Usando o Arquivo DomainZipFile

Use casos do arquivo DomainZipFile para diferentes níveis de segurança em padrões.

O arquivo DomainZipFile.zip pode ser usado nos padrões Basic Runtime, Basic Runtime Sample e Advanced Runtime.

O SSL não é necessário para conectar os pacotes de scripts padrão para o dispositivo DataPower. Se você não usar o SSL, será necessário criar um arquivo DomainZipFile.zip, a menos que você requeira um script cli para customizar o domínio do DataPower criado pelo padrão. Nesse caso, se você não usar autenticação de servidor como um mínimo, os dados não serão criptografados. Este é um risco de segurança, pois as informações de usuário e senha são transmitidas para o DataPower durante o cliente de script em uma conexão http, e este é protegido pelos certificados no arquivo DomainZipFile.zip.

Se o host do DataPower não estiver configurado para validar o certificado do cliente, você não precisará usar Autenticação Mútua entre o cliente de script e o dispositivo DataPower. É recomendável usar, no mínimo, a Autenticação de Servidor.

Os cenários de caso neste tópico descrevem níveis diferentes de segurança.

O produto suporta os cenários de caso a seguir:

Caso 1: Nenhum SSL é necessário

É recomendável pelos motivos de segurança descritos que esta opção seja usada apenas para cenários de desenvolvimento. Caso o uso de SSL não seja requerido:

  1. Configure os parâmetros para SCP_host como Unset. Se você estiver usando os Padrões Basic Runtime ou Advanced Runtime, o SCP_host estará no SOA Policy Gateway 2.0.0.0 - Script do Pacote de Segurança. Se você estiver usando o padrão Basic Runtime Sample, SCP_host estará no script SOA Policy Gateway 2.0.0.0. Isso configura o script no padrão, de forma que ele não recupere o arquivo DomainZipFile.zip usando o SCP.

  2. Configure os parâmetros a seguir como Não Configurado nos mesmos pacotes de scripts da etapa 1:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar senha
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar senha

Caso 2: Nenhum SSL é necessário, mas um script cli é necessário para customizar o domínio

É recomendável pelos motivos de segurança descritos que esta opção seja usada apenas para cenários de desenvolvimento. Se você não desejar usar SSL, mas requerer um script cli:

  1. Configure os parâmetros para SCP_host como Unset. Se você estiver usando os Padrões Basic ou Advanced Runtime, o SCP_host estará no SOA Policy Gateway 2.0.0.0 - Script do Pacote de Segurança. Se você estiver usando o padrão Basic Runtime Sample, SCP_host estará no script SOA Policy Gateway 2.0.0.0. Isso configura o script no padrão, de forma que ele não recupere o arquivo DomainZipFile.zip usando o SCP.

  2. Configure os parâmetros a seguir como Não Configurado nos mesmos pacotes de scripts da etapa 1:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar senha
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar senha
    Nota: Se SCP_host for Não Configurado, não será necessário um arquivo DomainZipFile.zip, a menos que você tenha um script cli que deseje executar nos padrões Basic Runtime e Advanced Runtime.
  3. Coloque o arquivo de script cli que você deseja usar na raiz do arquivo DomainZipFile.zip. Um exemplo de estrutura do arquivo DomainZipFile.zip é o seguinte:

    /cli.cli

    Esse arquivo é executado no fim do pacote de scripts de Domínio do DataPower. cli.cli é um exemplo de nome do arquivo. O nome do arquivo não deve conter nenhum espaço.

Caso 3: A autenticação do servidor do Certificado do DataPower pelo cliente de Script é necessária

Você deve fornecer todos os Certificados da cadeia de Certificados do DataPower que protege a Interface de Gerenciamento XML. Para localizá-los, conclua as etapas a seguir:
  1. Examine o perfil proxy SSL para a Interface de Gerenciamento XML e localize o CryptoProfile. O Perfil Crypto conterá as credenciais de identificação que contêm os certificados usados para proteger a Interface de Gerenciamento XML.

