WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Configuración de una infraestructura clave pública

Configuración de almacenes de claves, almacenes de confianza, contraseñas y certificados para habilitar la comunicación SSL y seguridad de servicios web.

Decida cómo va a utilizar la infraestructura de claves públicas (PKI). Puede configurar los almacenes de claves y los almacenes de confianza a cualquier nivel de intermediario (un almacén de claves, un almacén de confianza y un certificado personal para cada intermediario) o a nivel de grupo de ejecución (un almacén de claves, un almacén de confianza y un certificado personal para cada grupo de ejecución). Los grupos de ejecución que no tengan configurado ningún PKI, utilizarán la configuración de PKI a nivel de intermediario.

Nivel de cifrado

Se proporciona un JRE (WebSphere Message Broker Java™ Runtime Environment) con un nivel de cifrado limitado. Si no puede importar claves a los almacenes de claves, el nivel de cifrado limitado puede ser la causa. Inicie ikeyman utilizando el mandato strmqikm o descargue los archivos de políticas de jurisdicción no restringida de IBM® developer kits: Security information.

Importante: Puede que existan restricciones en el país de origen sobre la importación, la posesión, el uso o la reexportación del software de cifrado a otro país. Antes de descargar o utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país. Compruebe sus reglamentos y las políticas sobre la importación, la posesión, el uso y la reexportación de software cifrado, para determinar si está permitido. Tenga en cuenta que al aplicar un fixpack a una instalación de WebSphere Message Broker existente, se sobrescribe la JVM, incluidos los archivos de conjunto de políticas actualizados. Estos archivos del conjunto de políticas deben restaurarse antes de reiniciar el intermediario.

Este tema utiliza la herramienta de línea de mandatos, gsk7cmd, para crear y llenar los almacenes de claves y los almacenes de confianza. La herramienta gsk7cmd forma parte del producto Global Secure Toolkit, que se suministra con WebSphere MQ. Otras opciones, que se suministra con la JVM de WebSphere Message Broker incluyen lo siguiente: Para crear la infraestructura, lleve a cabo las tareas siguientes:
  1. Creación de un archivo de almacén de claves o un almacén de confianza
  2. Creación de un certificado autofirmado para utilizarlo en pruebas
  3. Importación de un certificado para utilizarlo en producción
  4. Visualización de los detalles de un certificado
  5. Extracción de un certificado
  6. Adición de un certificado de firmante en el almacén de confianza
  7. Listado de todos los certificados de un almacén de claves
  8. Configuración de PKI a nivel de intermediario
  9. Configuración de PKI para el escucha HTTP de intermediario
  10. Configuración de PKI para un escucha HTTP incorporado de un grupo de ejecución

Creación de un archivo de almacén de claves o un almacén de confianza

El archivo de almacén de claves contiene el certificado personal para el intermediario o para el grupo de ejecución. Solamente puede tener un certificado personal en el almacén de claves. Puede almacenar certificados del firmante en el mismo archivo o bien crear un archivo separado conocido como almacén de confianza.

  1. Establezca la variable de entorno JAVA_HOME. Por ejemplo,
    set JAVA_HOME=dir_instalación\MQSI\8.0\jre15
  2. Emita el mandato siguiente:
    gsk7cmd -keydb -create
      -db nombre_almacén_claves
      [-pw contraseña]
      -type jks
    El argumento contraseña es opcional. Si lo omite, se le pedirá que escriba una contraseña. Por ejemplo:
    gsk7cmd -keydb -create
      -db myBrokerKeystore.jks
      -type jks
    Es necesaria una contraseña para acceder a esta base de datos de claves.
    Escriba una contraseña:

Creación de un certificado autofirmado para utilizarlo en pruebas

Utilice los certificados autofirmados solamente para probar SSL, no en producción.

Entre el siguiente mandato:
gsk7cmd -cert -create
  -db nombre_almacén_claves
  [-pw contraseña] 
  -label etiqueta_cert
  -dn "distinguished_name"
Por ejemplo:
gsk7cmd -cert -create
  -db -myBrokerKeystore.jks
  -label MyCert
  -dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:

Importación de un certificado para utilizarlo en producción

Importe un certificado personal de una entidad emisora de certificados para utilizarlo en producción.

