_rewrite.so
RewriteEngine on
RewriteCond %{SERVER_PORT} =80
RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI}
8、重新開機IHS服務
./apachectl stop
./apachectl start
4
總結
通過HTTP改造成HTTPS使網站系統資訊傳輸變得更加安全,但同時也會讓系統會帶來巨大的性能損耗,使得使用者體驗變得比較差,這也是一直制約着 HTTPS 普及的重要原因之一。為確定網站系統的安全性,犧牲一點服務資源性能也是值得的。後續還可以單獨從HTTPS連接配接數上去做限流控制,可以減輕高并發對伺服器壓力。
此文章轉載|jaymarco 部落格
來源位址|http://blog.itpub.net/28833846/viewspace-2728385/