啟用 HTTPS 支援
以下各節描述啟用 HTTPS 支援所需的步驟。這些步驟與啟用 HTTP 支援中的步驟相似,但是增加了產生和存取 SSL 憑證所需的步驟。
啟用 HTTPS 支援
-
為 HTTPS 通道 Servlet 產生自我簽署的憑證
-
修改 HTTP 通道 Servlet .war 檔案的部署描述元,使其:
-
部署 HTTP 通道 Servlet。您可以在下列伺服器上部署 HTTP 通道 Servlet:
-
配置代理程式的 httpsjms 連線服務,並啟動代理程式。
-
配置 HTTPS 連線。
以下各節中將更加詳細地說明這些步驟中的每一步。
步驟 1. 為 HTTPS 通道 Servlet 產生自我簽署的憑證
在假設用戶端正與已知且可信任的伺服器通訊的情況下,Message Queue 的 SSL 支援可保護線上資料。因此,僅使用自我簽署的伺服器憑證即可實施 SSL。在 httpsjms 連線服務架構中,HTTPS 通道 Servlet 所扮演的角色,就是代理程式與應用程式用戶端的伺服器。
執行 keytool 公用程式,以便為通道 Servlet 產生自我簽署的憑證。在指令提示符號下輸入以下內容:
JRE_HOME/bin/keytool -servlet keyStoreLocation
此公用程式將提示您提供所需的資訊。(在 Unix 系統上,需要以超級使用者 (root) 的身份執行 keytool,才擁有建立金鑰庫的權限。)
首先,keytool 會提示您提供金鑰庫密碼,以及某些組織資訊,然後提示您確認。接收到確認之後,它會在產生金鑰對時暫停。然後它會要求您提供密碼,以鎖定特定的金鑰對 (金鑰密碼);請按 Return 鍵以回應此提示:這會使金鑰密碼與金鑰庫密碼相同。
備註 –
請記住您提供的密碼:稍後您必須將此密碼提供給通道 Servlet,它才可開啟金鑰庫。
JDK keytool 公用程式會產生自我簽署的憑證,並將它放置在 Message Queue 的金鑰庫檔案中,該檔案位於 keyStoreLocation 引數所指定的位置。
備註 –
HTTPS 通道 Servlet 必須能夠查看此金鑰庫。請確定將位於 keyStoreLocation 中所產生的金鑰庫移動/複製到 HTTPS 通道 Servlet 可存取的位置 (請參閱步驟 3. 部署 HTTPS 通道 Servlet)。
步驟 2. 修改 HTTP 通道 Servlet .war 檔案的描述元檔案
HTTP 通道 Servlet 的 .war 檔案包括部署描述元,其中包含 Web 伺服器/應用程式伺服器載入和執行 Servlet 所需的基本配置資訊。
imqhttps.war 檔案的部署描述元無法知道您已將通道 Servlet 所需的金鑰庫檔案置於何處。所以您需要編輯通道 Servlet 的部署描述元 (XML 檔案),以便在部署 imqhttps.war 檔案之前指定金鑰庫的位置和密碼。
修改 HTTPS 通道 Servlet .war 檔案
-
將 .war 檔案複製到暫存目錄。
cp /usr/share/lib/imq/imqhttps.war /tmp (Solaris)
cp /opt/sun/mq/share/lib/imqhttps.war /tmp (Linux)
cp IMQ_HOME/lib/imqhttps.war /tmp (Windows)
-
將此暫存目錄變為您的目前目錄。
$ cd /tmp
-
擷取 .war 檔案的內容。
$ jar xvf imqhttps.war
-
列出 .war 檔案的部署描述元。
$ ls -l WEB-INF/web.xml
-
編輯 web.xml 檔案,為 keystoreLocation 和 keystorePassword 引數 (如有必要,還包括 servletPort 和 servletHost 引數) 提供正確的值。
-
重新組合 .war 檔案的內容。
$ jar uvf imqhttps.war WEB-INF/web.xml
此時,您就可以使用已修改的 imqhttps.war 檔案來部署 HTTPS 通道 Servlet。(如果您擔心金鑰庫密碼洩漏,則可以使用檔案系統權限來限制其他人對 imqhttps.war 檔案的存取。)
步驟 3. 部署 HTTPS 通道 Servlet
您可以將 HTTP 通道 Servlet 部署為 Sun Java System Web Server 或 Sun Java System Application Server 上的 Web 歸檔 (WAR) 檔案。
將 HTTPS 通道 Servlet 部署為 .war 檔案,需要使用 Web 伺服器/應用程式伺服器所提供的部署機制。HTTPS 通道 Servlet .war 檔案 (imqhttps.war ) 的所在目錄位置依作業系統而異 (請參閱附錄 AMessage QueueTM 資料的特定平台位置)。