Emita el mandato siguiente:
gsk7cmd -cert -import
  -db nombre_archivo_pkcs12
  [-pw contraseña_pkcs12]
  -label etiqueta 
  -type pkcs12
  -target nombre_almacén_claves
  [-target_pw contraseña_almacén_claves] 
Por ejemplo:
gsk7cmd -cert -import
  -db SOAPListenerCertificate.p12
  -label soaplistener
  -type pkcs12
  -target myBrokerKeystore.jks
  -target_pw  myBrokerKpass
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:

Visualización de los detalles de un certificado

Emita el mandato siguiente:
gsk7cmd -cert -details
  -db nombre_almacén_claves
  [-pw contraseña]
  -label etiqueta
Por ejemplo:
gsk7cmd -cert -details
  -db myKeyStore.jks
  -label MyCert
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:

Etiqueta: : MyCert
Tamaño de la clave: 1024
Versión: X509 V3
Número de serie: 4A D7 39 1F
Emitido por: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Válido desde: 15 October 2009 16:00:47 o'clock BST Hasta: 15 October 2010 16:00:47 o'
clock BST
Huella dactilar: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Algoritmo de firma: 1.2.840.113549.1.1.4
Estado de confianza: enabled

Extracción de un certificado

Genere una copia de un certificado autofirmado que pueda importar como certificado de confianza (o certificado de firmante) en un archivo de almacén de confianza. Utilice este procedimiento solamente para realizar comprobaciones, no para producción.

Los certificados se pueden extraer en dos formatos:
  • Datos ASCII codificados en base 64 (.arm). Este formato resulta adecuado para la inclusión en mensajes XML y su transmisión a través de Internet.
  • Datos DER binarios (.der).
Emita el mandato siguiente:
gsk7cmd -cert -extract
  -db nombre_almacén_claves
  -pw contraseña_almacén_claves
  -label etiqueta
  -target nombre_archivo
  [-format ascii | binary]
Por ejemplo:
gsk7cmd -cert -extract
  -db myBrokerKeystore.jks
  -pw myKeyPass
  -label MyCert 
  -target MyCert.arm
  -format ascii
A continuación, puede ver el certificado en un editor de texto como, por ejemplo, Notepad:
notepad MyCert.arm
-----BEGIN CERTIFICATE-----
MIICIzCCAYygAwIBAgIEStc5HzANBgkqhkiG9w0BAQQFADBWMQswCQYDVQQGEwJHQjEQMA4GA1UE
BxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9NeUJyb2tl
ci5TZXJ2ZXIwHhcNMDkxMDE1MTUwMDQ3WhcNMTAxMDE1MTUwMDQ3WjBWMQswCQYDVQQGEwJHQjEQ
MA4GA1UEBxMHSHVyc2xleTEMMAoGA1UEChMDSUJNMQ0wCwYDVQQLEwRJU1NXMRgwFgYDVQQDEw9N
eUJyb2tlci5TZXJ2ZXIwgZ8wDQYJKoZIhvcNAQEBBQADgY0AMIGJAoGBAMwkK5kFLwC29YsHLXlf
hd0CgqFeytHlI0sZesdi8hEPXKsOzs3OQta2b0GZyUbBkh4tNeUHNWE9o7Hx2/SfziPQRKUw908R
F/6FPaHGezRkkaLJGX3uEhjt/2+n5tOJGytnKWaWJTpzdmZ79c0XjFvO83q3yXPYjKzq8rS1iVBf
AgMBAAEwDQYJKoZIhvcNAQEEBQADgYEAQEjpvZkjRcg3AHqY4RWbSMtXVWFFyoHSbjymR8IdURoQ
DCGZ2jsv3kxQLADaCXOBYgohGJAHS7PzkQoHUCiHR0kusyuAt1MNYbhEcs+BYAzvsSz1ay4oiqCw
Qs3aeNLVOb9c1RyzbuKYZl0uX59GAfGVLvyk6vQ/g7wPVL4TVgc=
-----END CERTIFICATE-----

Adición de un certificado de firmante en el almacén de confianza

Añada un certificado de firmante al almacén de confianza de un intermediario o grupo de ejecución.

Los pasos siguientes muestran cómo añadir un certificado extraído como certificado de firmante en el archivo de almacén de confianza. Si se añade el certificado autofirmado de intermediario a un almacén de confianza de intermediario o de grupo de ejecución se habilitan los nodos de solicitud (HTTP o SOAP) para enviar mensajes de prueba a los nodos de entrada (HTTP o SOAP) cuando los flujos se ejecutan en el intermediario o en el grupo de ejecución.