  2. Inclua esses certificados no arquivo DomainZipFile.zip.

    O formato é:
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    Se você estiver usando o cenário de vários domínios, o arquivo poderá ter dois diretórios dataPowerHostName diferentes com os arquivos a seguir para cada Cadeia de Certificados do DataPower:
    • clientCertificate.crt clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Nota: Os arquivos da cadeia de certificados do DataPower devem ser do tipo .crt ou .pem e devem conter apenas o certificado em si. Os nomes de arquivo .crt ou .pem usados aqui são exemplos. O nome do arquivo não deve conter nenhum espaço.
  3. Opcional: Se você requerer apenas Autenticação de Servidor para o SOA Policy Gateway 2.0.0.0 - Script do Pacote de Segurança usado pelos Padrões Basic Runtime e Advanced Runtime ou o SOA Policy Gateway 2.0.0.0 - Script de amostra no padrão Basic Runtime Sample, use Não Configurado como o valor para os parâmetros a seguir nesses scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar senha
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar senha
  4. Opcional: Se um script cli for necessário:

    Coloque o arquivo de script cli que você deseja usar na raiz do arquivo DomainZipFile.zip. Um exemplo de estrutura do arquivo DomainZipFile.zip é o seguinte:

    /cli.cli

    Esse arquivo é executado no fim do pacote de scripts de Domínio do DataPower. cli.cli é um exemplo de nome do arquivo. O nome do arquivo não deve conter nenhum espaço.

Caso 4: A Autenticação Mútua com o Dispositivo DataPower é Necessário

Neste caso, o cliente e o DataPower Server requerem validação dos outros certificados. Isso é necessário apenas se o Host do DataPower é configurado no Perfil Proxy SSL para a Interface de Gerenciamento XML para validar os certificados dos clientes.
  1. Inclua esses certificados no arquivo DomainZipFile.zip.

    O formato é:
    • clientCertificate.crt
    • clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Nota: Os arquivos da cadeia de certificados do DataPower devem ser do tipo .crt ou .pem e devem conter apenas o certificado em si. Os nomes de arquivo .crt ou .pem usados aqui são exemplos. O nome do arquivo não deve conter nenhum espaço.

    O certificado de cliente e o arquivo-chave de cliente podem conter os dados no certificado ou no arquivo-chave antes da linha no arquivo que lê: -----BEGIN CERTIFICATE-----.

  2. Opcional: Se você requerer Autenticação de Servidor para o SOA Policy Gateway 2.0.0.0 - Script do Pacote de Segurança usado pelos Padrões Basic Runtime e Advanced Runtime ou o SOA Policy Gateway 2.0.0.0 - Script de amostra no padrão Basic Runtime Sample, use Não Configurado como o valor para os parâmetros a seguir nesses scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar senha
  3. Se não houver senha para o arquivo de Chaves Públicas, o valor dos scripts a seguir podem ser Não Configurado:
    • CLIENT_PUBLIC_KEY_password
    • Verificar senha
  4. Os comandos curl usados pelos pacotes de scripts assumem que o tipo de arquivo seja .pem, de modo que --key-type e --cert-type sejam configurados para PEM por padrão. O certificado e os arquivos- chave podem conter este conteúdo antes de -----BEGIN CERTIFICATE----- no certificado específico ou no arquivo-chave.

  5. Opcional: Se um script cli for necessário, usando os padrões Basic Runtime ou Advanced Runtime:

    Coloque o arquivo de script cli que você deseja usar na raiz do arquivo DomainZipFile.zip. Um exemplo de estrutura do arquivo DomainZipFile.zip é o seguinte:

    /cli.cli

    Esse arquivo é executado no fim do pacote de scripts de Domínio do DataPower. cli.cli é um exemplo de nome do arquivo. O nome do arquivo não deve conter nenhum espaço.

Ao selecionar um caso, você terá configurado o nível de segurança apropriado, com ou sem usar o arquivo DomainZipFile.zip.

Conceito Conceito

Feedback


Ícone de registro de data e hora Última atualização: 14 de novembro de 2012


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/csoa2_using_domainzip.htm