FileNet P8 Application Engine, FileNet P8 Content Engine, Versión 5.0.+              

Habilitación de SSL para Content Engine

Cuando habilita SSL, se añade un certificado del servidor al servidor de Servicios de directorios (para la autenticación). Asimismo, el certificado de CA se añade en dos ubicaciones diferentes en el servidor de Content Engine (la ubicación de vía de acceso del JDK es para la autorización). Asegúrese de que se añade el certificado correcto a las tres ubicaciones.

Para habilitar SSL para Content Engine:

  1. Obtenga e instale un certificado del servidor y un certificado de CA en el servicio de directorio. Estos certificados está disponibles en entidades emisora de certificados independientes como, por ejemplo, VeriSign, o puede generar sus propios certificados si tiene instalado el software de gestión de certificados necesario.
  2. Habilite SSL en el servicio de directorio y establezca el número de puerto SSL. El número de puerto SSL predeterminado es 636; no obstante, si tiene más de un servicio de directorio que utiliza SSL en el servidor, es posible que deba utilizar un número de puerto distinto al predeterminado. Consulte la documentación del servidor de directorios para obtener instrucciones.
  3. En el servidor de Content Engine, añada el certificado de CA al almacén de claves del servidor de aplicaciones, si no se ha añadido todavía.
  4. En el servidor de Content Engine, añada el certificado de CA al almacén de claves de JDK (Java™), si no se ha añadido todavía. Puede utilizar el almacén de claves predeterminado o crear su propio almacén de claves en una ubicación personalizada.
    • Para utilizar el almacén de claves Java predeterminado del JDK, siga estos pasos:
      1. Determine la versión de Java que utiliza el servidor de aplicaciones y la ubicación de JAVA_HOME.
      2. Utilice la herramienta de claves para importar el certificado de CA al almacén de claves de Java en %JAVA_HOME%\jre\lib\security\cacerts.
      3. Para aumentar la seguridad, cambie la contraseña predeterminada.
    • Para utilizar su propio almacén de claves (en lugar del almacén de claves predeterminado del JDK), siga estos pasos:
      1. Añada los siguientes parámetros del sistema a la línea de mandatos Java en el script de inicio del servidor de aplicaciones:
        -Djavax.net.ssl.trustStore=
        vía_acceso_archivo_almacén_claves
        -Djavax.net.ssl.trustStorePassword=
        contraseña_almacén_claves
      2. Utilice la herramienta de claves Java para importar el certificado de CA a su propio almacén de claves.
  5. Utilice Enterprise Manager para habilitar SSL para Content Engine y establezca el número de puerto para que coincida con el puerto SSL en el servidor de directorios.
  6. Obtenga otro certificado de CA y de servidor para Content Engine.
  7. Cree un almacén de claves de identidad personalizado en el servidor de Content Engine y añada el certificado de servidor al almacén de claves personalizado.
  8. Mediante la herramienta de administración del servidor de aplicaciones, habilite SSL y apunte al almacén de claves de identidad personalizado. Las direcciones varían según el tipo de servidor de aplicaciones; consulte la documentación del servidor de aplicaciones para ver los procedimientos detallados.
    Opción Descripción
    WebSphere Application Server Configure un repertorio SSL. En el panel izquierdo de la consola administrativa de WebSphere, navegue a Seguridad > SSL. En el panel derecho, seleccione su repertorio JSSE (Java Secure Socket Extension) y especifique los nombres de archivo de confianza y de claves, así como las contraseñas.
    Oracle WebLogic Server Configure un almacén de claves de identidad personalizado. En el panel izquierdo de la consola administrativa de WebLogic, navegue a NombreDominio > Servidores > NombreServidor. En el panel derecho, seleccione Almacenes de claves y SSL, y especifique la información del almacén de claves.
    JBoss Application Server Consulte la documentación del servidor de aplicaciones.
    Importante: (Sólo para WebLogic) El nombre en el certificado debe coincidir con el nombre de host especificado en el servidor de aplicaciones de WebLogic. Si el nombre en el certificado está totalmente cualificado (por ejemplo, Host1.filenet.com), el mismo nombre de host totalmente cualificado debe aparecer en el campo Host (WebLogic > Proveedor de autenticación > Separador Active Directory > Campo Host).
  9. Configure los clientes para que utilicen un determinado URL para conectarse a Content Engine basándose en el tipo de servidor de aplicaciones y el tipo (protocolo) de transporte de cliente. La tabla siguiente proporciona los puertos predeterminados y los URL de ejemplo:
    Protocolo SSL Puerto pred. Servidor de aplic URL de ejemplo
    HTTP no 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP no 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (defautl)

    Si el puerto predeterminado de IIOP con SSL es el puerto 9403, utilice el puerto 2809. El servidor de aplicaciones web resuelve el número de puerto SSL correctamente.

    HTTP no 7001 WebLogic http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS 7002 WebLogic https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) no 7001 WebLogic t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) 7002 WebLogic t3s://mycorp.com:7002/FileNet/Engine
    HTTP no 8080 JBoss http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS 8443 JBoss https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP no 1099 JBoss jnp://mycorp.com:1099/FileNet/Engine

    Los valores de puerto en la tabla son los valores predeterminados. Si cambia el puerto en el que escucha el servidor de aplicaciones, deberá cambiar el número de puerto utilizado por el cliente de Content Engine.



Comentarios

Última actualización: Noviembre de 2010


© Copyright IBM Corp. 2010.
Este Information Center se basa en la tecnología Eclipse. (http://www.eclipse.org)