Emita el mandato siguiente:
gsk7cmd -cert -add
  -db nombre_almacén_confianza
  [-pw contraseña]
  -label etiqueta 
  -file nombre_archivo
  -format [ascii | binary]
Por ejemplo:
gsk7cmd -cert -add
  -db myBrokerTruststore.jks
  -label CACert 
  -file TRUSTEDPublicCerticate.arm
  -format ascii
Puede ver los detalles del certificado:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:

Etiqueta: CACert
Tamaño de la clave: 1024
Versión: X509 V3
Número de serie: 49 49 23 1B
Emitido por: VSR1BK.Server
ISSW
IBM
GB
Tema: VSR1BK
ISSW
IBM
GB
Válido desde: 17 December 2008 16:04:43 o'clock GMT Hasta: 17 December 2009 16:04:43
o'clock GMT
Huella dactilar: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Algoritmo de firma: 1.2.840.113549.1.1.4
Estado de confianza: enabled

Listado de todos los certificados de un almacén de claves

Emita el mandato siguiente:
gsk7cmd -cert -list
  -db nombre_almacén_claves
Por ejemplo:
gsk7cmd -cert -list
  -db myBrokerKeystore.jks
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:

Certificados en la base de datos: myBrokerKeystore.jks
    verisign class 1 public primary certification authority - g3
    verisign class 4 public primary certification authority - g3
    verisign class 1 public primary certification authority - g2
    verisign class 4 public primary certification authority - g2
    verisign class 2 public primary certification authority
    entrust.net global client certification authority
    rsa secure server certification authority
    verisign class 2 public primary certification authority - g3
    verisign class 2 public primary certification authority - g2
    verisign class 3 secure server ca
    verisign class 3 public primary certification authority
    verisign class 3 public primary certification authority - g3
    verisign class 3 public primary certification authority - g2
    thawte premium server ca
    verisign class 1 public primary certification authority
    entrust.net global secure server certification authority
    thawte personal basic ca
    thawte personal premium ca
    thawte personal freemail ca
    verisign international server ca - class 3
    thawte server ca
    entrust.net certification authority (2048)
    cacert
    entrust.net client certification authority
    entrust.net secure server certification authority
    soaplistener
    mycert

Configuración de PKI a nivel de intermediario

Defina las propiedades del registro de intermediario que identifican la ubicación, el nombre y la contraseña de los archivos del almacén de claves y del almacén de confianza.

Estos valores se utilizan como valores predeterminados para el escucha HTTP de intermediario y todos los escuchas HTTP incorporados en los grupos de ejecución del intermediario. Estos valores se pueden alterar para el escucha HTTP de intermediario (consulte Configuración de PKI para el escucha HTTP de intermediario) y para los escuchas HTTP incorporados individuales (consulte Configuración de PKI para un escucha HTTP incorporado de un grupo de ejecución).
  1. Inicie el intermediario:
    mqsistart nombre_intermediario
  2. Visualice los valores actuales de las propiedades del registro de intermediario:
    mqsireportproperties nombre_intermediario 
      -o BrokerRegistry
      –r
  3. Establezca la propiedad del almacén de claves:
    mqsichangeproperties nombre_intermediario
      -o BrokerRegistry
      -n brokerKeystoreFile
      -v dir_instalación\MQSI\8.0\MyBrokerKeystore.jks
  4. Establezca la propiedad del almacén de confianza:
    mqsichangeproperties nombre_intermediario
      -o BrokerRegistry
      -n brokerTruststoreFile
      -v dir_instalación\MQSI\8.0\MyBrokerTruststore.jks
  5. Detenga el intermediario:
    mqsistop nombre_intermediario
  6. Establezca la contraseña para el almacén de claves:
    mqsisetdbparms nombre_intermediario
      -n brokerKeystore::password
      -u ignore
      -p contraseña_almacén_claves
  7. Establezca la contraseña para el almacén de confianza:
    mqsisetdbparms nombre_intermediario
      -n brokerTruststore::password
      -u ignore
      -p contraseña_almacén_confianza
  8. Inicie el intermediario:
    mqsistart nombre_intermediario
  9. Visualice y verifique las propiedades de registro del intermediario:
    mqsireportproperties nombre_intermediario
      -o BrokerRegistry
      –r

Configuración de PKI para el escucha HTTP de intermediario

Defina las propiedades para el escucha HTTP de intermediario para identificar la ubicación, el nombre y la contraseña de los archivos de almacén de claves y de almacén de confianza.

