配置企业管理器通信 › 针对 HTTPS 配置企业管理器 Web 服务器 › 默认的 Jetty 配置文件 › 修改 em-jetty-config.xml 文件

修改 em-jetty-config.xml 文件

您可以在 em-Jetty-config.xml 文件中修改 SSL 的许多组件。

有关 Jetty 的更多信息，请参阅 http://docs.codehaus.org/display/JETTY/How+to+configure+SSL。

• 通过更改 port 属性的值更改默认值为 8444 的 HTTPS 端口，例如在以下示例中：

  <Set name="port">8444</Set>
  

• introscope.config 系统属性指定了 config 目录的位置。 此位置是可配置的。 企业管理器 Web 服务器可在启动时设置 introscope.config 系统属性。
• 默认情况下，SSL 侦听程序会配置为使用位于 /internal/server/keystore（相对于 config 目录的相对路径）的 keystore。 此 keystore 包含一个不可靠的自签名证书。 将您自己的 keystore 替换成一个包含由公认的证书颁发机构 (CA) 签署的证书的 keystore。
• 默认的 keystore 密码是 password。 默认情况下，会对 em-jetty-config.xml 和 webview-jetty-config.xml 中的明文密码进行模糊处理。 模糊化的密码以 OBF 开头。 可以通过删除 OBF 来提供纯文本密码。 有关详细信息，请参阅 http://docs.codehaus.org/display/JETTY/How+to+configure+SSL。
• 默认情况下，SSL 配置为接受自签名证书。 SSL 不会验证客户端 URL 中的主机名是否与数字证书中的主机名匹配。 此配置可确保 SSL 立即应用默认 keystore 中的不可信证书。 如果您需要进行高度安全的身份验证，请创建一个包含可信证书的 keystore。 然后，请在 XML 中设置以下属性，将默认 keystore 替换成您自己的 keystore：

  <Set name="validateCertificates">true</Set>
  <Set name="verifyHostnames">true</Set>
  <Set name="keystore"><SystemProperty name="introscope.config" default="./config" />/internal/server/keystore</Set>
  <Set name="password">password</Set>
  

• 此外，若需要进行客户端身份验证，请创建一个包含客户端证书的 truststore，并在 XML 中设置以下属性，将默认 truststore 替换成您自己的 truststore：

  <Set name="needClientAuth">true</Set>
  <Set name="truststore"><SystemProperty name="introscope.config" default="./config" />/internal/server/keystore</Set>
  <Set name="trustPassword">password</Set>
  

• 如果需要进行客户端身份验证，必须为代理和 Workstation 配置一个包含企业管理器 Web 服务器信任的证书的 keystore。

  要设置启用的密码套件，请将 cipherSuites 属性设置为一个密码套件列表：

  <Set name="cipherSuites">
    <Array type="java.lang.String">
      <Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
    </Array>
  </Set>
  

  要使用 SSL，代理和 Workstation 必须具备与企业管理器相同的启用密码套件。 您可以限定启用密码套件执行以下操作：

  • 预防弱密码套件的漏洞
  • 允许匿名连接
  • 不对数据进行加密。
• 企业管理器使用 maxThreads 属性来限制企业管理器可为其提供服务的 HTTPS 代理连接的数量。 如果线程不充足，企业管理器将无法从中识别连接的代理或进程度量标准。

  使用 HTTPS 时，企业管理器仅服务于在 maxThreads 属性中配置的数量的代理。 允许的代理连接数是在 apm-events-thresholds-config.xml 文件中的 introscope.enterprisemanager.agent.connection.limit property 属性中配置的。 请确保 maxThreads 值大于或等于 introscope.enterprisemanager.agent.connection.limit 值。 当代理配置为通过 HTTPS 进行连接时，如果没有足够的线程，某些 HTTPS 代理可能不会显示在客户端中或报告任何度量标准。

  注意：当 maxThreads 属性限制企业管理器服务的代理数时，企业管理器和代理日志将不包含有关非服务代理的错误、警告或消息。

修改 em-Jetty-config.xml 以重置默认标题大小

如果在访问 CEM 控制台时偶尔看到空白页，您可以重置默认请求标题大小限制 (4 KB)。 在 em-jetty-config.xml 文件中重置标题大小限制。

请执行以下步骤：

1. 在 MOM 中浏览至 em-jetty-config.xml 文件，然后在文本编辑器中将其打开。
2. 通过下列行找到该部分：

   <New class="com.wily.webserver.NoNPESocketConnector">
   

3. 修改具有以下值的 "NoNPESocketConnector"：

   <set name="headerBufferSize">8192</Set>"
   <Set name="RequestBufferSize">16384</Set>"
   

   修改后的部分将显示为以下代码段：

   <Call name="addConnector">
       <Arg>
         <New class="com.wily.webserver.NoNPESocketConnector">
           <Set name="port">8081</Set>
          <set name="headerBufferSize">8192</Set>
          <Set name="RequestBufferSize">16384</Set>
           <Set name="ThreadPool">
             <New class="org.mortbay.thread.BoundedThreadPool">
               <Set name="minThreads">10</Set>
               <Set name="maxThreads">100</Set>
               <Set name="maxIdleTimeMs">60000</Set>
             </New>
           </Set>
         </New>
       </Arg>
     </Call>
   

4. 保存并关闭文件。
5. 浏览至每个 MOM 和收集器上的 IntroscopeEnterpriseManager.properties 文件。
6. 取消注释以下行：

   introscope.enterprisemanager.webserver.jetty.configurationFile=em-jetty-config.xml
   

7. 保存并关闭 IntroscopeEnterpriseManager.properties 文件。