[AIX Solaris HP-UX Linux Windows][z/OS]

Configure SSL entre el servidor de administración de IBM HTTP Server y el gestor de despliegue

Configure SSL (Capa de Sockets Seguros) entre el gestor de despliegue de WebSphere Application Server y el servidor de administración de IBM® HTTP Server, que se denomina adminctl.

Acerca de esta tarea

El servidor de aplicaciones tiene nuevas funciones de gestión SSL que deben gestionarse de forma adecuada para que IBM HTTP Server se conecte con una solicitud SSL. En releases anteriores, las conexiones SSL utilizaban certificados ficticios predeterminados que se intercambiaban entre IBM HTTP Server y el servidor de aplicaciones. En WebSphere Application Server, debe configurar el servidor de aplicaciones para que acepte un certificado autofirmado de IBM HTTP Server para que se acepten las conexiones SSL y se completen las transacciones.

Si el servidor de aplicaciones y el servidor de administración de IBM HTTP Server no están configurados correctamente, el servidor de aplicaciones muestra los errores que se reciben en el archivo de registro cronológico para el gestor de despliegue. Cuando el servidor de administración de IBM HTTP Server intenta conectarse mediante SSL y el servidor de aplicaciones no está configurado, es posible que reciba un error parecido al mensaje siguiente:
-CWPKI0022E: SSL HANDSHAKE FAILURE:  Un firmante con
SubjectDN "CN=localhost" se ha enviado desde host:puerto "null:null" destino.
Es posible que tenga que añadirse el firmante al almacén de confianza local "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12"
que se encuentra en el alias de configuración SSL "CellDefaultSSLSettings"
 cargado desde el archivo de configuración SSL "security.xml".
El mensaje de error ampliado de la excepción de reconocimiento SSL
 es: "No se ha encontrado certificado de confianza".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h: No se ha encontrado un certificado de confianza

Procedimiento

  1. Obtenga un certificado de servidor. Puede generar un certificado autofirmado nuevo o utilizar el certificado existente del plugin de servidor web de IBM HTTP Server.
    • Utilice el certificado autofirmado existente del plugin de servidor web de IBM HTTP Server.
    • Cree un archivo de base de datos de claves CMS y un certificado de servidor autofirmado. Utilice el programa de utilidad iKeyman para sistemas operativos distribuidos y la herramienta gskkyman para sistemas operativos z/OS. Este paso y los pasos posteriores presuponen que está utilizando el programa de utilidad iKeyman.
      • [AIX Solaris HP-UX Linux Windows]Utilice la línea de mandatos o la interfaz gráfica de usuario del programa de utilidad iKeyman o el programa de utilidad IKEYMAN de IBM HTTP Server para crear un archivo de base de datos de claves CMS y un certificado de servidor autofirmado.
        Utilice el programa de utilidad iKeyman para crear un certificado autofirmado para el servidor de administración de IBM HTTP Server y guarde el certificado como /conf/admin.kdb.
        Best practice Best practice: Anote la contraseña y seleccione Ocultar contraseña en archivo. bprac
        Los campos siguientes son necesarios para el certificado:
        Etiqueta
        adminselfSigned
        Nombre común
        nombre_host_totalmente_calificado
      • [z/OS]IBM HTTP Server utiliza la herramienta gskkyman de z/OS para la gestión de claves, a fin de crear un archivo de base de datos de claves CMS, pares de claves públicas y privadas, y certificados autofirmados. O bien, puede crear un anillo de claves SAF en lugar de un archivo de base de datos de claves CMS.
        • Para obtener información sobre gskkyman, consulte el apartado Gestión de claves mediante la base de datos de claves z/OS nativa.
        • Para obtener información sobre cómo crear anillos de claves SAF, consulte Autenticación con SAF en IBM HTTP Server y Directiva de archivo de claves SSL.
  2. Extraiga el certificado en un archivo mediante el programa de utilidad iKeyman.
    1. Seleccione el certificado que ha creado en el paso 1. Por ejemplo, adminselfSigned.
    2. Pulse Extraer certificado. El nombre de archivo recomendado para la extracción es C:\Archivos de programa\ibm\httpserver\conf\cert.arm.
      Avoid trouble Avoid trouble: No cambie el tipo de datos.gotcha
  3. Modifique el archivo de configuración del servidor de administración, que se denomina admin.conf.
    1. Configure el archivo para que cargue el módulo SSL de IBM. Quite los caracteres de comentario de la línea siguiente:
      LoadModule ibm_ssl_module     modules/mod_ibm_ssl.so
    2. Habilite SSL y defina el archivo de claves a utilizar. Quite los caracteres de comentario de las líneas siguientes para habilitar SSL y definir el archivo de claves a utilizar:
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Archivos de programa/IBM/HTTPServer5/conf/admin.kdb"
      Avoid trouble Avoid trouble: Tenga en cuenta lo siguiente:
      • La directiva del archivo de claves debe coincidir con el nombre y la ubicación de un archivo de claves válido que esté instalado en el sistema.
      • Debe tener instalado el soporte SSL de IBM para que esto funcione correctamente.
      • "default" en SSLServerCert es la etiqueta, o nombre, del certificado autofirmado que se crea cuando se crea el archivo plugin-key.kdb.
      • El ejemplo anterior utiliza SSLServerCert porque el certificado autofirmado predeterminado en plugin-key.kdb no está señalado como certificado predeterminado.
      gotcha
  4. Inicie el servidor de administración para IBM HTTP Server. Verifique que el archivo de registro no contiene errores GSKIT.
  5. Configure WebSphere Application Server.
    1. Inicie la sesión en la consola de administración del servidor de aplicaciones e inicie el gestor de despliegue.
    2. Seleccione Seguridad > Gestión de claves y certificados SSL.
    3. Seleccione Gestionar configuraciones de seguridad de punto final. Accederá a una lista de puntos finales de entrada y de salida.
    4. Seleccione la célula de salida (cellDefaultSSLSettings,null). Seleccione las células de salida porque, en esta configuración, la consola de administración del servidor de aplicaciones es el cliente y el servidor de administración de IBM HTTP Server es el servidor.
      Avoid trouble Avoid trouble: Esta configuración es la opuesta a la configuración SSL con el servidor de aplicaciones y el plugin de IBM HTTP Server.gotcha
    5. En la sección Elementos relacionados, pulse Almacenes de claves y certificados.
    6. Pulse CellDefaultTrustStore.
    7. En la sección Propiedades adicionales, pulse Certificados de firmante.
    8. Transfiera por FTP el archivo de certificado al servidor de aplicaciones. No cambie el tipo de datos.
    9. En el panel de navegación de los certificados de firmante, pulse Añadir. Escriba la información siguiente en los campos.
      Tabla 1. Información de certificado de firmante
      Nombre Valor
      Alias adminselfSigned
      Nombre de archivo nombre_archivo
      Por ejemplo, escriba lo siguiente:
      c:\archivos de programa\ibm\httpserver\conf\cert.arm
    10. Guarde los cambios de configuración en la consola de administración.
    11. Detenga el gestor de despliegue.
    12. Inicie el gestor de despliegue.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_setupsslwithwas
File name: tihs_setupsslwithwas.html