Creación de configuraciones de Capa de sockets seguros

Las configuraciones SSL (Capa de sockets seguros) contienen los atributos necesarios para controlar el comportamiento de puntos finales SSL de servidor y cliente. Puede crear configuraciones SSL con nombres únicos dentro de ámbitos de gestión específicos en el árbol de entrada o de salida de la topología de la configuración. Esta tarea muestra cómo definir configuraciones SSL incluida la calidad de protección y los valores del gestor de confianza y de claves.

Antes de empezar

Debe determinar en qué ámbito necesita definir una configuración SSL, por ejemplo, el ámbito de célula, grupo de nodos, nodo, servidor, clúster o punto final, desde el ámbito menos específico al más específico. Cuando define una configuración SSL en el ámbito de nodo, por ejemplo, sólo los procesos de ese nodo pueden cargar la configuración SSL; no obstante, los procesos del punto final de la célula pueden utilizar una configuración SSL en el ámbito de célula, que es superior en la topología.

También debe determinar qué ámbito va a asociar a la nueva configuración SSL de acuerdo a los procesos a los que afecta la configuración. Por ejemplo, una configuración SSL de un dispositivo criptográfico de hardware puede requerir un almacén de claves que sólo esté disponible en un nodo determinado o puede necesitar una configuración SSL para una conexión con un host y puerto SSL en particular. Para obtener más información, consulte Selección de salida dinámica de las configuraciones SSL (Secure Sockets Layer).

Avoid trouble Avoid trouble: El archivo security.xml está restringido. Por lo tanto, si necesita realizar cambios en el archivo security.xml, verifique que su ID de usuario tenga autorización de rol de administrador. Si utiliza un ID de usuario con autorización de rol de operador, puede realizar una sincronización de nodos, pero no se sincronizará ningún cambio que efectúe en el archivo security.xml.gotcha

Acerca de esta tarea

Complete los pasos siguientes en la consola administrativa:

