Almacenes de claves

Liberty sólo puede crear un tipo de almacén de claves de Java™ Keystore (JKS). El soporte para otros tipos de almacén de claves en Liberty puede depender de lo soporte el JRE (Java Runtime Environment) subyacente.

Para obtener más información sobre los atributos de configuración del elemento keystore, consulte Atributos de configuración SSL.

JKS y JCEKS

Java Keystore (JKS) and Java Cryptography Extensions Keystore (JCEKS) son comunes entre el IBM JRE y el Oracle JRE, y se pueden configurar igual utilizando cualquier JRE. JKS es el tipo de almacén de claves predeterminado en Liberty y el único tipo de almacén de claves que puede crear Liberty. Si no se especifica ningún tipo de almacén de claves en la configuración, se utiliza JKS.

Un ejemplo de configuración de almacén de claves JKS es como se muestra a continuación:
     <keyStore id="sampleJKSKeyStore"
      location="MyKeyStoreFile.jks"
      type="JKS" password="myPassword" />
Un ejemplo de configuración de almacén de claves JCEKS es el siguiente:
    <keyStore id="sampleJCEKSKeyStore"
     location="MyKeyStoreFile.jceks"
     type="JCEKS" password="myPassword" />

Almacén de claves PKCS11

Se puede configurar un almacén de claves criptográficas de hardware para que el servidor Liberty pueda utilizarse para proporcionar soporte de señal criptográfica.

El usuario debe proporcionar un archivo de configuración específico de dispositivo de hardware. El archivo de configuración es un archivo de texto que contiene entradas con el formato de atributo = valor. El archivo debe contener al menos los atributos name y library. Por ejemplo:
name = HWDevice
library = /opt/foo/lib/libpkcs11.so

El atributo name es un nombre que se da a esta instancia del dispositivo. El atributo library contiene una vía de acceso a la biblioteca proporcionada por el dispositivo de hardware para acceder al dispositivo. El archivo de configuración también puede contener datos de configuración específicos del dispositivo de hardware.

Para configurar un almacén de claves PKCS11 en Liberty, el elemento keystore debe contener los campos siguientes:
  • id: identifica de forma exclusiva el elemento keystore en la configuración.
  • location: vía de acceso al archivo de configuración específico del dispositivo de hardware.
  • type: PKCS11 debe especificarse como el tipo de almacén de claves.
  • fileBased: debe ser falso para identificar este almacén de claves como un dispositivo.
  • password : contraseña que se necesita para acceder a claves en el dispositivo.
  • provider: proveedor que se necesita. Para IBM® JRE, el valor debe ser IBMPKCS11Impl y, para Oracle JRE, debe ser SunPKCS11.
A continuación, se muestra un ejemplo de configuración:
<keyStore id="hwKeyStore" 
          location="${server.config.dir}/HWCrypto.cfg" 
          type="PKCS11" 
          fileBased="false" 
          password="{xor}Lz4sLCgwLTs=" 
          provider="IBMPKCS11Impl"/>  

Almacén de claves PKCS12

Libery puede utilizar el almacén de claves de los estándares de criptografía de claves públicas #12 (PKCS12), pero no crearlo, al utilizar IBM JRE. Un ejemplo de configuración de almacén de claves PKCS12 es como se muestra a continuación:
    <keyStore id="samplePKCS12KeyStore"
     location="MyKeyStoreFile.p12"
     type="PKCS12" password="myPassword" />

Almacén de claves CMS

Liberty puede configurar el almacén de claves CMS, pero no crearlo, al utilizar IBM JRE, pero es necesaria algo de configuración especial. El proveedor de CMS no está disponible de forma predeterminada en IBM JRE, por lo tanto debe añadirse a la lista de proveedores en el archivo java.security de IBM JRE. En el ejemplo siguiente, la clase com.ibm.security.cmskeystore.CMSProvider se añade al final de la lista. Asegúrese de que el número de proveedor es correcto en la lista de proveedores. Liberty no utiliza el archivo stash de almacén de claves CMS para obtener acceso al almacén de claves.
    security.provider.1=com.ibm.jsse2.IBMJSSEProvider2
    security.provider.2=com.ibm.crypto.provider.IBMJCE
    security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
    security.provider.4=com.ibm.security.cert.IBMCertPath
    security.provider.5=com.ibm.security.sasl.IBMSASL
    security.provider.6=com.ibm.xml.crypto.IBMXMLCryptoProvider
    security.provider.7=com.ibm.xml.enc.IBMXMLEncProvider
    security.provider.8=org.apache.harmony.security.provider.PolicyProvider
    security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
    security.provider.10=com.ibm.security.cmskeystore.CMSProvider
Para utilizar el almacén de claves CMS, la configuración en el archivo server.xml es como se muestra a continuación:
    <keyStore id="sampleCMSKeyStore" 
     password="myPassword"
     location="MyKeyStoreFile.kdb"
     provider="IBMCMSProvider"
     type="CMSKS"/>

Icono que indica el tipo de tema Tema de referencia



Icono de indicación de fecha y hora Última actualización: Tuesday, 6 December 2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-libcore-mp&topic=rwlp_sec_keystores
Nombre de archivo:rwlp_sec_keystores.html