转载

在 WebSphere Cast Iron 中使用 HTTP 连接器，第 1 部分：在 Cast Iron Studio 和 Appliance 中配...

简介

IBM WebSphere Cast Iron 提供了一个平台来将来自领先的软件即服务 (SaaS) 提供商的基于云的应用程序与内部部署的应用程序相集成。WebSphere Cast Iron Studio（以下简称 Cast Iron Studio）是一个开发工具，用于设计、测试和向 Cast Iron Integration Appliance 发布集成项目。Studio 提供了多个实体，可将它们拖到工作区中，将它们配置为组成某个集成项目的一个或多个业务流程的一部分。第 1 部分将介绍如何为 WebSphere Cast Iron Appliance（以下简称 Cast Iron Appliance）和 WebSphere Cast Iron Studio（以下简称 Cast Iron Studio）中的 HTTP 连接器配置 SSL 身份验证和相互 SSL 身份验证。

HTTP 页面通常使用以下两种安全协议之一来加密通信：安全套接字层 (SSL) 或传输层安全 (TLS)。

为什么需要 SSL 证书？

通过常规 HTTP 连接发送的所有通信内容都是 “明文” 形式的，可由任何设法进入客户端与服务器之间的连接中的攻击者读取。如果 “通信” 内容是一个订货单，包含信用卡细节或社会安全号码，这显然很危险。使用 HTTPS 连接时，所有通信都已安全地加密。这意味着，如果某人设法进入了连接中，它们无法解密在客户端与服务器之间传递的任何数据。

SSL 证书由客户端和服务器通过以下两种方式进行交换：

SSL 身份验证
相互 SSL 身份验证

目标

这个由 2 部分组成的系列文章的第 1 部分将介绍如何为 Cast Iron Studio 和 Cast Iron Appliance 中的 HTTP 连接器配置 SSL 身份验证和相互 SSL 身份验证。

前提条件

您需要熟悉 Cast Iron Studio、Cast Iron Appliance 和 HTTP。

系统要求

需要以下产品和资产来配置和部署该模块：

IBM WebSphere Cast Iron Studio
IBM WebSphere Cast Iron Appliance

在 Cast Iron Studio 中配置 SSL 身份验证

在 SSL 身份验证中，客户端会获得一个服务器的证书 (CA)，然后客户端会试着将该服务器的 CA 与客户端的受信任 CA 列表相匹配。

以下步骤可帮助您为 HTTP 连接器配置 SSL 身份验证。为了解释 SSL 身份验证的安全配置，本教程使用了 Apache Tomcat 作为端点服务器，HTTP 调用活动将使用它通过 GET/POST 连接到页面。

在 Cast Iron Studio 中单击 Create Project 来创建一个新项目，如图 1 所示。
图 1. 创建一个新项目 – Cast Iron 工作区
在 Create New Project 对话框中输入项目名称并单击 OK ，如图 2 所示。
图 2. Create New Project 窗口
单击 Activities 选项卡，将 Invoke Request 活动从 HTTP Endpoint 拖放到编排区域，如图 3 所示。 Activities 选项卡显示了所有可用的连接器（以文件夹的形式列出）和这些连接器支持的活动。
图 3. Activities 选项卡 - HTTP 端点
使用 Invoke Request 活动创建一个编排计划如图 4 所示。
图 4. Invoke Request 活动
单击 Checklist 面板中的 Pick Endpoint ，如图 5 所示。
图 5. Pick Endpoint 选项卡
单击 New 按钮打开 Create Endpoint 窗口，如图 6 所示。
图 6. Create New Endpoint 窗口
配置端点属性，如图 7 所示。配置属性包括：
- Host Name
- Port
- Login User Name
- Login Password
- Security - Protocol Version
图 7. 端点配置属性
在 Security enable HTTPS 下，选择 Protocol version 。然后选择 Client Certificate Alias Name ，如图 8a 和 8b 所示。
图 8a. SSL 身份验证的安全设置

图 8b. 相互 SSL 身份验证的安全设置
要测试连接，可以单击 Test Connection ，如图 9 所示。
图 9. 测试连接
测试结果弹出窗口显示了与 HTTP 服务器的连接。单击 OK ，如图 10 所示。
图 10. 测试连接结果
单击 Configure 选项卡，然后配置 URL，如图 11 所示。
图 11. Configure 选项卡
单击 Checklist 中的 Map Inputs ，将 method 的值设置为 GET 和 body ，如图 12a 和 12b 所示。
图 12a. Map Inputs 部分

点击查看大图

关闭 [x]

图 12a. Map Inputs 部分

图 12b. Map Inputs 部分

点击查看大图

关闭 [x]

