WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）

核心提示： 对于 WebSphere Application Server，最重要的 cookie 是 LTPA cookie，WebSphere Application Server V7 高级安全性加强，第 1 部分：安全性加强概述和方法（下）(6)，因此，它应该配置为只通过 SSL 发送，那么在改变密

对于 WebSphere Application Server，最重要的 cookie 是 LTPA cookie，因此，它应该配置为只通过 SSL 发送。

图 8. 把 LTPA cookie 限制为只使用 SSL

通过在会话管理面板上指定相似的设置，还可以把 HTTP Session（默认情况下是 JSESSION） cookie 限制为只使用 SSL。

警告：在安装 APAR PM00610 之前，Requires SSL 标志在 WebSphere Application Server V7 中无效。一定要安装它。

20. 确保定期改变 LTPA 加密密钥

WebSphere Application Server 使用 LTPA 加密密钥加密各种用户令牌（包括 LTPA cookie）。与任何密码术密钥一样，应该定期改变这些密钥。根据 WebSphere Application Server 和补丁级别不同，自动密钥生成在默认情况下可能启用了，也可能关闭了；版本越新，默认情况下它关闭的可能性越大。

应该确保定期改变 LTPA 加密密钥。可以启用自动 LTPA 密钥替换（见图 9），也可以手工地重新生成密钥（见图 10）。无论选择哪种方式，一定要考虑 LTPA 密钥不一致的问题：

首先，如果计算单元中的某些节点在一段时间（比如密钥寿命的两倍）内一直停机，它们就会丧失通信能力。

第二，如果与其他组件（比如另一个计算单元或 WebSphere DataPower）共享 LTPA 密钥，那么在改变密钥时，就需要在所有地方更新它们，这通常会造成停机。