SSL-Konfiguration beim Workplace

Um beim IBM Workplace mit SSL arbeiten zu können, müssen zunächst so genannte SSL-Konfigurationen erstellt werden. Welche Einstellungen dabei gesetzt werden müssen, wird in diesem Artikel erläutert.

Nach der Installation arbeitet der IBM Workplace Server mit einer Standardkonfiguration für SSL, die auf einem selbstsignierten Zertifikat basiert. Diese Konfiguration ist für Testumgebungen ausreichend, nicht aber für den produktiven Einsatz. Für die Nutzung von SSL lassen sich aber relativ einfach so genannte SSL-Konfigurationen erstellen, in denen alle erforderlichen Parameter abgelegt sind.

Die Schnittstelle

Die Konfiguration der SSL-Einstellungen erfolgt im Bereich Sicherheit/SSL. Nach dem Aufruf wird ein Dialog mit der Überschrift SSL-Konfigurationsrepertoires angezeigt, in dem sich die aktuell definierten SSL-Konfigurationen finden. Die Liste besteht nach der Installation nur aus einem Eintrag, den DefaultSSLSettings (Bild 1). Es bietet sich an, diesen unverändert zu lassen und weitere Konfigurationen zu definieren, wenn man daran Anpassungen vornehmen möchte.

Bild 1: Die Liste der SSL-Konfigurationen.
Bild 1: Die Liste der SSL-Konfigurationen.

Nach der Auswahl von Neu für die Erstellung einer neuen Konfiguration beziehungsweise dem Anklicken einer bestehenden Konfiguration können in der Maske weitere Einstellungen vorgenommen werden (Bild 2). Bei neuen Konfigurationen muss zunächst ein Aliasname angegeben werden.

Bild 2: Die Festlegungen zu einer SSL-Konfiguration.
Bild 2: Die Festlegungen zu einer SSL-Konfiguration.

Der nächste Parameter ist der Name der Schlüsseldatei. Die Standarddateien werden im Verzeichnis etc unterhalb des Installationsverzeichnisses des IBM WebSphere Application Server (WAS) abgelegt. Als Format für die Datei werden die Formate JKS, PKCS12 und JCEK unterstützt. Das Standardformat ist JKS.

Die Schlüsseldatei enthält die öffentlichen und privaten Schlüssel des Zertifikats für diesen Server. Gegebenenfalls kann über die Bezeichnung für die Schlüsseldatei auch auf eine Hardwarekomponente verwiesen werden. Dabei muss es sich um eine vom WAS unterstützte Lösung handeln, die auf diese Weise installiert werden kann. Neben den Informationen zu dem Serverzertifikat muss auch eine Trust-Datei angegeben werden. Dabei handelt es sich um das Trusted Root Certificate oder auch Zertifikat einer vertrauenswürdigen Stammzertifizierungsstelle. Dieses Zertifikat enthält grundsätzlich nur den öffentlichen Schlüssel des Trusted Root. Dieses Zertifikat ist erforderlich, um die Gültigkeit anderer Zertifikate zu verifizieren, die von dieser Stelle ausgestellt wurden.

Mit dem nächsten Eintrag wird festgelegt, ob auch mit der Client-Authentifizierung gearbeitet werden soll. Die Client-Authentifizierung über SSLv3 ist grundsätzlich sinnvoll, setzt aber voraus,dass die Systeme über ein Client-Zertifikat verfügen. Das Attribut muss vom HTTP-Server unterstützt werden.

Im nächsten Feld kann die Sicherheitsstufe festgelegt werden. Hier wird praktisch immer mit Hoch gearbeitet, um eine 128-Bit-Verschlüsselung zu verwenden. Nur in Umgebungen, die von Exportrestriktionen betroffen sind, muss man gegebenenfalls auf niedrigere Sicherheitsstufen zurückschalten.