Generación de claves SSL de controlador de colectivo
Puede utilizar el mandato genKey del programa de utilidad de colectivo para generar un almacén de claves en formato de almacén de claves Java™ (JKS). El almacén de claves contiene un certificado personal que permite la comunicación de la capa de sockets seguros (SSL) con el controlador de colectivo.
Antes de empezar
Cree un controlador de colectivo. Consulte Configuración de un colectivo de Liberty.
Acerca de esta tarea
Las conexiones JMX remotas a un controlador de colectivo utilizan SSL y requieren claves SSL adecuadas. El mandato genKey del programa de utilidad de colectivo genera un almacén de claves que contiene un certificado personal en el que confía el controlador de colectivo. El almacén de claves generado también incluye un certificado de firmante público para que pueda funcionar como un almacén de confianza.
En el caso de una máquina virtual Java (JVM), como por ejemplo un servidor miembro de colectivo o un servidor no Liberty, para conectarse a un controlador de colectivo, la JVM debe tener un almacén de claves que contenga una clave en la que confíe el controlador de colectivo. El mandato genKey genera este almacén de claves. Una vez que JVM tiene el almacén de claves, la JVM puede conectarse al controlador de colectivo y éste puede devolver su clave. Este retorno de la clave del controlador de colectivo a la JVM se denomina reconocimiento SSL.
Para que la JVM añada la clave de controlador de colectivo al almacén de confianza de JVM, se debe utilizar la opción --autoAcceptCertificates. Si no se utiliza la opción --autoAcceptCertificates, se solicita al usuario que añada la clave al almacén de confianza.
Procedimiento
wlp/bin/collective genKey [--host=collectiveControllerHost --password=collectiveControllerAdminUserPassword --port=collectiveControllerHTTPSPort --user=collectiveControllerAdminUserID --keystorePassword=generatedKeystorePassword --autoAcceptCertificates]
Por ejemplo, para un controlador de colectivo en el host machineA que utiliza el puerto 1090 y que tiene un usuario administrativo de controlador de colectivo Admin1 con la contraseña Admin1pwd, ejecute el mandato siguiente para generar un almacén de claves y establecer su contraseña en kspwd:
collective genKey --host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd --autoAcceptCertificates
Este ejemplo incluye los valores necesarios para el mandato genKey:
- --host=hostControladorColectivo
- El nombre de host del controlador de colectivo de destino.
- --password=contraseñaUsuarioAdminControladorColectivo
- La contraseña del usuario administrativo para el controlador de colectivo de destino. Si no se define ninguna contraseña, se le solicitará la contraseña del usuario administrativo especificado por el valor --user.
- --port=puertoHTTPSControladorColectivo
- El número de puerto HTTPS del controlador de colectivo de destino.
- --user=IDUsuarioAdminControladorColectivo
- Un usuario administrativo del controlador de colectivo de destino.
- --keystorePassword=ContraseñaAlmacénClavesGenerado
- La contraseña del almacén de claves generado. Si especifica una contraseña y no hay ningún valor definido, se le solicitará una contraseña.
El mandato genKey también tiene valores opcionales:
- --autoAcceptCertificates
- Confiar automáticamente en los certificados SSL durante este mandato.
- --certificateSubject=DN
- El nombre distinguido (DN) del certificado SSL generado. El DN predeterminado es:
CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
- --certificateValidity=númeroDeDías
- El número de días durante el que el certificado SSL generado es válido. El período de validez predeterminado es de 1825 días, o 5 años. El periodo de validez mínimo es de 365 días.
- --keystoreFile=vía_acceso_archivo
- El archivo en el que se graba el almacén de claves. El valor predeterminado es el archivo key.jks del directorio actual.
- --key=clave
- Una clave que debe utilizarse para la codificación aes. El producto aplica el algoritmo hash a la serie de clave especificada para generar una clave de cifrado que se utiliza para cifrar y descifrar la contraseña. Para proporcionar la clave al servidor, defina la variable wlp.password.encryption.key cuyo valor es la clave. Si no especifica esta opción, el producto suministrará una clave predeterminada.