Habilitación de la comunicación SSL en Liberty

Para habilitar la comunicación SSL en Liberty, hay un conjunto mínimo de opciones de configuración SSL. Se da por supuesto que la mayoría de las opciones SSL requieren alguna información de configuración de almacén de claves.

Acerca de esta tarea

La autenticación de cliente SSL se produce durante el reconocimiento de la conexión utilizando certificados SSL. El reconocimiento SSL es una serie de mensajes intercambiados mediante el protocolo SSL para negociar una protección de una conexión específica. Durante el reconocimiento, el servidor seguro solicita al cliente que le envíe un certificado o una cadena de certificados para realizar la autenticación. Para habilitar SSL en Liberty, añada la característica de Liberty ssl-1.0 al archivo del documento raíz de configuración, server.xml, junto con el código de información del almacén de claves para su autenticación.

De forma predeterminada, la vía de acceso y el nombre del archivo de documento raíz de configuración es vía_acceso_a_liberty/wlp/usr/servers/nombre_servidor/server.xml. vía_acceso_a_liberty es la ubicación donde ha instalado Liberty en su sistema operativo y nombre_servidor es el nombre del servidor. Sin embargo, puede cambiar la vía de acceso. Consulte Personalización del entorno de Liberty.

Procedimiento

  1. Habilite la característica de Liberty ssl-1.0 en el archivo server.xml.
    <featureManager>
        <feature>ssl-1.0</feature>
    </featureManager>
    Nota: Si la seguridad de las aplicaciones es necesaria y la información de seguridad se redirige a un puerto seguro, debe añadir la característica de Liberty appSecurity-2.0 al archivo server.xml.
  2. Añada la entrada de objeto de servicio de almacén de claves al archivo server.xml. El elemento keyStore se llama defaultKeyStore y contiene la contraseña de almacén de claves. La contraseña se puede especificar en formato de texto simple o en formato codificado. Se puede utilizar la opción securityUtility encode para codificar la contraseña.
    <keyStore id="defaultKeyStore" password="yourPassword" />
    Un ejemplo de un conjunto de claves SAF en la configuración mínima:
    <keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring" 
              type="JCERACFKS" password="password" fileBased="false" 
              readOnly="true" />

    El conjunto de claves RACF se debe configurar antes de hacerlo para que lo utilice el servidor de Liberty. El servidor no creará certificados y los añadirá en RACF.

    La entrada de almacén de claves única para una configuración SSL se puede ampliar para incluir la ubicación y el tipo también.
    <keyStore id="defaultKeyStore" location="myKeyStore.p12"  password="yourPassword" type="PKCS12" />

    Esta configuración es lo mínimo necesario para crear una configuración SSL. En esta configuración, el servidor crea el almacén de claves y el certificado si no existe durante la inicialización de SSL. La contraseña que se proporciona debe ser de al menos 6 caracteres de longitud. El almacén de claves se supone que es un almacén de claves JKS que se denomina key.jks en el directorio home/resources/security del servidor. Si el archivo no existe en el servidor, se creará. Si el servidor crea el archivo de almacén de claves, también creará el certificado dentro del mismo. El certificado es un certificado firmado automáticamente con una validez de un período de 365 días, el valor CN de subjectDN del certificado es el nombre de host de la máquina donde se está ejecutando el servidor y tiene un algoritmo de firma de SHA256withRSA.

    Nota: Los certificados que crean el servidor de Liberty no están pensados para utilizarse en producción. Se crean pensando en la comodidad del desarrollador. Los certificados que se utilizan en producción deben conformar un certificado encadenado correctamente que haya sido emitido o firmado por una autoridad certificadora de confianza. Si desea utilizar certificados autofirmados con una duración mayor o un valor subjectDN personalizado, se pueden crear mediante la tarea securityUtility createSSLCertificate.

    El parámetro location puede ser una vía de acceso absoluta al archivo de almacén de claves. Si se trata de una vía de acceso absoluta, se supone que el archivo de almacén de claves ya se ha creado. También se pueden especificar otros tipos de almacenes de claves en la configuración SSL mínima si el almacén de archivo ya se ha creado. Cuando se utiliza la configuración SSL mínima, se utilizan los valores predeterminados de la configuración SSL para crear el contexto SSL para un reconocimiento SSL. El protocolo de configuración es SSL_TLS de forma predeterminada. Se pueden utilizar los cifrados HIGH, de 128 bits, y suites de cifrado superiores.


Icono que indica el tipo de tema Tema de tarea



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=twlp_sec_ssl
Nombre de archivo:twlp_sec_ssl.html