Configuración de almacenes de claves, almacenes de confianza, contraseñas y certificados para habilitar la comunicación SSL y seguridad de servicios web.
Nivel de cifrado
Se proporciona un JRE (WebSphere Message Broker Java™ Runtime Environment) con un nivel de cifrado limitado. Si no puede importar claves a los almacenes de claves, el nivel de cifrado limitado puede ser la causa. Inicie ikeyman utilizando el mandato strmqikm o descargue los archivos de políticas de jurisdicción no restringida de IBM® developer kits: Security information.
Importante: Puede que existan restricciones en el país de origen sobre la importación, la posesión, el uso o la reexportación del software de cifrado a otro país. Antes de descargar o utilizar los archivos de políticas sin restricciones, debe consultar las leyes de su país. Compruebe sus reglamentos y las políticas sobre la importación, la posesión, el uso y la reexportación de software cifrado, para determinar si está permitido. Tenga en cuenta que al aplicar un fixpack a una instalación de WebSphere Message Broker existente, se sobrescribe la JVM, incluidos los archivos de conjunto de políticas actualizados. Estos archivos del conjunto de políticas deben restaurarse antes de reiniciar el intermediario.
El archivo de almacén de claves contiene el certificado personal para el intermediario o para el grupo de ejecución. Solamente puede tener un certificado personal en el almacén de claves. Puede almacenar certificados del firmante en el mismo archivo o bien crear un archivo separado conocido como almacén de confianza.
Utilice los certificados autofirmados solamente para probar SSL, no en producción.
gsk7cmd -cert -create
-db nombre_almacén_claves
[-pw contraseña]
-label etiqueta_cert
-dn "distinguished_name"
Por ejemplo:
gsk7cmd -cert -create
-db -myBrokerKeystore.jks
-label MyCert
-dn "CN=MyBroker.Server,O=IBM,OU=ISSW,L=Hursley,C=GB"
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:
Importe un certificado personal de una entidad emisora de certificados para utilizarlo en producción.
gsk7cmd -cert -import
-db nombre_archivo_pkcs12
[-pw contraseña_pkcs12]
-label etiqueta
-type pkcs12
-target nombre_almacén_claves
[-target_pw contraseña_almacén_claves]
Por ejemplo:
gsk7cmd -cert -import
-db SOAPListenerCertificate.p12
-label soaplistener
-type pkcs12
-target myBrokerKeystore.jks
-target_pw myBrokerKpass
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:
gsk7cmd -cert -details
-db nombre_almacén_claves
[-pw contraseña]
-label etiqueta
Por ejemplo:
gsk7cmd -cert -details
-db myKeyStore.jks
-label MyCert
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:
Etiqueta: : MyCert
Tamaño de la clave: 1024
Versión: X509 V3
Número de serie: 4A D7 39 1F
Emitido por: MyBroker.Server
ISSW
IBM
Hursley, GB
Subject: MyBroker.Server
ISSW
IBM
Hursley, GB
Válido desde: 15 October 2009 16:00:47 o'clock BST Hasta: 15 October 2010 16:00:47 o'
clock BST
Huella dactilar: 98:5D:C4:70:A0:28:84:72:FB:F6:3A:D2:D2:F5:EE:8D:30:33:87:82
Algoritmo de firma: 1.2.840.113549.1.1.4
Estado de confianza: enabled
Genere una copia de un certificado autofirmado que pueda importar como certificado de confianza (o certificado de firmante) en un archivo de almacén de confianza. Utilice este procedimiento solamente para realizar comprobaciones, no para producción.
gsk7cmd -cert -extract
-db nombre_almacén_claves
-pw contraseña_almacén_claves
-label etiqueta
-target nombre_archivo
[-format ascii | binary]
Por ejemplo:
gsk7cmd -cert -extract
-db myBrokerKeystore.jks
-pw myKeyPass
-label MyCert
-target MyCert.arm
-format ascii
A continuación, puede ver el certificado en un editor de texto como, por ejemplo, Notepad: notepad MyCert.arm
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Añada un certificado de firmante al almacén de confianza de un intermediario o grupo de ejecución.
Los pasos siguientes muestran cómo añadir un certificado extraído como certificado de firmante en el archivo de almacén de confianza. Si se añade el certificado autofirmado de intermediario a un almacén de confianza de intermediario o de grupo de ejecución se habilitan los nodos de solicitud (HTTP o SOAP) para enviar mensajes de prueba a los nodos de entrada (HTTP o SOAP) cuando los flujos se ejecutan en el intermediario o en el grupo de ejecución.
