Nach der Installation arbeitet der IBM Workplace Server mit einer Standardkonfiguration für SSL, die auf einem selbstsignierten Zertifikat basiert. Diese Konfiguration ist für Testumgebungen ausreichend, nicht aber für den produktiven Einsatz. Für die Nutzung von SSL lassen sich aber relativ einfach so genannte SSL-Konfigurationen erstellen, in denen alle erforderlichen Parameter abgelegt sind.
Die Schnittstelle
Die Konfiguration der SSL-Einstellungen erfolgt im Bereich Sicherheit/SSL. Nach dem Aufruf wird ein Dialog mit der Überschrift SSL-Konfigurationsrepertoires angezeigt, in dem sich die aktuell definierten SSL-Konfigurationen finden. Die Liste besteht nach der Installation nur aus einem Eintrag, den DefaultSSLSettings (Bild 1). Es bietet sich an, diesen unverändert zu lassen und weitere Konfigurationen zu definieren, wenn man daran Anpassungen vornehmen möchte.
Nach der Auswahl von Neu für die Erstellung einer neuen Konfiguration beziehungsweise dem Anklicken einer bestehenden Konfiguration können in der Maske weitere Einstellungen vorgenommen werden (Bild 2). Bei neuen Konfigurationen muss zunächst ein Aliasname angegeben werden.
Der nächste Parameter ist der Name der Schlüsseldatei. Die Standarddateien werden im Verzeichnis etc unterhalb des Installationsverzeichnisses des IBM WebSphere Application Server (WAS) abgelegt. Als Format für die Datei werden die Formate JKS, PKCS12 und JCEK unterstützt. Das Standardformat ist JKS.
Die Schlüsseldatei enthält die öffentlichen und privaten Schlüssel des Zertifikats für diesen Server. Gegebenenfalls kann über die Bezeichnung für die Schlüsseldatei auch auf eine Hardwarekomponente verwiesen werden. Dabei muss es sich um eine vom WAS unterstützte Lösung handeln, die auf diese Weise installiert werden kann. Neben den Informationen zu dem Serverzertifikat muss auch eine Trust-Datei angegeben werden. Dabei handelt es sich um das Trusted Root Certificate oder auch Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle. Dieses Zertifikat enthält grundsätzlich nur den öffentlichen Schlüssel des Trusted Root. Dieses Zertifikat ist erforderlich, um die Gültigkeit anderer Zertifikate zu verifizieren, die von dieser Stelle ausgestellt wurden.
Mit dem nächsten Eintrag wird festgelegt, ob auch mit der Client-Authentifizierung gearbeitet werden soll. Die Client-Authentifizierung über SSLv3 ist grundsätzlich sinnvoll, setzt aber voraus,dass die Systeme über ein Client-Zertifikat verfügen. Das Attribut muss vom HTTP-Server unterstützt werden.
Im nächsten Feld kann die Sicherheitsstufe festgelegt werden. Hier wird praktisch immer mit Hoch gearbeitet, um eine 128-Bit-Verschlüsselung zu verwenden. Nur in Umgebungen, die von Exportrestriktionen betroffen sind, muss man gegebenenfalls auf niedrigere Sicherheitsstufen zurückschalten.
Anschließend können die Cipher Suites explizit angegeben werden. Das ist in der Regel nicht erforderlich, weil standardmäßig die unterschiedlichen Verschlüsselungsverfahren beim Verbindungsaufbau ausgehandelt werden. Eine Einschränkung auf bestimmte Verschlüsselungsverfahren ist daher nur in Ausnahmefällen sinnvoll, insbesondere im Zusammenhang mit Exportrestriktionen.
Bei Verschlüsselungstoken kann die Unterstützung für Hardware aktiviert oder deaktiviert werden. Diese Option spielt nur bei Verwendung entsprechender Hardware eine Rolle.
Des Weiteren kann noch der Provider festgelegt werden, der die Verschlüsselungsfunktionen implementiert. Hier gibt es IBMJSSE und IBMJSSEFIPS – Letztere dem strengen FIPS-Standard der US-Regierung entsprechend – als Standardauswahl. Außerdem können aber auch noch andere Provider beispielsweise auf Hardwarebasis angegeben werden.
Letzter Punkt ist die Festlegung der Version von SSL. In der Regel ist das SSLv3. In Umgebungen mit höheren Sicherheitsanforderungen kann aber auch TLS (Transport Layer Security) gewählt werden. Es werden auch ältere SSL-Versionen unterstützt, die aber kaum noch in Frage kommen dürften.
Auch wenn die Liste der Optionen relativ lang ist, wird man sich in den meisten Fällen doch auf wenige davon beschränken. Die wichtigsten Anpassungen betreffen die Änderung der Dateinamen für die Zertifikate.
Weitere Einstellungen
Im unteren Bereich finden sich bei Weitere Merkmale noch zwei Links. Mit Verschlüsselungs-Token kann eine Schnittstelle zu einer Hardwareoder Softwareeinheit angegeben werden, die beimder Verschlüsselung verwendet wird (Bild 3). In der Regel ist das aber nicht erforderlich. Auch braucht eine Konfiguration der erweiterten Merkmale normalerweise nicht zu erfolgen.
Die Nutzung von SSL-Konfigurationen Die so erstellte SSL-Konfiguration kann nun an verschiedenen Stellen genutzt werden. Ein Beispiel sind die Einstellungen zu LDAP bei Sicherheit/ Benutzer-Registrys/LDAP. Dort muss eine bereits vorab definierte SSL-Konfiguration angegeben werden.