Utilización del archivo DomainZipFile

Casos de uso del archivo DomainZipFile para diferentes niveles de seguridad en patrones.

El archivo DomainZipFile.zip se puede utilizar en los patrones Tiempo de de ejecución básico, Tiempo de ejecución básico con ejemplo y Tiempo de ejecución avanzado.

No es necesario SSL para conectar los paquetes script de patrón con el dispositivo DataPower. Si no utiliza SSL, no es necesario que cree un archivo DomainZipFile.zip, a menos que necesite un script cli para personalizar el dominio DataPower creado por el patrón. En este caso, si no utiliza autenticación de servidor como mínimo, los datos no se cifrarán. Este es un riesgo de seguridad porque la información de usuario y contraseña se pasa a DataPower durante el cliente de scripts a través de una conexión http, y esto está protegido por los certificados en el archivo DomainZipFile.zip .

Si el host DataPower no está configurado para validar el certificado de cliente, no es necesario que utilice la autenticación mutua entre el cliente de script y el dispositivo DataPower. Es recomendable que utilice la autenticación de servidor como mínimo.

Los casos de ejemplo de este tema describen diferentes niveles de seguridad.

Son posibles los casos siguientes:

Caso 1: No es necesario ningún SSL

Se recomienda, por las razones de seguridad descritas, que esta opción sólo se utilice en situaciones de desarrollo. Si no desea utilizar ningún SSL:

  1. Establezca los parámetros de SCP_host en Sin definir. Si está utilizando los patrones Tiempo de ejecución básico o Tiempo de ejecución avanzado, SCP_host está en el script SOA Policy Gateway 2.0.0.0 - Security Package. Si está utilizando el patrón Tiempo de ejecución básico con ejemplo, SCP_host está en el script SOA Policy Gateway 2.0.0.0. Esto define el script en el patrón de forma que no obtiene el archivo DomainZipFile.zip utilizando SCP.

  2. Establezca los parámetros siguientes en Sin definir en los mismos paquetes script del paso 1:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar contraseña
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar contraseña

Caso 2: No es necesario ningún SSL, pero es necesario un script cli para personalizar el dominio

Se recomienda, por las razones de seguridad descritas, que esta opción sólo se utilice en situaciones de desarrollo. Si no desea utilizar SSL, pero necesita un script cli:

  1. Establezca los parámetros de SCP_host en Sin definir. Si está utilizando los patrones Tiempo de ejecución básico o Tiempo de ejecución avanzado, SCP_host está en el script SOA Policy Gateway 2.0.0.0 - Security Package. Si está utilizando el patrón Tiempo de ejecución básico con ejemplo, SCP_host está en el script SOA Policy Gateway 2.0.0.0. Esto define el script en el patrón de forma que no obtiene el archivo DomainZipFile.zip utilizando SCP.

  2. Establezca los parámetros siguientes en Sin definir en los mismos paquetes script del paso 1:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar contraseña
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar contraseña
    Nota: Si SCP_host es Sin definir, no necesita un archivo DomainZipFile.zip, a menos que tenga un script cli que desee ejecutar en los patrones Tiempo de ejecución básico y Tiempo de ejecución avanzado.
  3. Coloque el archivo de script cli que desee utilizar en la raíz del archivo DomainZipFile.zip. A continuación se muestra una estructura de ejemplo del archivo DomainZipFile.zip:

    /cli.cli

    Este archivo se ejecuta al final del paquete script DataPower Domain. cli.cli es un nombre de archivo de ejemplo. El nombre de archivo no debe contener espacios.

Caso 3: es necesaria la autenticación de servidor del certificado de DataPower por el cliente de script

Debe proporcionar todos los certificados de la cadena de certificados de DataPower que protege la interfaz de gestión XML. Para localizar los certificados, complete estos pasos:
  1. Examine el perfil de proxy SSL para la interfaz de gestión XML y localice el CryptoProfile. El perfil de cifrado contendrá las credenciales de identificación que contienen los certificados utilizados para proteger la interfaz de gestión XML.

