Habilitación de SSL para Content Platform Engine
Cuando habilita SSL, se añade un certificado del servidor al servidor de Servicios de directorios (para la autenticación). Asimismo, el certificado de CA se añade en dos ubicaciones diferentes en el servidor de Content Platform Engine (la ubicación de vía de acceso del JDK es para la autorización). Asegúrese de que se añade el certificado correcto a las tres ubicaciones.
Procedimiento
Para habilitar SSL para Content Platform Engine:
- Obtenga e instale un certificado del servidor y un certificado de CA en el servicio de directorio. Estos certificados está disponibles en entidades emisora de certificados independientes como, por ejemplo, VeriSign, o puede generar sus propios certificados si tiene instalado el software de gestión de certificados necesario.
- Habilite SSL en el servicio de directorio y establezca el número de puerto SSL. El número de puerto SSL predeterminado es 636; no obstante, si tiene más de un servicio de directorio que utiliza SSL en el servidor, es posible que deba utilizar un número de puerto distinto al predeterminado. Consulte la documentación del servidor de directorios para obtener instrucciones.
- En el servidor de Content Platform Engine, añada el certificado de CA al almacén de claves del servidor de aplicaciones, si no se ha añadido todavía.
- En el servidor de Content Platform Engine, añada el
certificado de CA al almacén de claves de JDK
(Java™), si no se ha añadido todavía. Puede utilizar
el almacén de claves predeterminado o crear su propio almacén de claves en una ubicación
personalizada.
- Para utilizar el almacén de claves Java
predeterminado del JDK, siga estos pasos:
- Determine la versión de Java que utiliza el servidor de aplicaciones y la ubicación de JAVA_HOME.
- Utilice la herramienta de claves para importar el certificado de CA al almacén de claves de Java en %JAVA_HOME%\jre\lib\security\cacerts.
- Para aumentar la seguridad, cambie la contraseña predeterminada.
- Para utilizar su propio almacén de claves (en lugar del almacén de claves
predeterminado del JDK), siga estos pasos:
- Añada los siguientes parámetros del sistema a la línea de mandatos
Java en el script de inicio del servidor de
aplicaciones:
-Djavax.net.ssl.trustStore= vía_acceso_archivo_almacén_claves -Djavax.net.ssl.trustStorePassword= contraseña_almacén_claves
- Utilice la herramienta de claves Java para importar el certificado de CA a su propio almacén de claves.
- Añada los siguientes parámetros del sistema a la línea de mandatos
Java en el script de inicio del servidor de
aplicaciones:
- Para utilizar el almacén de claves Java
predeterminado del JDK, siga estos pasos:
- Inicie Administration Console for Content Platform Engine si no lo ha hecho ya:
- Abra un navegador en cualquier sistema y vaya a la página de inicio de sesión de Administration Console for Content Platform Engine:
- En un entorno de disponibilidad estándar, la página de inicio de sesión está en http://CPE_Server:port/acce. Servidor_CPE es el nombre del sistema donde se ha desplegado Content Platform Engine. puerto es el puerto HTTP que utiliza el servidor de aplicaciones donde se ha desplegado Content Platform Engine.
- En un entorno de alta disponibilidad, la página de inicio de sesión está en http://servidor_virtual:puerto/acce. servidor_virtual es el nombre del equilibrador de carga o servidor proxy de la agrupación donde se despliegan los clústeres deContent Platform Engine. puerto es el número de puerto del servidor proxy o el equilibrador de carga.
- Inicie sesión como el usuario gcd_admin.
- Abra un navegador en cualquier sistema y vaya a la página de inicio de sesión de Administration Console for Content Platform Engine:
- Utilice IBM® Administration Console for Content
Platform Engine para establecer el número de puerto de
modo que coincida con el número de puerto SSL del servidor de directorios:
- Seleccione el nodo de dominio en el panel de navegación.
- Seleccione Propiedades en el panel de detalles, abra la lista desplegable de Configuraciones de directorio y seleccione el tipo de servidor de directorio.
- Establezca el valor Puerto de servidor de directorio para que coincida con el puerto SSL en el servidor de directorio.
- Pulse Cerrar.
- Obtenga otro servidor y certificado CA para Content Platform Engine.
- Cree un almacén de claves de identidad personalizado en el servidor de Content Platform Engine y añada el certificado de servidor al almacén de claves personalizado.
- Mediante la herramienta de administración del servidor de aplicaciones, habilite SSL
y apunte al almacén de claves de identidad personalizado. Las direcciones varían según el
tipo de servidor de aplicaciones; consulte la documentación del servidor de aplicaciones
para ver los procedimientos detallados.
Opción Descripción WebSphere Application Server Configure un repertorio SSL. En el panel izquierdo de la consola administrativa de WebSphere, navegue a Seguridad > SSL. En el panel derecho, seleccione su repertorio JSSE (Java Secure Socket Extension) y especifique los nombres de archivo de confianza y de claves, así como las contraseñas. Oracle WebLogic Server Configure un almacén de claves de identidad personalizado. En el panel izquierdo de la consola administrativa de WebLogic, navegue a NombreDominio > Servidores > NombreServidor. En el panel derecho, seleccione Almacenes de claves y SSL, y especifique la información del almacén de claves. JBoss Application Server Consulte la documentación del servidor de aplicaciones. Importante: (Sólo para WebLogic) El nombre en el certificado debe coincidir con el nombre de host especificado en el servidor de aplicaciones de WebLogic. Si el nombre en el certificado está totalmente cualificado (por ejemplo, Host1.filenet.com), el mismo nombre de host totalmente cualificado debe aparecer en el campo Host (WebLogic > Proveedor de autenticación > Separador Active Directory > Campo Host). - Configure los clientes para que utilicen un determinado URL para conectarse a
Content Platform Engine basándose en el tipo de servidor de
aplicaciones y el tipo (protocolo) de transporte de cliente.
La tabla siguiente
proporciona los puertos predeterminados y los URL de ejemplo:
Tabla 1. Puertos predeterminados y URL de ejemplo Protocolo SSL Puerto pred. Servidor de aplic URL de ejemplo HTTP no 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/ HTTPS sí 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/ IIOP no 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine IIOP sí 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine (defautl)
Si el puerto predeterminado de IIOP con SSL es el puerto 9403, utilice el puerto 2809. El servidor de aplicaciones web resuelve el número de puerto SSL correctamente.
HTTP no 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/ HTTPS sí 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/ T3 (IIOP) no 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine T3S (IIOP) sí 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine HTTP no 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/ HTTPS sí 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/ JNP no 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine Los valores de puerto en la tabla son los valores predeterminados. Si cambia el puerto en el que escucha el servidor de aplicaciones, deberá cambiar el número de puerto utilizado por el cliente de Content Platform Engine.
- (Oracle WebLogic Server 10.3.2 o posterior en AIX, HPUX, HPUXi, Linux, Linux en System z, Solaris) Elimine todos los certificados que tienen el cifrado RSA SHA 256 en el almacén de claves (cacerts). Por ejemplo, si está utilizando IBM JRE versión 1.6 SR7, elimine estos tres certificados: secomscrootca2, keynectisrootca y globalsignr3ca.
Última actualización: Octubre de 2015
p8pin261.htm
© Copyright IBM Corp. 2013, 2015.