Habilite SSL para una cuadrícula de
WebSphere eXtreme Scale externa estableciendo una infraestructura de
claves públicas y luego habilitando SSL para un grupo de ejecución.
Puede habilitar SSL para las conexiones de cliente a
cuadrículas de WebSphere eXtreme Scale externas. No puede habilitar SSL
para servidores en la memoria caché global incorporada.
Para habilitar la
comunicación SSL, configure el almacén de claves, el almacén de confianza, contraseñas y
certificados. Para habilitar la autenticación de servidor, importe el certificado público
del servidor de WebSphere eXtreme Scale al almacén de
confianza del intermediario o el grupo de ejecución. Si el servidor requiere
autenticación de cliente, también debe crear una clave privada en el almacén de claves
del intermediario o grupo de ejecución en el que confía el servidor de
WebSphere eXtreme Scale.
A continuación, establezca
las propiedades en el grupo de ejecución para habilitar SSL y especifique el protocolo
necesario. También puede designar una clave determinada para utilizar si tiene más de
una. Las conexiones SSL sólo se pueden realizar desde grupos de ejecución que no albergan
servidores de catálogo o de contenedor.
Los pasos siguientes describen cómo habilitar SSL para una cuadrícula
de WebSphere eXtreme Scale externa.
- Configure una infraestructura de claves públicas siguiendo las instrucciones que se
indican en Configuración de una infraestructura clave pública. Puede configurar la infraestructura de claves públicas a nivel de intermediario o
de grupo de ejecución.
Las conexiones a cuadrículas de
WebSphere eXtreme Scale externas no pueden utilizar implícitamente
certificados públicos que encuentren en el archivo cacerts de la JVM.
- Para asegurarse de que está habilitando SSL en un grupo de ejecución que no
aloja un servidor de catálogo o de contenedor, utilice uno de los métodos siguientes:
Para
establecer la política a nivel de intermediario, utilice uno de los métodos siguientes:
- Opcional: Si establece la política a nivel de intermediario en none,
compruebe que las propiedades enableCatalogService y
enableContainerService están establecidas en
false para cada grupo de ejecución para el que está habilitando SSL.
Utilice uno de los métodos siguientes:
- Para habilitar SSL, establezca las siguientes propiedades en el grupo de ejecución
correspondiente:
- Para habilitar SSL, establezca clientsDefaultToSSL en true.
- Para especificar un protocolo SSL, establezca
sslProtocol en un valor que sea reconocido por el proveedor de
seguridad JSSE2 de IBM®.
- Si la cuadrícula externa requiere autenticación de cliente y
tiene más de una clave privada de confianza en el almacén de claves del intermediario,
establezca sslAlias en la clave apropiada.
Para obtener más
información sobre estas propiedades, consulte Valores de parámetro para el componente cachemanager.Para
establecer estas propiedades en el grupo de ejecución, utilice uno de los métodos siguientes :
- Desde la línea de mandatos, ejecute el mandato
mqsichangeproperties, tal como se muestra
en el ejemplo siguiente:
mqsichangeproperties nombre_intermediario -e grupo_ejecución_1 -o ComIbmCacheManager -n clientsDefaultToSSL,sslProtocol,sslAlias -v true,SSL_TLS,ProdKey
- Desde WebSphere Message Broker Explorer, seleccione las propiedades para cada
grupo de ejecución y luego seleccione Memoria caché global. Seleccione
clientsDefaultToSSL y, si es necesario, establezca el protocolo SSL
y el alias de clave SSL.
- Reinicie el grupo de ejecución. Para obtener más información, consulte Mandato mqsireload.
- Conéctese a la cuadrícula de WebSphere eXtreme Scale siguiendo las
instrucciones que se indican en Conectarse a una cuadrícula de WebSphere eXtreme Scale.
Los valores de almacén de claves, almacén de confianza y protocolo se
verifican la primera vez que se establece una conexión desde el grupo de ejecución (a
la cuadrícula incorporada, o para la primera conexión remota). Los errores en la configuración
se notifican como un aviso, y las conexiones SSL quedarán entonces prohibidas. Por ejemplo,
se emite un aviso si un archivo de almacén de claves no se encuentra, el archivo está
dañado o la contraseña del almacén de claves es incorrecta.
Si habilita SSL e
intenta conectarse desde un grupo de ejecución que aloja componentes de servidor de
WebSphere eXtreme Scale, la conexión falla con un mensaje de excepción
detallado, BIP7144, que explica por qué la conexión ha fallado. Si se
produce una excepción de reconocimiento SSL, el flujo de mensajes falla y se emite el
mensaje de excepción BIP7147.