Content Platform Engine, Versión 5.2.1              

Habilitación de SSL para Content Platform Engine

Cuando habilita SSL, se añade un certificado del servidor al servidor de Servicios de directorios (para la autenticación). Asimismo, el certificado de CA se añade en dos ubicaciones diferentes en el servidor de Content Platform Engine (la ubicación de vía de acceso del JDK es para la autorización). Asegúrese de que se añade el certificado correcto a las tres ubicaciones.

Procedimiento

Para habilitar SSL para Content Platform Engine:

  1. Obtenga e instale un certificado del servidor y un certificado de CA en el servicio de directorio. Estos certificados está disponibles en entidades emisora de certificados independientes como, por ejemplo, VeriSign, o puede generar sus propios certificados si tiene instalado el software de gestión de certificados necesario.
  2. Habilite SSL en el servicio de directorio y establezca el número de puerto SSL. El número de puerto SSL predeterminado es 636; no obstante, si tiene más de un servicio de directorio que utiliza SSL en el servidor, es posible que deba utilizar un número de puerto distinto al predeterminado. Consulte la documentación del servidor de directorios para obtener instrucciones.
  3. En el servidor de Content Platform Engine, añada el certificado de CA al almacén de claves del servidor de aplicaciones, si no se ha añadido todavía.
  4. En el servidor de Content Platform Engine, añada el certificado de CA al almacén de claves de JDK (Java™), si no se ha añadido todavía. Puede utilizar el almacén de claves predeterminado o crear su propio almacén de claves en una ubicación personalizada.
    • Para utilizar el almacén de claves Java predeterminado del JDK, siga estos pasos:
      1. Determine la versión de Java que utiliza el servidor de aplicaciones y la ubicación de JAVA_HOME.
      2. Utilice la herramienta de claves para importar el certificado de CA al almacén de claves de Java en %JAVA_HOME%\jre\lib\security\cacerts.
      3. Para aumentar la seguridad, cambie la contraseña predeterminada.
    • Para utilizar su propio almacén de claves (en lugar del almacén de claves predeterminado del JDK), siga estos pasos:
      1. Añada los siguientes parámetros del sistema a la línea de mandatos Java en el script de inicio del servidor de aplicaciones:
        -Djavax.net.ssl.trustStore=
        vía_acceso_archivo_almacén_claves
        -Djavax.net.ssl.trustStorePassword=
        contraseña_almacén_claves
      2. Utilice la herramienta de claves Java para importar el certificado de CA a su propio almacén de claves.
  5. Inicie Administration Console for Content Platform Engine si no lo ha hecho ya:
    1. Abra un navegador en cualquier sistema y vaya a la página de inicio de sesión de Administration Console for Content Platform Engine:
      • En un entorno de disponibilidad estándar, la página de inicio de sesión está en http://CPE_Server:port/acce. Servidor_CPE es el nombre del sistema donde se ha desplegado Content Platform Engine. puerto es el puerto HTTP que utiliza el servidor de aplicaciones donde se ha desplegado Content Platform Engine.
      • En un entorno de alta disponibilidad, la página de inicio de sesión está en http://servidor_virtual:puerto/acce. servidor_virtual es el nombre del equilibrador de carga o servidor proxy de la agrupación donde se despliegan los clústeres deContent Platform Engine. puerto es el número de puerto del servidor proxy o el equilibrador de carga.
    2. Inicie sesión como el usuario gcd_admin.
  6. Utilice IBM® Administration Console for Content Platform Engine para establecer el número de puerto de modo que coincida con el número de puerto SSL del servidor de directorios:
    1. Seleccione el nodo de dominio en el panel de navegación.
    2. Seleccione Propiedades en el panel de detalles, abra la lista desplegable de Configuraciones de directorio y seleccione el tipo de servidor de directorio.
    3. Establezca el valor Puerto de servidor de directorio para que coincida con el puerto SSL en el servidor de directorio.
    4. Pulse Cerrar.
  7. Obtenga otro servidor y certificado CA para Content Platform Engine.
  8. Cree un almacén de claves de identidad personalizado en el servidor de Content Platform Engine y añada el certificado de servidor al almacén de claves personalizado.
  9. Mediante la herramienta de administración del servidor de aplicaciones, habilite SSL y apunte al almacén de claves de identidad personalizado. Las direcciones varían según el tipo de servidor de aplicaciones; consulte la documentación del servidor de aplicaciones para ver los procedimientos detallados.
    Opción Descripción
    WebSphere Application Server Configure un repertorio SSL. En el panel izquierdo de la consola administrativa de WebSphere, navegue a Seguridad > SSL. En el panel derecho, seleccione su repertorio JSSE (Java Secure Socket Extension) y especifique los nombres de archivo de confianza y de claves, así como las contraseñas.
    Oracle WebLogic Server Configure un almacén de claves de identidad personalizado. En el panel izquierdo de la consola administrativa de WebLogic, navegue a NombreDominio > Servidores > NombreServidor. En el panel derecho, seleccione Almacenes de claves y SSL, y especifique la información del almacén de claves.
    JBoss Application Server Consulte la documentación del servidor de aplicaciones.
    Importante: (Sólo para WebLogic) El nombre en el certificado debe coincidir con el nombre de host especificado en el servidor de aplicaciones de WebLogic. Si el nombre en el certificado está totalmente cualificado (por ejemplo, Host1.filenet.com), el mismo nombre de host totalmente cualificado debe aparecer en el campo Host (WebLogic > Proveedor de autenticación > Separador Active Directory > Campo Host).
  10. Configure los clientes para que utilicen un determinado URL para conectarse a Content Platform Engine basándose en el tipo de servidor de aplicaciones y el tipo (protocolo) de transporte de cliente. La tabla siguiente proporciona los puertos predeterminados y los URL de ejemplo:
    Tabla 1. Puertos predeterminados y URL de ejemplo
    Protocolo SSL Puerto pred. Servidor de aplic URL de ejemplo
    HTTP no 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP no 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (defautl)

    Si el puerto predeterminado de IIOP con SSL es el puerto 9403, utilice el puerto 2809. El servidor de aplicaciones web resuelve el número de puerto SSL correctamente.

    HTTP no 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) no 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine
    HTTP no 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP no 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine

    Los valores de puerto en la tabla son los valores predeterminados. Si cambia el puerto en el que escucha el servidor de aplicaciones, deberá cambiar el número de puerto utilizado por el cliente de Content Platform Engine.

  11. (Oracle WebLogic Server 10.3.2 o posterior en AIX, HPUX, HPUXi, Linux, Linux en System z, Solaris) Elimine todos los certificados que tienen el cifrado RSA SHA 256 en el almacén de claves (cacerts). Por ejemplo, si está utilizando IBM JRE versión 1.6 SR7, elimine estos tres certificados: secomscrootca2, keynectisrootca y globalsignr3ca.


Última actualización: Octubre de 2015
p8pin261.htm

© Copyright IBM Corp. 2013, 2015.