  2. Añada estos certificados al archivo DomainZipFile.zip.

    El formato es:
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    Si está utilizando varios dominios, el archivo puede tener dos directorios dataPowerHostName diferentes, con los archivos siguientes para cada cadena de certificados de DataPower:
    • clientCertificate.crt clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Nota: Los archivos de la cadena de certificados de DataPower deben ser de tipo .crt o .pem y sólo deben contener el propio certificado. Los nombres de archivo .crt o .pem utilizados aquí son ejemplos. El nombre de archivo no debe contener espacios.
  3. Opcional: Si sólo necesita la autenticación de servidor para el script SOA Policy Gateway 2.0.0.0 - Security Package en los patrones Tiempo de ejecución básico y Tiempo de ejecución avanzado, o el script SOA Policy Gateway 2.0.0.0 - Sample en el patrón Tiempo de ejecución básico con ejemplo, utilice Sin definir como valor de los parámetros siguientes en esos scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PUBLIC_KEY_password
    • Verificar contraseña
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar contraseña
  4. Opcional: si es necesario un script cli:

    Coloque el archivo de script cli que desee utilizar en la raíz del archivo DomainZipFile.zip. A continuación se muestra una estructura de ejemplo del archivo DomainZipFile.zip:

    /cli.cli

    Este archivo se ejecuta al final del paquete script DataPower Domain. cli.cli es un nombre de archivo de ejemplo. El nombre de archivo no debe contener espacios.

Caso 4: es necesaria autenticación mutua con el dispositivo DataPower

En este caso, el cliente y el servidor DataPower necesitan una validación mutua de certificados. Esto sólo es necesario si el host DataPower está configurado en el perfil de proxy SSL de la interfaz de gestión XML para validar los certificados de los clientes.
  1. Añada estos certificados al archivo DomainZipFile.zip.

    El formato es:
    • clientCertificate.crt
    • clientKeyFile.key
    • dataPowerHostName/certificateChainMember1.crt
    • dataPowerHostName/certificateChainMember2.pem
    • dataPowerHostName/certificateChainMember(n).crt
    • dataPowerHostName2/certificateChainMember1a.crt
    • dataPowerHostName2/certificateChainMember2a.pem
    • dataPowerHostName2/certificateChainMember2(n).crt
    Nota: Los archivos de la cadena de certificados de DataPower deben ser de tipo .crt o .pem y sólo deben contener el propio certificado. Los nombres de archivo .crt o .pem utilizados aquí son ejemplos. El nombre de archivo no debe contener espacios.

    El certificado de cliente y el archivo de claves del cliente puede contener los datos del certificado o archivo de claves antes de la línea del archivo donde se lee: -----BEGIN CERTIFICATE-----.

  2. Opcional: Si sólo es necesaria la autenticación de servidor para el script SOA Policy Gateway 2.0.0.0 - Security Package en los patrones Tiempo de ejecución básico y Tiempo de ejecución avanzado, o el script SOA Policy Gateway 2.0.0.0 - Sample en el patrón Tiempo de ejecución básico con ejemplo, utilice Sin definir como valor de los parámetros siguientes en esos scripts:
    • CLIENT_PUBLIC_KEY_file
    • CLIENT_PRIVATE_KEY_file
    • CLIENT_PRIVATE_KEY_password
    • Verificar contraseña
  3. Si no hay ninguna contraseña para el archivo de claves públicas, el valor de lo siguiente puede ser Sin definir:
    • CLIENT_PUBLIC_KEY_password
    • Verificar contraseña
  4. Los mandatos curl utilizados por los paquetes script suponen que el tipo de archivo es .pem, por lo que --key-type y --cert-type se establecen en PEM de forma predeterminada. El certificado y los archivos de claves puede contener este contenido antes de la línea -----BEGIN CERTIFICATE----- en el certificado o archivo de claves determinado.

  5. Opcional: si es necesario un script cli y se utilizan los patrones Tiempo de ejecución básico o Tiempo de ejecución avanzado:

    Coloque el archivo de script cli que desee utilizar en la raíz del archivo DomainZipFile.zip. A continuación se muestra una estructura de ejemplo del archivo DomainZipFile.zip:

    /cli.cli

    Este archivo se ejecuta al final del paquete script DataPower Domain. cli.cli es un nombre de archivo de ejemplo. El nombre de archivo no debe contener espacios.

Al seleccionar un caso, ha configurado el nivel adecuado de seguridad, con o sin utilización del archivo DomainZipFile.zip.

Concepto Concepto

Comentarios


Icono de fecha y hora Última actualización: 16 de octubre de 2012


http://publib.boulder.ibm.com/infocenter/prodconn/v1r0m0/topic/com.ibm.scenarios.soawdpwsrr.doc/topics/csoa2_using_domainzip.htm