Configuración de colectivos con certificados de terceros

SSL protege la comunicación entre controladores y miembros. Cada servidor de un colectivo tiene su propia identidad que está formada por su nombre de host, directorio de usuario y nombre de servidor. Cada servidor de un colectivo tiene dos almacenes de claves que se denominan, de forma predeterminada, serverIdentity.jks y collectiveTrust.jks. El almacén de claves contiene los certificados SSL que se necesitan para declarar su propia identidad y establecer una comunicación de forma segura con otros miembros y controladores dentro del colectivo. Para que una aplicación establezca una conexión de entrada HTTPS. cada servidor tiene dos almacenes de claves más que se denominan de forma predeterminada key.jks y trust.jks.

Antes de empezar

Debe construir el colectivo Liberty. Si desea más información, consulte Configuración de un colectivo Liberty en la documentación del producto.

Para establecer la conexión SSL segura entre el controlador colectivo y un miembro de colectivo, el programa de utilidad de colectivo crea un conjunto de certificados SSL. Estos certificados están firmados por DN=controllerRoot o DN=memberRoot, en función de si el uso del certificado está en el lado del controlador colectivo o el lado del miembro de colectivo en dicho orden. Se añaden a almacenes de claves respectivos de controlador o miembro. Estos certificados garantizan que la conexión SSL segura se establece entre los distintos constituyentes de un colectivo.

Puede utilizar certificados SSL firmados por una entidad emisora (CA) de certificados de terceros para conseguir la misma conexión SSL segura entre los distintos servidores Liberty de un colectivo.

rookeys.jks
El almacén de claves solo existe en el lado del controlador colectivo y contiene dos certificados personales autofirmados con los nombres de alias controllerroot y memberroot. El sistema utiliza estos certificados para firmar los certificados personales del controlador colectivo y los certificados personales del miembro de colectivo en dicho orden.
serverIdentity.jks
El almacén de claves contiene un certificado personal del controlador en el lado del controlador, y el certificado personal del miembro en el lado del miembro, que se crea automáticamente durante la operación de creación de colectivo. De forma predeterminada, el certificado personal del controlador se firma mediante controllerroot y el certificado personal del miembro se firma mediante memberroot.
collectiveTrust.jks
El almacén de confianza contiene certificados de firmante que han firmado el certificado personal de controlador y de miembro, por ejemplo, controllerroot y memberroot.
key.jks
El almacén de claves contiene un certificado personal del controlador en el lado del controlador, y el certificado personal del miembro en el lado del miembro, que se crea automáticamente durante la operación de creación de colectivo. De forma predeterminada, el certificado personal del controlador se firma mediante controllerroot y el certificado personal del miembro se firma mediante memberroot.
trust.jks
El almacén de confianza contiene certificados de firmante que han firmado el certificado personal de controlador y miembro, por ejemplo, controllerroot y memberroot.

La imagen siguiente muestra los certificados de controlador y miembro:

Un diagrama que muestra los almacenes de claves distintos.

Acerca de esta tarea

Configure y cambie una configuración de colectivo, de forma que puede utilizar certificados SSL firmados por una entidad emisora de certificado de terceros. Añada una nueva configuración al archivo server.xml para dar soporte a certificados SSL firmados por una CA de terceros. Esta configuración se utiliza para identificar los certificados que se utilizan para operaciones de colectivo cuando no son los predeterminados.

La configuración contiene lo siguiente:
<collectiveCertificate rdn="name=value"></collectiveCertificate>.
nombre
Cualquiera de los nombres de atributo rdn en el nombre distinguido del certificado
value
Valor de atributo rdn en el nombre distinguido
Por ejemplo, si el certificado aparece como: DN: CN=companyName,OU=WebSphere,O=IBM, EMAIL=abcd@xyz.com, y desea identificar todos los certificados con EMAIL=abcd@xyz.com como certificados de colectivo, debería utilizar el nombre siguiente:
<collectiveCertificate rdn=" EMAIL=abcd@xyz.com"></collectiveCertificate>

Procedimiento

  1. Configuración de un colectivo para utilizar un certificado de terceros
  2. Configuración de un colectivo para trabajar con un certificado personalizado firmado por certificado

Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Thursday, 1 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_config_collective_3rd_party_cert
Nombre de archivo:twlp_config_collective_3rd_party_cert.html