Defina e instale políticas AT-TLS utilizando
el Asistente de configuración de IBM® Configuration
para z/OS Communications
Server.
Puede crear las políticas AT-TLS utilizando el Asistente de configuración de
IBM para z/OS Communications
Server, una aplicación Java™ que puede descargar de IBM.
Para definir las políticas necesarias para habilitar el soporte SSL en nombre de WebSphere Message Broker para z/OS que ejecuta nodos SOAPInput y SOAPInput complete los pasos siguientes:
- Inicie el asistente de configuración pulsando .
- Pulse Add a New z/OS Image, entre el nombre de la imagen
de z/OS (LPAR)
y una descripción, a continuación pulse Aceptar.
- En el panel de navegación del asistente de configuración, seleccione la imagen que ha añadido en el paso 2, pulse Add New TCP/IP
Stack, entre el nombre de pila y la descripción y, a continuación, pulse OK.
- En el panel de navegación del asistente de configuración, seleccione la pila que ha añadido en el paso 3, seleccione AT-TLS de la lista de tecnologías y, a continuación, pulse Enable.
- Pulse Configure.
- Pulse Add. Se abre el asistente Connectivity
Rule. Pulse Siguiente
- Identifique los puntos finales de datos completando los campos siguientes. Una regla genérica facilita la prueba, pero puede concretarse más adelante.
- En el campo de punto final de datos locales, seleccione ALL_IP_Addresses.
- En el campo de punto final de datos remotos, seleccione ALL_IP_Addresses.
- En el campo Connectivity Rule Name, entre un sufijo para el nombre de las reglas y, a continuación, pulse Siguiente.
- Seleccione una correlación de requisitos pulsando Add. La correlación se utiliza para hacer coincidir el tipo de tráfico IP con el nivel de seguridad que AT-TLS implementará.
- Entre un nombre y una descripción para la correlación de requisitos y, a continuación, pulse Work with Traffic Descriptors. Se precisan dos descriptores de tráfico: uno para las solicitudes SOAP de entrada
(WebSphere Message Broker es el servidor) y otro para las solicitudes SOAP de salida (WebSphere Message Broker es el cliente).
- Cree un descriptor de tráfico de entrada pulsando Add ,
entre un nombre y una descripción y, a continuación, pulse Aceptar.
- Entre detalles sobre el descriptor de tráfico de entrada:
- Para el puerto local, seleccione Single port y establezca el número de puerto en
7800 (el puerto en el que escucha normalmente el nodo SOAPInput)
- Para el puerto remoto, seleccione All ports.
- Establezca el campo de dirección Indicate the TCP connect en Inbound
only.
- En el campo Jobname, entre un asterisco (*).
- En el campo User, entre un asterisco (*).
- Seleccione Use the following key ring database.
- Seleccione Key ring is in SAF produce (such as
RACF) y, a continuación, entre el nombre del juego de claves.
- Establezca el rol de reconocimiento AT-TLS en Server y, a continuación, pulse AT-TLS Advanced.
- Entre la etiqueta del certificado personal WebSphere Message Broker y, a continuación, pulse Aceptar.
- Pulse Aceptar para guardar los detalles del tráfico para el tráfico SOAP de entrada y, ac continuación, pulse Aceptar para crear el descriptor de tráfico para SOAP de entrada.
- Cree un descriptor de tráfico de salida pulsando Add ,
añada un nombre y una descripción y, a continuación, pulse OK.
- Entre detalles sobre el descriptor de tráfico de salida:
- Para el puerto local, seleccione All ports.
- Para el puerto remoto, seleccione Single port y establezca el número de puerto en 7843.
- Establezca la indicación de la dirección de conexión TCP en Outbound
only.
- En el campo Jobname, entre un asterisco (*).
- En el campo User, entre un asterisco (*).
- Seleccione Use the following key ring database.
- Seleccione Key ring is in SAF produce (such as
RACF) y, a continuación, entre el nombre del juego de claves.
- Establezca el rol de reconocimiento AT-TLS en Client y, a continuación, pulse AT-TLS Advanced.
- Entre la etiqueta del certificado personal WebSphere Message Broker y, a continuación, pulse Aceptar.
- Pulse Aceptar para guardar los detalles del tráfico para el tráfico SOAP de salida y, a continuación, pulse Aceptar para crear el descriptor de tráfico para SOAP de salida.
- Pulse Cerrar.
- Para crear un nivel de seguridad para WebSphere Message Broker, pulse Work with Security Level y, a continuación, pulse Add.
- En el separador Name and Type, entre un nombre y una descripción.
- En el separador Ciphers, seleccione Use TLS V1, Use
SSL V3 y Use System SSL defaults, a continuación, pulse Aceptar.
- Para añadir descriptores de tráfico a la correlación de requisitos, seleccione SOAP_Server y SOAP_Client en la lista
Objects,y, a continuación, pulse Add.
- Para cada descriptor de tráfico, seleccione el nivel de seguridad AT-TLS que ha creado en el paso 17 y, a continuación, pulse Aceptar.
- Pulse Siguiente y establezca la opción
Optional Connectivity Rule Settings adecuada, que se utiliza para establecer los niveles de rastreo, parámetros de ajuste y tiempos en los que la regla entra en vigor.
- Pulse Finalizar.
- Para guardar los cambios en las reglas AT-TLS, pulse Apply
changes y, a continuación, pulse Main perspective.
- Para instalar la política AT-TLS, seleccione AT-TLS
technology, pulse Install y, a continuación, pulse FTP para enviar las reglas de políticas al LPAR.
- Especifique los parámetros de FTP:
- Entre el nombre de host LPAR y establezca el número de puerto en
21.
- Entre el ID de usuario y la contraseña.
- Entre la ubicación del archivo de políticas AT-TLS y el nombre (por ejemplo, /etc/pagent/TCPIP_TTLS.policy.
- Seleccione Default transfer mode.
- Pulse Send, espere que la transferencia de archivos se haya completado y, a continuación, compruebe si la transferencia se ha realizado correctamente.
- Pulse Cerrar.
- Después de la transferencia de archivos, renueve o renicie PAGENT.
Se han creado y desplegado las políticas AT-TLS.
A continuación: Pruebe y verifique AT-TLS
para
WebSphere Message Broker siguiendo las instrucciones que se indican en
Prueba y verificación de AT-TLS.