图 12b. Map Inputs 部分
Invoke Request 活动已配置。拖放 Schedule Job 活动，如图 13 所示。
图 13. 最终的编排计划

回页首

将服务器 CA 证书导入到 CA certificates to the Cast Iron Studio 信任库中

要将 Tomcat 服务器证书导入到 Cast Iron Studio 信任库中，可以执行以下步骤：

找到 Tomcat 服务器证书密钥库，它是在 server.xml 文件中生成和配置的，如图 14 所示。
图 14. server.xml 文件

点击查看大图

关闭 [x]

图 14. server.xml 文件
复制 Tomcat 服务器证书文件，然后导航到安装了 Cast Iron Studio 的工作站。将它复制到 Cast Iron Studio 主目录中，如下所示：
```
c:/Program Files/IBM/WebSphere Cast Iron Studio x.x.x
```
从 Cast Iron Studio JRE 运行 ikeyman.exe 并打开信任库，例如 cacerts ，它位于 Cast Iron Studio security 目录中，如以下代码和图 15 所示。
```
c:/Program Files/IBM/WebSphere Cast Iron Studio x.x.x/security
```
图 15. IBM Key Management

点击查看大图

关闭 [x]

图 15. IBM Key Management
单击 OK 。这会提示您输入信任库密码，如图 16 所示。提供一个有效的密码并单击 OK 。
图 16. Password Prompt 窗口
在 Key database content 下，选择 Signer Certificates 。您会看到如图 17 所示的内容。
图 17. 密钥数据库内容

点击查看大图

关闭 [x]

图 17. 密钥数据库内容
单击 Add 并找到服务器证书，它已复制到 Cast Iron Studio 主目录。单击 OK ，如图 18 所示。
图 18. 浏览服务器证书

点击查看大图

关闭 [x]

图 18. 浏览服务器证书
在标签名称提示处，提供一个名称（如图 19 所示），然后单击 OK 。现在服务器证书已成功导入到 Cast Iron Studio 信任库中。
图 19. 标签名称

点击查看大图

关闭 [x]

图 19. 标签名称
转到 WebSphere Cast Iron Studio ，单击 Verify 选项卡下绿色的 Start 按钮来调用该编排计划，如图 29所示。
该编排计划现在能够成功获得该网页，如图 30所示。

在 Cast Iron Studio 中配置相互 SSL 身份验证

在相互 SSL 身份验证中，客户端和服务器都会通过数字证书验证对方，以便双方都能确定另一方的身份。

除了上述步骤或 SSL 身份验证之外，还需要执行以下步骤才能实现相互 SSL 身份验证。您可以继续执行下一节中的步骤，以及在 Cast Iron Studio 中配置 SSL 身份验证部分介绍的步骤。

回页首

将客户端证书导入到服务器信任库中

从 Cast Iron Studio JRE 运行 ikeyman.exe 并打开 Cast Iron Studio 的密钥库，例如 certs ，它位于 Cast Iron Studio security 目录中，如以下代码和图 20 所示。
```
c:/Program Files/IBM/WebSphere Cast Iron Studio x.x.x/security
```
图 20. IBM Key Management
单击 OK 。这会提示您输入密钥库密码，如图 21 所示。提供一个有效的密码并单击 OK 。
图 21. Password prompt
选择列出的个人证书，比如 factory-supplied identity，然后单击 Extract Certificate 选项卡，如图 22 所示。
图 22. 密钥数据库内容

点击查看大图

关闭 [x]

图 22. 密钥数据库内容
这会提示您输入证书名称和位置。提供相应的名称，如图 23 所示。
图 23. 提取证书
找到 Tomcat 服务器信任库，它是在 server.xml 文件中配置的，如图 24 所示。
图 24. server.xml 文件

点击查看大图

关闭 [x]

图 24. server.xml 文件
从 Cast Iron Studio JRE 运行 ikeyman.exe ，打开 Tomcat 服务器的信任库，如图 25 所示。
图 25. 服务器信任库
将提取的证书添加到 Tomcat 信任库中，如图 29 所示。
图 26. 添加客户端证书

点击查看大图

关闭 [x]

图 26. 添加客户端证书
这会提示您输入标签名称。提供在端点中配置的相同名称，比如 factory-supplied identity，然后单击 OK ，如图 27 所示。
图 27. 标签名称
完成添加操作后，显示的结果如图 28 所示。完成身份验证之后关闭 ikeyman 工具。
图 28. IBM Key Management
转到 WebSphere Cast Iron Studio ，单击 Verify 选项卡下绿色的 Start 按钮来调用该编排计划，如图 29 所示。
图 29. 启动编排计划
该编排计划能够成功获得该网页，如图 30 所示。
图 30. Cast Iron Studio 中已验证的消息输出

