背景介绍
由于客户集团检查发现很多网站系统使用websphere中间件服务都是采用http协议提供网站服务,集团漏洞扫描出来需要对其进行安全加固,需要将系统http改造成https, 已确保业务系统不会被黑客攻击与篡改。现介绍如何在websphere环境下配置https协议方法来保证系统能正常访问。
配置秘钥与证书
配置https,需要调用图形界面,请登录服务器图形窗口或是使用xmanger软件调出图形窗口来安装,这里就不详细介绍配置方法,直接进入配置主题。 启动his bin目录下的ikeyman(x11, export DISPLAY, export LANG等,LANG是中文启动也会中文)
1、新建密钥
2、 类型CMS,指定存放地点和名称
3、 设置密码、密码保存到文件(名字.sth)
4、 “个人证书”中“创建自签名”
5、填写基本信息。有效期20年
完成后概况
配置https
1、备份现有配置文件(plugin-cfg.xml& httpd.conf)
cd /usr/IBM/HTTPServer/Plugins/config/webserver1/
cp plugin-cfg.xml plugin-cfg.xml.bak.202010
cd /usr/IBM/HTTPServer/conf/httpd.conf
cp httpd.conf httpd.conf.bak.202010
2、在was 控制台新增虚拟主机 443端口
环境->虚拟主机进入,点击“新增”,进入新增页面
点击“确定”,新增成功
点击虚拟主机nmwxcs_host进入以下页面
点击右侧“主机别名”,进入后,再点击“新增”按钮,
点击“确定”,完成!
3、在was 控制台更新 Web 服务器插件
更新plugin-cfg.xml保存在/usr/WebSphere/AppServer/config/cells/ 目录下
4、重启was服务
5、传播更新插件文件到IHS
cp /usr/WebSphere/AppServer/config/cells/plugin-cfg.xml /usr/IBM/HTTPServer/Plugins/config/webserver1/
6、增加SSL配置到IHS配置 httpd.conf 文件中
LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
Listen 443
<VirtualHost *:443>
SSLEnable
KeyFile /usr/IBM/HTTPServer/bin/sbkey/serverkey.kdb
</VirtualHost>
LoadModule rewrite_module modules/mod_rewrite.so
<Location "/zhrsClient">
RewriteEngine on
RewriteCond %{SERVER_PORT} =80
RewriteRule ^(.*) https://%{SERVER_NAME}%{REQUEST_URI}
</Location>
8、重启IHS服务
./apachectl stop
./apachectl start
总结
通过HTTP改造成HTTPS使网站系统信息传输变得更加安全,但同时也会让系统会带来巨大的性能损耗,使得用户体验变得比较差,这也是一直制约着 HTTPS 普及的重要原因之一。为确保网站系统的安全性,牺牲一点服务资源性能也是值得的。后续还可以单独从HTTPS连接数上去做限流控制,可以减轻高并发对服务器压力。
此文章转载|jaymarco 博客
来源地址|http://blog.itpub.net/28833846/viewspace-2728385/
