Connections mit IBM HTTP Server - Portumschreibung und SSL-Zertifikat

[oliK]

Hallo,

ich nutze in Kombination mit Verse on Premises eine Minimalversion von Connections 5.5 mit Files und Profiles.
Jede Connections-Komponente läuft auf einem anderen Port, z.B. Profiles auf 9445 und Files auf 9446.
Dem Server habe ich einen IBM HTTP Server vorgestellt, in den ein gültiges (gekauftes) Zertifkat eingebunden wurde und der alle Anfragen auf 443 entgegennimmt. Die Schnittstelle zum VoP und Single Sign On über LTPA-Token funktioniert.

Nun habe ich folgendes Problem und finde dazu nicht den richtigen Ansatz:
- Die im VoP eingebundenen https-Links auf Files oder Profiles laufen nicht auf 443, sondern auf die Ports 9445 und 9446.
- Die Ports 9445 und 9446 sind nicht durch das Zertifkat abgedeckt, es kommt ein Defaultzertifikat, das die Browser in erster Instanz als problematisch ansehen.

Muss man nun das Zertifikat für die anderen Ports auch hinterlegen und wenn ja wie oder bekommt man es hin, dass die https-Links mit Port 443 generiert werden? Wenn ich direkt über URL auf den Connections-Server über Port 443 gehe funktioniert dies, alle dort eingebunden Links auf das eigene System zielen aber wieder auf die Highports.

[nmeisenzahl]

Hallo oliK,

wenn ich dich richtig verstanden habe läuft vor dein Connections Umgebung schon ein IHS? In diesem Fall musst du nur die URLs in der LotusConnections-config.xml anpassen. Eine Anleitung findest du hier -> https://www.ibm.com/support/knowledgecenter/SSYGQH_6.0.0/admin/install/t_update_web_addresses_in_IHS.html

Zudem würde ich das IHS Zertifikat im WebSphere trusten -> https://www.ibm.com/support/knowledgecenter/en/SSYGQH_6.0.0/admin/install/t_exchange_keys_network.html

Die Änderungen benötigen einen Neustart.

Gruß Nico

[oliK]

Vermutlich habe ich mich zu wenig mit dem Checkout/Checkin-Prozess im Websphere beschäftigt.
Ich hatte die Ports bereits in der XML angepasst, diese aber nur per Editor bearbeitet.
Die Ports wurden bei irgendeinem Neustart wieder in die XML übertragen.
Gibt es dazu eine einfache Anleitung? In der Doku wird nur Checkout und später Checkin der Konfiguration erwähnt.

[nmeisenzahl]

Hi,
ich kann dir nur empfehlen die Konfigurationsdateien (xmls) über checkout/checkin zu bearbeiten. Der große Vorteil ist der Syntax-check sowie das automatische synchronisieren zu allen Nodes.

Sofern du die Änderungen händisch vornehmen willst musst du dies im Dmgr Profil durchführen (sonst werden diese wieder überschrieben) und anschließend einen Full-Synchronistation der Nodes durchführen.


Gruß

[oliK]

Alle URLS? Oder nur die für Files und Profiles?
Ich habe testweise mal alle angepasst, nach einem Neustart ging dann zwar alles sauber auf 443, aber bei jeglichen Zugriffen auf Files bekomme ich ein "access denied". Ich habe es darum erstmal zurückgestellt.

[nmeisenzahl]

Alle., wie folgend:
<sloc:href>
      <sloc:hrefPathPrefix>/app</sloc:hrefPathPrefix>
      <sloc:static href="http://cnx.test.local" ssl_href="https://cnx.test.local"/>
      <sloc:interService href="https://cnx.test.local"/>
</sloc:href>

Sonst gern das SystemOut.log posten.

[oliK]

Fehler bereits gefunden. Ich musste noch die restricted-policy-jars durch die unrestricted-policy-jars austauschen.
Das genutzte Zertifikat is mit 4096-bit verschlüsselt. Dies war bisher unproblematisch. Connections Files mochte das jetzt aber nicht mehr, sobald das Zertifikat über Port 443 aktiv genutzt wurde. War ein bisschen verwirrend. Zum Glück gibt es Log-Dateien.