您應確保已為 Web 伺服器啟動加密,從而讓用戶端與代理程式之間進行端對端安全通訊。
部署為 Web 歸檔檔案
如需在 Sun Java System Web Server 上進行部署的相關資訊,請參閱在 Sun Java System Web Server 上部署 HTTPS 通道 Servlet。
如需在 Sun Java System Application Server 上進行部署的相關資訊,請參閱在 Sun Java System Application Server 上部署 HTTPS 通道 Servlet。
在 Sun Java System Web Server 上部署 HTTPS 通道 Servlet
本節描述如何將 HTTPS 通道 Servlet 部署為 Sun Java System Web Server 上的 .war 檔案。您可以透過使用 Web 瀏覽器存取 Servlet URL,來驗證 HTTPS 通道 Servlet 是否已部署成功。它應顯示狀態資訊。
在部署 HTTPS 通道 Servlet 之前,請確保 JSSE .jar 檔案包含在 Web 伺服器的類別路徑中。執行此作業的最簡單方法是將 jsse.jar、jnet.jar 和 jcert.jar 檔案複製到 WebServer_TOPDIR/bin/https/jre/lib/ext。
將 HTTPS 通道 Servlet 部署為 .war 檔案
-
在瀏覽器型的管理 GUI 中,選擇 [虛擬伺服器類別] 標籤。按一下 [管理類別]。
-
選擇適當的虛擬伺服器類別名稱 (例如 defaultClass),然後按一下 [管理] 按鈕。
-
選擇 [管理虛擬伺服器]。
-
選擇適當的虛擬伺服器名稱,然後按一下 [管理] 按鈕。
-
選擇 [Web 應用程式] 標籤。
-
按一下 [部署 Web 應用程式]。
-
為 [WAR 檔案開啟] 和 [WAR 檔案路徑] 欄位選擇適當的值,讓其指向已修改的 imqhttps.war 檔案 (請參閱步驟 2. 修改 HTTP 通道 Servlet .war 檔案的描述元檔案。)
-
在 [應用程式 URI] 欄位中輸入路徑。
[應用程式 URI] 欄位值為通道 Servlet URL 的 /contextRoot 部分:
https://hostName :portNumber / contextRoot/tunnel
舉例來說,如果您將 contextRoot 設定為 imq,則 [應用程式 URI] 欄位應為:
/imq
-
輸入應部署 Servlet 的安裝目錄路徑 (通常位於 Sun Java System Web Server 安裝根目錄下)。
-
按一下 [確定]。
-
重新啟動 Web 伺服器實例。
此時,即可從以下 URL 存取 Servlet:
https://hostName:portNumber/imq/tunnel
現在,用戶端就可以使用此 URL 連線至使用安全 HTTPS 連線的訊息服務。
停用伺服器存取記錄
您不必停用伺服器存取記錄,但是如果您停用記錄,將會獲得更好的效能。
停用伺服器存取記錄
在 Sun Java System Application Server 上部署 HTTPS 通道 Servlet
本節描述如何將 HTTPS 通道 Servlet 部署為 Sun Java System Application Server 上的 .war 檔案。
您需要執行下列兩個步驟:
-
使用應用程式伺服器部署工具來部署 HTTPS 通道 Servlet。
-
修改應用程式伺服器實例的 server.policy 檔案。
使用部署工具
以下程序顯示如何在應用程式伺服器環境中部署 HTTPS 通道 Servlet。
在應用程式伺服器環境中部署 HTTPS 通道 Servlet
-
在網路型的管理 GUI 中,選擇
[應用程式伺服器] > [實例] > [server1] > [應用程式] > [Web 應用程式]
-
按一下 [部署] 按鈕。
-
在 [檔案路徑:] 文字欄位輸入 HTTPS 通道 Servlet .war 檔案 (imqhttps.war) 的位置,再按一下 [確定]。
imqhttps.war 檔案的位置會因您的作業系統而異 (請參閱附錄 AMessage QueueTM 資料的特定平台位置)。
-
設定 [環境根目錄] 文字欄位的值,再按一下 [確定]。
[環境根目錄] 欄位值為通道 Servlet URL 的 /contextRoot 部分:
https://hostName :portNumber / contextRoot/tunnel
例如,您可以將 [環境根目錄] 欄位設定為:
/imq
接下來的畫面會顯示,通道 Servlet 已成功部署並且依預設已啟用,以及該通道 Servlet 的位置。在本例中其位置如下:
/var/opt/SUNWappserver8/domains/domain1/server1/applications/ j2ee-modules/imqhttps_1
