[AIX Solaris HP-UX Linux Windows][z/OS]

Seguridad con las comunicaciones SSL

En este apartado se proporciona información para ayudar a configurar SSL (Secure Sockets Layer) utilizando el archivo de configuración httpd.conf por omisión.

Acerca de esta tarea

Para cada host virtual, establezca la especificación de cifrado que debe utilizarse durante las transacciones seguras. Las especificaciones de cifrado especificadas se validan contra el nivel del GSK (Global Security Kit) que haya instalado en el sistema. Las especificaciones de cifrado no válidas provocan un error que se registra en las anotaciones cronológicas de error. Si el cliente que emite la petición no soporta los cifrados especificados, la petición falla y la conexión se cierra para el cliente.

IBM® HTTP Server tiene una lista de especificaciones de cifrado incorporada que utiliza para comunicarse con clientes en SSL (Secure Sockets Layer). La especificación de cifrado real que se utiliza para una conexión de cliente concreta se selecciona entre aquéllas que admiten los dos, IBM HTTP Server y el cliente.

Algunas especificaciones de cifrado proporcionan un nivel de seguridad menor que otras y quizá sea necesario evitarlas por motivos de seguridad. Algunas de las especificaciones de cifrado más seguras tienen mayor volumen de cálculos que las especificaciones de cifrado menos seguras y podrían evitarse si es necesario por motivos de rendimiento. Puede utilizar la directiva SSLCipherSpec para proporcionar una lista personalizada de especificaciones de cifrado que el servidor web admite con el fin de impedir la selección de especificaciones de cifrado que se consideran poco seguras o que tienen un alto volumen de cálculos.

Si no especifica las especificaciones de cifrado mediante la directiva SSLCipherSpec, IBM HTTP Server Versión 8.0 y posteriores utiliza un conjunto de cifrados predeterminado conservador. El conjunto de cifrados predeterminado excluye SSL Versión 2, los cifrados nulos y los cifrados poco seguros. Los cifrados poco seguros incluyen a los cifrados de exportación. Estos valores predeterminados se pueden ver en tiempo de ejecución en el registro de errores habilitando LogLevel debug y SSLTrace.

Procedimiento

  1. [AIX Solaris HP-UX Linux Windows] Utilice el programa de utilidad IKEYMAN (interfaz gráfica de usuario) de IBM HTTP Server o el programa de utilidad IKEYMAN (línea de mandatos) para crear un archivo de base de datos de claves CMS y un certificado de servidor.
  2. [z/OS] IBM HTTP Server utiliza la herramienta gskkyman de z/OS para la gestión de claves, a fin de crear un archivo de base de datos de claves CMS, pares de claves públicas y privadas y certificados de servidor. O bien, puede crear un anillo de claves SAF en lugar de un archivo de base de datos de claves CMS.
  3. Habilite las directivas SSL en el archivo de configuración httpd.conf de IBM HTTP Server.
    1. Elimine la marca de comentario de la directiva de configuración LoadModule ibm_ssl_module modules/mod_ibm_ssl.so.
    2. Cree una stanza de host virtual SSL en el archivo httpd.conf utilizando los ejemplos y directivas que figuran a continuación.
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
        Listen 443
        <VirtualHost *:443>
          SSLEnable
        </VirtualHost>
      SSLDisable	  
      KeyFile "c:/Archivos de programa/IBM HTTP Server/key.kdb"

      En este segundo ejemplo se supone que está habilitando un solo sitio web para utilizar SSL y que el nombre de servidor es distinto del nombre de servidor que está definido en el ámbito global no para SSL (puerto 80). Los dos nombres de host deben registrarse en un servidor de nombres de dominio (DNS) en una dirección IP aparte y debe configurar las dos direcciones IP en tarjetas de interfaz de red locales.

      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      <Directory>
      
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/Archivos de programa/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
      En este tercer ejemplo se supone que está habilitando varios sitios web para utilizar SSL. Todos los nombres de host deben registrarse en el servidor de nombres de dominio (DNS) en una dirección IP aparte. Además, debe configurar todas las direcciones IP en una tarjeta de interfaz de red local. Utilice la Directiva SSLServerCert para identificar qué certificado de servidor personal del archivo de base de datos de claves pasa al navegador de cliente durante el reconocimiento SSL para cada sitio web. Si no ha definido la directiva SSLServerCert, IBM HTTP Server pasa el certificado del archivo de base de datos de claves que está marcado (*) como la "clave por omisión".
      Listen 80
      ServerName www.mycompany.com
      
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs"
      DirectoryIndex index.html
      
      <VirtualHost 192.168.1.103:80>
      ServerName www.mycompany2.com
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:80>
      ServerName www.mycompany3.com
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      Listen 443
      <VirtualHost 192.168.1.102:443>
      ServerName www.mycompany.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs"
      DirectoryIndex index.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.103:443>
      ServerName www.mycompany2.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany2
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs2">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs2"
      DirectoryIndex index2.html
      </VirtualHost>
      
      <VirtualHost 192.168.1.104:443>
      ServerName www.mycompany3.com
      SSLEnable
      SSLClientAuth None
      SSLServerCert mycompany3
      <Directory "c:/Archivos de programa/IBM HTTP Server/htdocs3">
      Options Indexes
      AllowOverride None
      order allow,deny
      allow from all
      </Directory>
      DocumentRoot "c:/Archivos de programa/ibm http server/htdocs3"
      DirectoryIndex index3.html
      </VirtualHost>
      
      SSLDisable
      KeyFile "c:/Archivos de programa/ibm http server/key.kdb"
      SSLV2Timeout 100
      SSLV3Timeout 1000
Tema de tarea    

Términos y condiciones para centros de información | Comentarios

Última actualización: October 10, 2014 03:11 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_setupssl
Nombre de archivo: tihs_setupssl.html