Actualizaciones de configuración dinámicas en SSL

Durante el tiempo de ejecución de SSL (Secure Sockets Layer), las actualizaciones de configuración dinámicas afectan tanto a los puntos finales SSL de entrada como a los de salida. Para los puntos finales SSL de entrada, los cambios implementados por el canal SSL sólo se ven afectados por los cambios dinámicos. Para los puntos finales SSL de salida, todas las conexiones de salida heredan los nuevos cambios de configuración.

En este release, las funciones de actualización dinámica proporcionan una mayor flexibilidad y eficacia. Puede modificar las configuraciones SSL sin reiniciar WebSphere Application Server para que los cambios entren en vigor.

Para realizar cambios dinámicos, pulse Seguridad > Certificados SSL y gestión de claves en la consola administrativa y, a continuación, seleccione el recuadro de selección Actualizar dinámicamente el tiempo de ejecución cuando se producen cambios de configuración SSL. Debe guardar los cambios y, a continuación, sincronizar el archivo security.xml con los sistemas remotos. Un sistema remoto debe poder confirmar que dynamicallyUpdateSSLConfig=true está en el archivo security.xml.

El tiempo de ejecución SSL recarga la configuración SSL modificada y crea un nuevo SSLEngine para las conexiones modificadas asociadas con los puntos finales de entrada. Las nuevas conexiones de salida utilizan la nueva configuración mientras que las conexiones existentes continúan utilizando el antiguo objeto SSLEngine y no se ven afectadas.

Consejo: Realice cambios dinámicos en la configuración SSL durante las horas de menor actividad. Los retardos de sincronización pueden afectar negativamente a las conexiones cuando se actualicen las configuraciones SSL durante las horas de mayor actividad.
Puede activar o desactivar el atributo dynamicallyUpdateSSLConfig del archivo security.xml para garantizar que las actualizaciones se realicen satisfactoriamente mediante las siguientes acciones:
  1. Establecer dynamicallyUpdateSSLConfig=On.
  2. Guardar la configuración actualizada.
  3. Sincronizar el archivo security.xml con los sistemas remotos.
  4. Establecer el atributo dynamicallyUpdateSSLConfig en Off.
Debe verificar que todos los nodos reciban los cambios antes de desactivar el atributo dynamicallyUpdateSSLConfig. Compruebe los cambios en un entorno de prueba antes de actualizar el entorno de producción.
Consejo: Algunos cambios SSL, especialmente los cambios SSL administrativos, pueden provocar caídas del servidor si no los prueba primero. Cuando un cambio impide la confianza entre dos puntos finales, éstos no pueden comunicarse entre ellos. Adicionalmente, si las actualizaciones de conexiones SSL administrativas provocan caídas del sistema, es posible que necesite inhabilitar los nodos después de realizar los cambios correctivos necesarios utilizando el gestor de despliegue. Desde la línea de mandatos, puede sincronizar manualmente el servidor para recuperar los nuevos cambios SSL y, a continuación, reiniciar los nodos.

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ssldynconfigupdates
File name: csec_ssldynconfigupdates.html