Configuración de colectivos con certificados de terceros
SSL protege la comunicación entre controladores y miembros. Cada servidor de un colectivo tiene su propia identidad que está formada por su nombre de host, directorio de usuario y nombre de servidor. Cada servidor de un colectivo tiene dos almacenes de claves que se denominan, de forma predeterminada, serverIdentity.jks y collectiveTrust.jks. El almacén de claves contiene los certificados SSL que se necesitan para declarar su propia identidad y establecer una comunicación de forma segura con otros miembros y controladores dentro del colectivo. Para que una aplicación establezca una conexión de entrada HTTPS. cada servidor tiene dos almacenes de claves más que se denominan de forma predeterminada key.jks y trust.jks.
Antes de empezar
Debe construir el colectivo Liberty. Si desea más información, consulte Configuración de un colectivo Liberty en la documentación del producto.
Para establecer la conexión SSL segura entre el controlador colectivo y un miembro de colectivo, el programa de utilidad de colectivo crea un conjunto de certificados SSL. Estos certificados están firmados por DN=controllerRoot o DN=memberRoot, en función de si el uso del certificado está en el lado del controlador colectivo o el lado del miembro de colectivo en dicho orden. Se añaden a almacenes de claves respectivos de controlador o miembro. Estos certificados garantizan que la conexión SSL segura se establece entre los distintos constituyentes de un colectivo.
Puede utilizar certificados SSL firmados por una entidad emisora (CA) de certificados de terceros para conseguir la misma conexión SSL segura entre los distintos servidores Liberty de un colectivo.
- rookeys.jks
- El almacén de claves solo existe en el lado del controlador colectivo y contiene dos certificados personales autofirmados con los nombres de alias controllerroot y memberroot. El sistema utiliza estos certificados para firmar los certificados personales del controlador colectivo y los certificados personales del miembro de colectivo en dicho orden.
- serverIdentity.jks
- El almacén de claves contiene un certificado personal del controlador en el lado del controlador, y el certificado personal del miembro en el lado del miembro, que se crea automáticamente durante la operación de creación de colectivo. De forma predeterminada, el certificado personal del controlador se firma mediante controllerroot y el certificado personal del miembro se firma mediante memberroot.
- collectiveTrust.jks
- El almacén de confianza contiene certificados de firmante que han firmado el certificado personal de controlador y de miembro, por ejemplo, controllerroot y memberroot.
- key.jks
- El almacén de claves contiene un certificado personal del controlador en el lado del controlador, y el certificado personal del miembro en el lado del miembro, que se crea automáticamente durante la operación de creación de colectivo. De forma predeterminada, el certificado personal del controlador se firma mediante controllerroot y el certificado personal del miembro se firma mediante memberroot.
- trust.jks
- El almacén de confianza contiene certificados de firmante que han firmado el certificado personal de controlador y miembro, por ejemplo, controllerroot y memberroot.
La imagen siguiente muestra los certificados de controlador y miembro:

Acerca de esta tarea
Configure y cambie una configuración de colectivo, de forma que puede utilizar certificados SSL firmados por una entidad emisora de certificado de terceros. Añada una nueva configuración al archivo server.xml para dar soporte a certificados SSL firmados por una CA de terceros. Esta configuración se utiliza para identificar los certificados que se utilizan para operaciones de colectivo cuando no son los predeterminados.
<collectiveCertificate rdn="name=value"></collectiveCertificate>.
- nombre
- Cualquiera de los nombres de atributo rdn en el nombre distinguido del certificado
- value
- Valor de atributo rdn en el nombre distinguido
<collectiveCertificate rdn=" EMAIL=abcd@xyz.com"></collectiveCertificate>
Procedimiento
- Configuración de un colectivo para utilizar un certificado de terceros
- Configuración de un colectivo para trabajar con un certificado personalizado firmado por certificado