此時,即可從以下 URL 存取 Servlet:
https://hostName:portNumber/ contextRoot/tunnel
現在,用戶端就可以使用此 URL 連線至使用 HTTPS 連線的訊息服務。
修改 server.policy 檔案
應用程式伺服器會實施一組預設的安全策略,除非將其修改,否則這組安全策略會阻止 HTTPS 通道 Servlet 接受來自 Message Queue 代理程式的連線。
每個應用程式伺服器實例,皆有一個包含安全策略或規則的檔案。例如在 Solaris 上,server1 實例的此檔案位置是:
/var/opt/SUNWappserver8/domains/domain1/server1/config/ server.policy
若要讓通道 Servlet 接受來自 Message Queue 代理程式的連線,則必須在此檔案中新增一個項目。
修改應用程式伺服器的 server.policy 檔案
-
開啟伺服器策略檔案。
-
增加以下項目:
grant codeBase "file:/var/opt/SUNWappserver8/domains/domain1/server1/ applications/j2ee-modules/imqhttps_1/-” { permission java.net.SocketPermission "*", “connect,accept,resolve"; };
步驟 4. 配置 httpsjms 連線服務
預設情況下,不會針對代理程式啟動 HTTPS 支援,所以您必須重新配置代理程式,以啟動 httpsjms 連線服務。重新配置後,便可如啟動代理程式中所述啟動代理程式。
啟動 httpsjms 連線服務
-
開啟代理程式的實例配置檔案。
實例配置檔案的儲存目錄名稱,與此配置檔案相關聯之代理程式實例名稱 (instanceName) 相同 (請參閱附錄 AMessage QueueTM 資料的特定平台位置):
…/instances/ instanceName /props/config.properties
-
將 httpsjms 值增加至 imq.service.activelist 特性:
imq.service.activelist=jms,admin,httpsjms
啟動時,代理程式會尋找在其主機電腦上執行的 Web 伺服器和 HTTPS 通道 Servlet。但是,若要存取遠端通道 Servlet,您可以重新配置 servletHost 和 servletPort 連線服務特性。
您還可以重新配置 pullPeriod 特性,以提昇效能。步驟 4. 配置 httpsjms 連線服務中詳細介紹了 httpsjms 連線服務配置特性。
步驟 5. 配置 HTTPS 連線
用戶端應用程式必須使用已適當配置的連線工廠受管理物件,以建立與代理程式的 HTTPS 連線。
然而,用戶端必須能夠存取 Java Secure Socket Extension (JSSE) 所提供的 SSL 程式庫,而且必須具有根憑證。SSL 程式庫隨附於 JDK 1.4。如果您使用較舊的 JDK 版本,請參閱配置 JSSE,否則請繼續執行匯入超級使用者憑證。
解決這些問題後,就可以繼續配置 HTTPS 連線。
配置 JSSE
配置 JSSE
-
將 JSSE .jar 檔案複製到 JRE_HOME/lib/ext 目錄。
jsse.jar, jnet.jar, jcert.jar
-
以靜態方式增加 JSSE 安全性提供者:將
security.provider.n=com.sun.net.ssl.internal.ssl.Provider
增加至 JRE_HOME/lib/security/java.security 檔案 (其中 n 為安全性提供者套裝軟體的下一個可用優先權號碼)。
-
如果未使用 JDK1.4,則您需要使用可啟動用戶端應用程式之指令的 -D 選項,來設定以下 JSSE 特性:
java.protocol.handler.pkgs=com.sun.net.ssl.internal.www.protocol
匯入超級使用者憑證
如果 CA (簽署 Web 伺服器憑證的單位) 的根憑證依預設不在信任資料庫中,或者您使用的是專用 Web 伺服器/應用程式伺服器憑證,則必須將此憑證增加至信任資料庫。如果是此情況,請遵循以下說明,否則請移至配置連線工廠。
假設此憑證儲存在 certFile 中,且 trustStoreFile 為您的金鑰庫,請執行以下指令:
JRE_HOME/bin/keytool -import -trustcacerts -alias aliasForCertificate -file certFile -keystore trustStoreFile
對以下問題回答 YES:Trust this certificate?
