WebSphere Message Broker, Versión 8.0.0.5 Sistemas operativos: AIX, HP-Itanium, Linux, Solaris, Windows, z/OS

Consulte la información sobre la última versión del producto en IBM Integration Bus, Versión 9.0

Habilitar SSL para cuadrículas de WebSphere eXtreme Scale externas

Habilite SSL para una cuadrícula de WebSphere eXtreme Scale externa estableciendo una infraestructura de claves públicas y luego habilitando SSL para un grupo de ejecución.

Antes de empezar:

Lea la información de concepto en Cuadrículas de WebSphere eXtreme Scale y Criptografía de clave pública.

Puede habilitar SSL para las conexiones de cliente a cuadrículas de WebSphere eXtreme Scale externas. No puede habilitar SSL para servidores en la memoria caché global incorporada.

Para habilitar la comunicación SSL, configure el almacén de claves, el almacén de confianza, contraseñas y certificados. Para habilitar la autenticación de servidor, importe el certificado público del servidor de WebSphere eXtreme Scale al almacén de confianza del intermediario o el grupo de ejecución. Si el servidor requiere autenticación de cliente, también debe crear una clave privada en el almacén de claves del intermediario o grupo de ejecución en el que confía el servidor de WebSphere eXtreme Scale.

A continuación, establezca las propiedades en el grupo de ejecución para habilitar SSL y especifique el protocolo necesario. También puede designar una clave determinada para utilizar si tiene más de una. Las conexiones SSL sólo se pueden realizar desde grupos de ejecución que no albergan servidores de catálogo o de contenedor.

Los pasos siguientes describen cómo habilitar SSL para una cuadrícula de WebSphere eXtreme Scale externa.

  1. Configure una infraestructura de claves públicas siguiendo las instrucciones que se indican en Configuración de una infraestructura clave pública. Puede configurar la infraestructura de claves públicas a nivel de intermediario o de grupo de ejecución.

    Las conexiones a cuadrículas de WebSphere eXtreme Scale externas no pueden utilizar implícitamente certificados públicos que encuentren en el archivo cacerts de la JVM.

  2. Para asegurarse de que está habilitando SSL en un grupo de ejecución que no aloja un servidor de catálogo o de contenedor, utilice uno de los métodos siguientes:
    • Establezca la política a nivel de intermediario en none para especificar roles para los grupos de ejecución manualmente. Por ejemplo, para asegurarse de que un grupo de ejecución no aloje un servidor de catálogo o de contenedor, ejecute el siguiente mandato mqsichangeproperties:
      mqsichangeproperties nombre_intermediario -e grupo_ejecución_1 -o ComIbmCacheManager -n enableCatalogService,enableContainerService -v false,false
    • Establezca la política a nivel de intermediario en disabled para desactivar la memoria caché global incorporada y asegurar que ningún grupo de ejecución aloje componentes de servidor de WebSphere eXtreme Scale.
    Para establecer la política a nivel de intermediario, utilice uno de los métodos siguientes:
    • Desde la línea de mandatos, ejecute el siguiente mandato, estableciendo el parámetro -b en none o disabled:
      mqsichangebroker nombreIntermediario -b none
    • Desde WebSphere Message Broker Explorer, pulse el botón derecho del ratón en el intermediario correspondiente, pulse Propiedades, luego Memoria caché global y luego establezca la política de memoria caché en none o disabled.
  3. Opcional: Si establece la política a nivel de intermediario en none, compruebe que las propiedades enableCatalogService y enableContainerService están establecidas en false para cada grupo de ejecución para el que está habilitando SSL.
    Utilice uno de los métodos siguientes:
    • Desde la línea de mandatos, ejecute el siguiente mandato y luego compruebe que las propiedades están establecidas en false:
      mqsireportproperties nombreIntermediario -e nombreGrupoEjecución -o ComIbmCacheManager -r 
    • Desde WebSphere Message Broker Explorer, seleccione las propiedades para cada grupo de ejecución y luego seleccione Memoria caché global. Confirme que las propiedades Servidor de catálogo habilitado y Servidor de contenedor habilitado no están seleccionadas.
  4. Para habilitar SSL, establezca las siguientes propiedades en el grupo de ejecución correspondiente:
    • Para habilitar SSL, establezca clientsDefaultToSSL en true.
    • Para especificar un protocolo SSL, establezca sslProtocol en un valor que sea reconocido por el proveedor de seguridad JSSE2 de IBM®.
    • Si la cuadrícula externa requiere autenticación de cliente y tiene más de una clave privada de confianza en el almacén de claves del intermediario, establezca sslAlias en la clave apropiada.
    Para obtener más información sobre estas propiedades, consulte Valores de parámetro para el componente cachemanager.
    Para establecer estas propiedades en el grupo de ejecución, utilice uno de los métodos siguientes :
    • Desde la línea de mandatos, ejecute el mandato mqsichangeproperties, tal como se muestra en el ejemplo siguiente:
      mqsichangeproperties nombre_intermediario -e grupo_ejecución_1 -o ComIbmCacheManager  -n clientsDefaultToSSL,sslProtocol,sslAlias -v true,SSL_TLS,ProdKey
    • Desde WebSphere Message Broker Explorer, seleccione las propiedades para cada grupo de ejecución y luego seleccione Memoria caché global. Seleccione clientsDefaultToSSL y, si es necesario, establezca el protocolo SSL y el alias de clave SSL.
  5. Reinicie el grupo de ejecución. Para obtener más información, consulte Mandato mqsireload.
  6. Conéctese a la cuadrícula de WebSphere eXtreme Scale siguiendo las instrucciones que se indican en Conectarse a una cuadrícula de WebSphere eXtreme Scale.

Los valores de almacén de claves, almacén de confianza y protocolo se verifican la primera vez que se establece una conexión desde el grupo de ejecución (a la cuadrícula incorporada, o para la primera conexión remota). Los errores en la configuración se notifican como un aviso, y las conexiones SSL quedarán entonces prohibidas. Por ejemplo, se emite un aviso si un archivo de almacén de claves no se encuentra, el archivo está dañado o la contraseña del almacén de claves es incorrecta.

Si habilita SSL e intenta conectarse desde un grupo de ejecución que aloja componentes de servidor de WebSphere eXtreme Scale, la conexión falla con un mensaje de excepción detallado, BIP7144, que explica por qué la conexión ha fallado. Si se produce una excepción de reconocimiento SSL, el flujo de mensajes falla y se emite el mensaje de excepción BIP7147.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Comentarios

Copyright IBM Corporation 1999, 2014Copyright IBM Corporation 1999, 2014.

        
        Última actualización:
        
        Última actualización: 2015-02-28 17:00:53


Tema de tareaTema de tarea | Versión 8.0.0.5 | bc23797_