Creación de una configuración del conjunto de claves

Puede utilizar conjuntos de claves para gestionar varias instancias de claves criptográficas. WebSphere Application Server utiliza claves para cifrar o firmar datos de salida y para descifrar o verificar datos de entrada durante operaciones criptográficas.

Antes de empezar

Debe tener acceso de escritura en el almacén de claves que contendrá las claves después de generarlas a partir de un conjunto de claves. Sin embargo, si desea generar claves fuera de WebSphere Application Server, puede hacer referencia a las claves de un almacén de claves de sólo lectura que contiene una clave secreta a la que puede acceder al generar las claves. Si está creando un par de claves utilizando un X509Certificate y una clave PrivateKey, consulte Ejemplo: Desarrollo de una clase de generación de claves o de pares de claves para la generación de claves automatizada.

Acerca de esta tarea

Complete los pasos siguientes en la consola administrativa:

Procedimiento

  1. Decida si desea crear el conjunto de claves en el ámbito de la célula o debajo del ámbito de célula en el nodo, servidor o clúster, por ejemplo:
    • Para crear un conjunto de claves en el ámbito de la célula, pulse Seguridad > Certificado SSL y gestión de claves > Conjuntos de claves.
    • Para crear un conjunto de claves en un ámbito debajo del nivel de célula, pulse Seguridad > Certificado SSL y gestión de claves > Gestionar configuraciones de seguridad de punto final > {Entrada | Salida} > configuración_ssl > Conjuntos de claves.
  2. Pulse Nuevo para crear un nuevo conjunto de claves.
  3. Escriba un nombre del conjunto de claves. Por ejemplo, CellmyKey.
  4. Escriba un nombre de prefijo de alias de clave. Por ejemplo, myKey. Este campo especifica el prefijo del alias de clave cuando se genera la nueva clave y se almacena en el almacén de claves. Después del prefijo aparece el número de la versión de la referencia de clave, por ejemplo, 2, así pues, el nombre completo del alias de clave será myKey_2. Si la referencia de claves ya tiene un alias especificado para una clave que existe en el almacén de claves, WebSphere Application Server ignora este campo.
  5. Escriba una contraseña de clave. La contraseña de clave protege la clave en el almacén de claves. WebSphere Application Server ignora esta contraseña si ya ha especificado una contraseña para la referencia de alias de clave. Para consultar una contraseña de referencia de claves, pulse Historial de claves activas en Propiedades adicionales. La contraseña de la referencia de claves protege las claves que son generadas por una clase de generador de claves.
  6. Vuelva a escribir la contraseña para confirmarla.
  7. Opcional: Escriba el nombre de la clase de generador de claves. Por ejemplo, com.ibm.ws.security.ltpa.LTPAKeyGenerator. El nombre de la clase genera claves. Si la clase implementa com.ibm.websphere.crypto.KeyGenerator, un método getKey devuelve un objeto java.security.Key que se establece en el almacén de claves utilizando el método setKey sin una cadena de certificados. Si la clase implementa com.ibm.websphere.crypto.KeyPairGenerator, un método getKeyPair devuelve un objeto com.ibm.websphere.crypto.KeyPair que contiene un objeto java.security.PublicKey y java.security.PrivateKey o un objeto java.security.cert.Certificate y java.security.PrivateKey. La clase del generador de claves y la API KeySetHelper especifican los detalles de las claves que se generan.
  8. Opcional: Seleccione Suprimir las referencias de clave que superan el número máximo de claves si no desea que se guarden las antiguas claves en el almacén de claves después de que WebSphere Application Server elimine sus referencias del historial de claves activas. El historial de claves activas lista las claves que la API KeySetHelper está rastreando actualmente. El número de claves de la lista es igual al número de claves que especifica en Número máximo de claves referenciadas.
  9. Escriba un valor numérico para el número máximo de claves referenciadas. Por ejemplo, si escribe 3 y selecciona Suprimir las referencias de clave que superan el número máximo de claves, la generación de la cuarta versión de clave provoca automáticamente que WebSphere Application Server suprima la primera versión de clave del almacén de claves. Si opta por no suprimir las claves antiguas, no se visualizarán en la lista del historial de claves activas, pero permanecerán en el almacén de claves, donde puede eliminarlas manualmente.
  10. Seleccione un almacén de claves de la lista desplegable.
    • Seleccione un almacén de claves JCEKS, si almacena una clave secreta.
    • Seleccione un almacén de claves si está almacenando un par de claves con un X509Certificate y un objeto PrivateKey.
  11. Opcional: Seleccione Generar pares de claves si el nombre de la clase del generador de claves implementa la interfaz com.ibm.websphere.crypto.KeyPairGenerator, en lugar de la interfaz com.ibm.websphere.crypto.KeyGenerator. Esta opción indica que la clave hace referencia a un par de claves, en lugar de a una única clave. Un par de claves contiene una clave pública y también una clave privada. El tiempo de ejecución de WebSphere Application Server determina si los pares de claves se almacenan y cargan de forma diferente a las claves únicas.
  12. Opcional: Pulse Aplicar si desea seleccionar Historial de claves activas en Propiedades adicionales para añadir referencias de alias o generar más claves.
    1. Pulse Historial de claves activas.
    2. Pulse Añadir referencia de alias de clave si no utiliza el nombre de la clase del generador de claves para añadir las referencias de alias de claves a las claves que ya existen en el almacén de claves. Utilice esta opción para recuperar las claves de un almacén de claves de sólo lectura sin que el conjunto de claves las regenere.
    3. Escriba una referencia de alias.
    4. Pulse Generar clave si desea generar una clave utilizando el nombre de la clase que ha definido en el panel de conjuntos de claves. Cada clave nueva se incrementa numéricamente, por ejemplo, myAlias_2.
    5. Pulse Aplicar.
  13. Pulse el nombre del conjunto de claves en la vía de acceso de navegación.
  14. Pulse Aceptar y Guardar.

Resultados

Ha creado un conjunto de claves que puede gestionar utilizando el enlace Historial de claves activas. Puede generar claves manualmente para asociarlas a los conjuntos de claves especificados.

Qué hacer a continuación

Después de generar nuevas claves a partir de un conjunto de claves, puede acceder a las mismas de forma programática utilizando la API com.ibm.websphere.crypto.KeySetHelper. Debe tener permisos de seguridad de Java™ 2, si se ha habilitado, para acceder a las claves de los conjuntos de claves. Especifique el nombre del conjunto de claves con permisos precisos, tal como se indica en el código de ejemplo: WebSphereRuntimePermission "getKeySets.keySetName". Para obtener más información, consulte Ejemplo: Recuperación de las claves generadas a partir de un grupo de conjuntos de claves.Para generar varios tipos de claves a la vez o planificar la generación de claves en un momento específico, consulte Creación de una configuración del grupo del conjunto de claves.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfkeyset
File name: tsec_sslconfkeyset.html