您還需要使用可啟動用戶端應用程式之指令的 -D 選項,來指定以下 JSSE 特性:
javax.net.ssl.trustStore=trustStoreFile javax.net.ssl.trustStorePassword=trustStorePasswd
配置連線工廠
若要啟用 HTTPS 支援,您必須將連線工廠的 imqAddressList 屬性設定為 HTTPS 通道 Servlet URL。HTTPS 通道 Servlet URL 的一般語法如下:
https://hostName:portNumber /contextRoot/tunnel
其中 hostName:portNumber 為託管 HTTPS 通道 Servlet 之 Web 伺服器名稱和連接埠;contextRoot 為在 Web 伺服器上部署通道 Servlet 時的路徑設定。
如需連線工廠屬性的一般資訊與 imqAddressList 屬性的特定資訊,請參閱「Message Queue Developer's Guide for Java Clients」。
您可以透過以下方法之一設定連線工廠屬性:
-
使用可建立連線工廠受管理物件 (請參閱新增連線工廠) 之 imqobjmgr 指令的 -o 選項,或在使用管理主控台 (imqadmin) 建立連線工廠受管理物件時設定屬性。
-
使用可啟動用戶端應用程式之指令的 -D 選項 (請參閱「Message Queue Developer's Guide for Java Clients」)。
-
當您透過程式設計由用戶端應用程式碼建立連線工廠後,請使用 API 呼叫以設定屬性 (請參閱「Message Queue Developer's Guide for Java Clients」)。
使用單一 Servlet 存取多重代理程式
若要執行多個代理程式,您無需配置多個 Web 伺服器和 Servlet 實例。您可以讓同時執行的代理程式,共用單一 Web 伺服器和 HTTPS 通道 Servlet 實例。如果多個代理程式實例共用一個通道 Servlet,您必須配置 imqAddressList 連線工廠屬性,配置內容如下:
https://hostName:portNumber /contextRoot/tunnel?ServerName= bkrHostName:instanceName
其中 bkrHostName 為代理程式實例主機名稱;instanceName 為用戶端所要存取的特定代理程式實例名稱。
若要檢查您為 bkrhostName 和 instanceName 輸入的字串是否正確,請從瀏覽器存取 Servlet URL,並產生 HTTPS 通道 Servlet 的狀態報告。此報告將列出 Servlet 所存取的所有代理程式:
HTTPS tunnel servlet ready. Servlet Start Time : Thu May 30 01:08:18 PDT 2002 Accepting secured connections from brokers on port : 7674 Total available brokers = 2 Broker List : jpgserv:broker2 cochin:broker1 |
使用 HTTP 代理
如果您要使用 HTTP 代理伺服器存取 HTTPS 通道 Servlet:
-
將 http.proxyHost 系統特性設定為代理伺服器主機名稱。
-
將 http.proxyPort 系統特性設定為代理伺服器連接埠號。
您可以使用可啟動用戶端應用程式之指令的 -D 選項來設定這些特性。
- © 2010, Oracle Corporation and/or its affiliates