Estos valores alteran temporalmente cualquier configuración de PKI, que esté establecida en el nivel de intermediario. Si habilita SSL en el escucha HTTP del intermediario pero no establece las propiedades siguientes, se aplican los valores de nivel de intermediario; consulte Configuración de PKI a nivel de intermediario.
  1. Inicie el intermediario.
    mqsistart nombre_intermediario
  2. Muestre los valores actuales de las propiedades del escucha del intermediario.
    mqsireportproperties nombre_intermediario
      -b httplistener 
        -o HTTPSConnector 
      -a
  3. Establezca la propiedad del almacén de claves.
    mqsichangeproperties nombre_intermediario
      -b httplistener 
        -o HTTPSConnector 
      -n keystoreFile 
      -v dir_instalación\MQSI\8.0\MyBrokerKeystore.jks
  4. Establezca la propiedad del almacén de confianza.
    mqsichangeproperties nombre_intermediario
      -b httplistener 
        -o HTTPSConnector 
      -n truststoreFile 
      -v dir_instalación\MQSI\8.0\MyBrokerTruststore.jks
  5. Detenga el intermediario:
    mqsistop nombre_intermediario
  6. Establezca la contraseña para el almacén de claves.
    mqsichangeproperties nombre_intermediario
      -b httplistener 
        -o HTTPSConnector 
      -n keystorePass
      -v contraseña_almacén_claves
  7. Establezca la contraseña para el almacén de confianza.
    mqsichangeproperties nombre_intermediario
      -b httplistener 
        -o HTTPSConnector 
      -n truststorePass
      -v contraseña_almacén_confianza
  8. Inicie el intermediario:
    mqsistart nombre_intermediario
  9. Visualice y verifique las propiedades de escucha de intermediario.
    mqsireportproperties nombre_intermediario 
      -b httplistener 
        -o HTTPSConnector 
      -a

Configuración de PKI para un escucha HTTP incorporado de un grupo de ejecución

Defina las propiedades ComIbmJVMManager para el grupo de ejecución necesario con el fin de identificar la ubicación, el nombre y la contraseña de los archivos del almacén de claves y del de almacén de confianza.

Estos valores alteran temporalmente cualquier configuración de PKI, que esté establecida en el nivel de intermediario. Si habilita SSL en un escucha HTTP incorporado, pero no establece las propiedades siguientes, se aplican los valores de nivel de intermediario; consulte Configuración de PKI a nivel de intermediario.
  1. Inicie el intermediario.
    mqsistart nombre_intermediario
  2. Visualice los valores actuales de las propiedades ComIbmJVMManager.
    mqsireportproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -r
  3. Establezca la propiedad del almacén de claves.
    mqsichangeproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -n keystoreFile 
      -v dir_instalación\MQSI\8.0\MyExecGrpKeystore.jks
  4. Establezca la propiedad de la clave de contraseña del almacén de claves. El valor de esta propiedad está en formato un_nombre_prefijo::contraseña. Este valor se utiliza para correlacionar la contraseña que está definida en el mandato mqsisetdbparms.
    mqsichangeproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -n keystorePass
      -v nombre_grupo_ejecuciónKeystore::password
  5. Establezca la propiedad del almacén de confianza.
    mqsichangeproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -n truststoreFile 
      -v dir_instalación\MQSI\8.0\MyExecGrpTruststore.jks
  6. Establezca la propiedad de la clave de contraseña del almacén de confianza. El valor de esta propiedad está en formato un_nombre_prefijo::contraseña. Este valor se utiliza para correlacionar la contraseña que está definida en el mandato mqsisetdbparms.
    mqsichangeproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -n truststorePass
      -v nombre_grupo_ejecuciónTruststore::password
  7. Detenga el intermediario.
    mqsistop nombre_intermediario
  8. Establezca la contraseña para el almacén de claves.
    mqsisetdbparms nombre_intermediario
      -n nombre_grupo_ejecuciónKeystore::password
      -u ignore
      -p contraseña_almacén_claves
  9. Establezca la contraseña para el almacén de confianza.
    mqsisetdbparms nombre_intermediario
      -n nombre_grupo_ejecuciónTruststore::password
      -u ignore
      -p contraseña_almacén_confianza
  10. Inicie el intermediario.
    mqsistart nombre_intermediario
  11. Visualice y verifique las propiedades de ComIbmJVMManager.
    mqsireportproperties nombre_intermediario
      -e nombre_grupo_ejecución
      -o ComIbmJVMManager
      -r

Para obtener información sobre los requisitos de paquete de cifrado (por ejemplo el algoritmo criptográfico y las longitudes de clave correspondientes), consulte Java Secure Socket Extension (JSSE) IBMJSSE2 Provider reference guide.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:18


Tema de tareaTema de tarea | Versión 8.0.0.5 | ap34020_