gsk7cmd -cert -add
-db nombre_almacén_confianza
[-pw contraseña]
-label etiqueta
-file nombre_archivo
-format [ascii | binary]
Por ejemplo:
gsk7cmd -cert -add
-db myBrokerTruststore.jks
-label CACert
-file TRUSTEDPublicCerticate.arm
-format ascii
Puede ver los detalles del certificado:
gsk7cmd -cert -details -db myBrokerTruststore.jks -label CACert
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:
Etiqueta: CACert
Tamaño de la clave: 1024
Versión: X509 V3
Número de serie: 49 49 23 1B
Emitido por: VSR1BK.Server
ISSW
IBM
GB
Tema: VSR1BK
ISSW
IBM
GB
Válido desde: 17 December 2008 16:04:43 o'clock GMT Hasta: 17 December 2009 16:04:43
o'clock GMT
Huella dactilar: CB:39:E7:D8:1D:C0:00:A1:3D:B1:97:69:7A:A7:77:19:6D:09:C2:A7
Algoritmo de firma: 1.2.840.113549.1.1.4
Estado de confianza: enabled
gsk7cmd -cert -list
-db nombre_almacén_claves
Por ejemplo:
gsk7cmd -cert -list
-db myBrokerKeystore.jks
Es necesaria una contraseña para acceder a esta base de datos de claves.
Escriba una contraseña:
Certificados en la base de datos: myBrokerKeystore.jks
verisign class 1 public primary certification authority - g3
verisign class 4 public primary certification authority - g3
verisign class 1 public primary certification authority - g2
verisign class 4 public primary certification authority - g2
verisign class 2 public primary certification authority
entrust.net global client certification authority
rsa secure server certification authority
verisign class 2 public primary certification authority - g3
verisign class 2 public primary certification authority - g2
verisign class 3 secure server ca
verisign class 3 public primary certification authority
verisign class 3 public primary certification authority - g3
verisign class 3 public primary certification authority - g2
thawte premium server ca
verisign class 1 public primary certification authority
entrust.net global secure server certification authority
thawte personal basic ca
thawte personal premium ca
thawte personal freemail ca
verisign international server ca - class 3
thawte server ca
entrust.net certification authority (2048)
cacert
entrust.net client certification authority
entrust.net secure server certification authority
soaplistener
mycert
Defina las propiedades del registro de intermediario que identifican la ubicación, el nombre y la contraseña de los archivos del almacén de claves y del almacén de confianza.
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-o BrokerRegistry
–r
mqsichangeproperties nombre_intermediario
-o BrokerRegistry
-n brokerKeystoreFile
-v dir_instalación\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties nombre_intermediario
-o BrokerRegistry
-n brokerTruststoreFile
-v dir_instalación\MQSI\8.0\MyBrokerTruststore.jks
mqsistop nombre_intermediario
mqsisetdbparms nombre_intermediario
-n brokerKeystore::password
-u ignore
-p contraseña_almacén_claves
mqsisetdbparms nombre_intermediario
-n brokerTruststore::password
-u ignore
-p contraseña_almacén_confianza
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-o BrokerRegistry
–r
Defina las propiedades para el escucha HTTP de intermediario para identificar la ubicación, el nombre y la contraseña de los archivos de almacén de claves y de almacén de confianza.
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-a
mqsichangeproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-n keystoreFile
-v dir_instalación\MQSI\8.0\MyBrokerKeystore.jks
mqsichangeproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-n truststoreFile
-v dir_instalación\MQSI\8.0\MyBrokerTruststore.jks
mqsistop nombre_intermediario
mqsichangeproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-n keystorePass
-v contraseña_almacén_claves
mqsichangeproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-n truststorePass
-v contraseña_almacén_confianza
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-b httplistener
-o HTTPSConnector
-a
Defina las propiedades ComIbmJVMManager para el grupo de ejecución necesario con el fin de identificar la ubicación, el nombre y la contraseña de los archivos del almacén de claves y del de almacén de confianza.
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-r
mqsichangeproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-n keystoreFile
-v dir_instalación\MQSI\8.0\MyExecGrpKeystore.jks
mqsichangeproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-n keystorePass
-v nombre_grupo_ejecuciónKeystore::password
mqsichangeproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-n truststoreFile
-v dir_instalación\MQSI\8.0\MyExecGrpTruststore.jks
mqsichangeproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-n truststorePass
-v nombre_grupo_ejecuciónTruststore::password
mqsistop nombre_intermediario
mqsisetdbparms nombre_intermediario
-n nombre_grupo_ejecuciónKeystore::password
-u ignore
-p contraseña_almacén_claves
mqsisetdbparms nombre_intermediario
-n nombre_grupo_ejecuciónTruststore::password
-u ignore
-p contraseña_almacén_confianza
mqsistart nombre_intermediario
mqsireportproperties nombre_intermediario
-e nombre_grupo_ejecución
-o ComIbmJVMManager
-r
Para obtener información sobre los requisitos de paquete de cifrado (por ejemplo el algoritmo criptográfico y las longitudes de clave correspondientes), consulte Java Secure Socket Extension (JSSE) IBMJSSE2 Provider reference guide.