已验证了该编排计划的 SSL 身份验证和相互 SSL 身份验证。现在可以将项目部署到运行时或设备中。

回页首

在 Cast Iron Appliance 中配置 SSL 身份验证

可以将 Cast Iron Studio 中开发的 Cast Iron 项目部署到一个物理设备 (WebSphere DataPower Cast Iron Appliance XH40)、虚拟设备 (WebSphere Cast Iron Hypervisor Edition) 或纯云服务 (IBM Cast Iron Cloud) 中。可以配置或验证 Cast Iron Appliance 中配置了 SSL 身份验证的 HTTP 连接器活动。执行以下步骤：

从 Cast Iron Studio to Cast Iron Appliance 上传创建的项目。首先单击 Cast Iron Studio 中的 Publish 选项。这会提示您输入 Cast Iron Appliance 详细信息并单击 OK ，如图 31 所示。
图 31. 将项目发布到 Cast Iron Appliance

点击查看大图

关闭 [x]

图 31. 将项目发布到 Cast Iron Appliance
发布项目后，状态将显示为成功发布，如图 32 所示。
图 32. 成功发布的项目
在 Cast Iron Appliance 中，导航到选项卡左边的 Security 选项。单击它来列出一些选项。单击 Certificates 选项，如图 33 所示。
图 33. Certificates 选项卡

点击查看大图

关闭 [x]

图 33. Certificates 选项卡
现在，在 Trust Store 下，单击 Import ，如图 34 所示。这会显示一个 Import Certificate 窗口。
图 34. Trust Store 窗口

点击查看大图

关闭 [x]

图 34. Trust Store 窗口
在 Import certificate 窗口中提供以下详细信息，如图 35 所示：
- Alias ：提供一个别名。
- Trusted（复选框）： 选中它。
- Content（单选按钮）： 单击 From file 单选按钮并找到服务器证书，它已复制到 Cast Iron Studio 主目录下。
图 35. Import certificate 窗口

点击查看大图

关闭 [x]

图 35. Import certificate 窗口
现在单击 Import ，如图 36 所示。
图 36. 导入证书
服务器证书已成功导入到设备信任库中，如图 37 所示。
图 37. Trust Store 中的已导入的证书

点击查看大图

关闭 [x]

图 37. Trust Store 中的已导入的证书
导入证书后，转到 Cast Iron Appliance 中的 Repository 选项卡。单击从 Cast Iron Studio 上传的项目，如图 41所示。
现在在设备中启动该项目，如图 42所示。
您会看到项目状态为 "Running"。单击这些编排计划，如图 43所示。
您会看到每个作业的状态都是已完成，如图 44所示。
单击 Details 选项卡查找结果，如图 45所示。

在 Cast Iron Appliance 中配置相互 SSL 身份验证

除了上述步骤之外，还需要执行以下步骤来实现相互身份验证。您可以继续执行下一节中的步骤，以及在 Cast Iron Appliance 中配置 SSL 身份验证部分介绍的步骤。

同样在 Cast Iron Appliance 中，导航到选项卡左边的 Security 选项，然后单击它。您会看到一个选项列表。单击 Certificates 选项，如图 38 所示。
图 38. Key Store 窗口
单击 factory-supplied identity。这会显示一个证书，然后单击 Export 选项，如图 39 所示。
图 39. 导出证书窗口
这会弹出另一个窗口，您需要在其中选择要导出的格式，如图 40 所示。
图 40. 导出的证书的格式窗口
现在使用 ikeyman.exe 从 Studio JRE 将导出的证书导入到 Tomcat 信任库中，这已在将客户端证书导入到服务器信任库中部分介绍。
导入证书后，转到 Cast Iron Appliance 中的 Repository 选项卡。单击从 Cast Iron Studio 上传的项目，如图 41 所示。
图 41. Repository 选项卡下已上传的项目

点击查看大图

关闭 [x]

图 41. Repository 选项卡下已上传的项目
现在，在 Cast Iron Appliance 中启动该项目，如图 42 所示。
图 42. 启动 HTTP 连接器项目
您现在会看到项目状态为 "Running"。单击这些编排计划，如图 43 所示。
图 43. HTTP 连接器项目的配置细节

点击查看大图

关闭 [x]

图 43. HTTP 连接器项目的配置细节
您会看到每个作业的状态都是已完成，如图 44 所示。
图 44. 作业状态为已完成

点击查看大图

关闭 [x]

图 44. 作业状态为已完成
单击 Details 选项卡查找结果，如图 45 所示。
图 45. 作业输出细节

点击查看大图

关闭 [x]

图 45. 作业输出细节