Procedimiento

  1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final.
  2. Seleccione un enlace de configuración SSL en el árbol de entrada o de salida, en función del proceso que esté configurando.
    • Si ya se ha asociado el ámbito a una configuración y un alias, se anotarán entre paréntesis el alias de configuración SSL y el alias de certificado.
    • Si no se incluye la información entre paréntesis, entonces no se asociará el ámbito. En su lugar, el ámbito heredará las propiedades de configuración del primer ámbito por encima de éste que esté asociado a un alias de configuración SSL y de certificado.
    Debe asociarse el ámbito de célula a una configuración SSL porque está al principio de la topología y representa la configuración SSL por omisión de la conexión de entrada o de salida.
  3. Pulse en Configuración SSL. Puede visualizar y seleccionar cualquiera de las configuraciones SSL que se configuran en este ámbito. También puede visualizar y seleccionar estas configuraciones en todos los ámbitos que sean inferiores en la topología.
  4. Pulse en Nueva para mostrar el panel Configuraciones SSL. No puede seleccionar enlaces en Propiedades adicionales hasta que no escriba un nombre de configuración y pulse en Aplicar.
  5. Especifique un nombre de configuración SSL. Este campo es necesario. El nombre de configuración es el alias de configuración SSL. Indique un nombre de alias exclusivo dentro de la lista de alias de configuración SSL que ya se han creado en el ámbito seleccionado. La nueva configuración SSL utiliza este alias para otras tareas de configuración.
  6. Seleccione un nombre de almacén de confianza de la lista desplegable. El nombre de almacén de confianza hace referencia a un almacén de confianza determinado que contiene certificados de firmante que validan la confianza de los certificados enviados por las conexiones remotas durante el reconocimiento de comunicación de SSL. Si no hay ningún almacén de confianza en la lista, consulte el apartado Creación de una configuración de almacén de claves para un archivo de almacén de claves preexistente para crear un nuevo almacén de confianza, que es un almacén de claves cuyo rol es establecer la confianza durante la conexión.
  7. Seleccione un nombre de almacén de claves de la lista desplegable. Un almacén de claves contiene los certificados personales que representan una identidad de firmante y la clave privada que WebSphere Application Server utiliza para cifrar y firmar datos.
    • Si cambia el nombre de almacén de claves, pulse Obtener alias de certificado para renovar la lista de certificados entre los que puede seleccionar un alias por omisión. WebSphere Application Server utiliza un alias de servidor para conexiones de entrada y un alias de cliente para conexiones de salida.
    • Si no hay ningún almacén de claves en la lista, consulte el apartado Creación de una configuración de almacén de claves para un archivo de almacén de claves preexistente para crear un nuevo almacén de claves.
  8. Seleccione un alias de certificado de servidor por omisión para conexiones de entrada. Seleccione el valor por omisión únicamente si no ha especificado un alias de configuración SSL en otro lugar y no ha seleccionado un alias de certificado. Un árbol de configuración gestionado centralmente puede alterar temporalmente el alias por omisión. Para obtener más información, consulte Gestión central de las configuraciones SSL.
  9. Seleccione un alias de certificado de cliente por omisión para conexiones de salida. Seleccione el valor por omisión únicamente si la configuración SSL del servidor especifica una autenticación de clientes SSL.
  10. Revise el ámbito de gestión identificado de la configuración SSL. Haga que el ámbito de gestión de este campo sea idéntico al enlace que ha seleccionado en el paso 2. Si desea cambiar el ámbito, debe pulsar en otro enlace del árbol de la topología y continuar en el Paso 3.
  11. Pulse en Aplicar si tiene previsto configurar Propiedades adicionales. Si no es así, vaya al Paso 24.
  12. Pulse en Valores QoP (Calidad de protección). Los valores QoP definen el nivel del cifrado SSL, la integridad del firmante y la autenticidad del certificado.
  13. Seleccione un valor de autenticación de clientes para establecer una configuración SSL para conexiones de entrada y clientes para enviar sus certificados, si lo desea.
    • Si selecciona Ninguno, el servidor no solicitará que el cliente envíe un certificado durante el reconocimiento de conexión.
    • Si selecciona Soportado, el servidor solicita que el cliente envíe un certificado. No obstante, si el cliente no tiene certificado, es posible que el reconocimiento de conexión se efectúe del mismo modo correctamente.
    • Si selecciona Necesario, el servidor solicita que el cliente envíe un certificado. No obstante, si el cliente no tiene certificado, no se reconocerá la conexión.
    Importante: El certificado de firmante que representa al cliente debe encontrarse en el almacén de confianza seleccionado para la configuración SSL. De forma predeterminada, los servidores dentro de la misma célula confían entre sí porque utilizan el almacén de confianza común, trust.p12, que se ubica en el directorio cell del repositorio de configuración. No obstante, si utiliza almacenes de claves y de confianza que ha creado, realice un intercambio de firmante antes de seleccionar Soportado o Necesario.
  14. Seleccione un protocolo para el reconocimiento de conexión SSL.
    • El protocolo por omisión, SSL_TLS, admite protocolos cliente TLSv1 y SSLv3.
    • El protocolo TLSv1 admite TLS y TLSv1. La conexión de servidor SSL debe admitir este protocolo para que continúe el reconocimiento de conexión.
    • SSLv2
    • SSLv3
    • El protocolo SSLv3 admite SSL y SSLv3. La conexión de servidor SSL debe admitir este protocolo para que continúe el reconocimiento de conexión.
    • TLS es TLSv1
    • TLSv1
    • SSL_TLSv2 es SSLv3 y TLSv1, TLSv1.1, TLSv1.2
    • TLSv1.1
    • TLSv1.2
    Importante: No utilice el protocolo SSLv2 para la conexión de servidor SSL. Utilícelo sólo cuando sea necesario en el cliente.
  15. Seleccione una de las opciones siguientes:
    • Un proveedor JSSE (Java™ Secure Socket Extension) predefinido. Se recomienda utilizar el proveedor IBMJSSE2 en todas las plataformas que dan soporte al mismo. Se requiere para que lo utilice el canal SSL de la infraestructura de canales. Cuando se habilita FIPS (Federal Information Processing Standard), se utiliza IBMJSSE2 junto con el proveedor criptográfico IBMJCEFIPS.
    • Un proveedor de JSSE personalizado. Especifique un nombre de proveedor en el campo Proveedor personalizado.
  16. Seleccione entre los siguientes grupos de suites de cifrado:
    • Alto: Permite que WebSphere Application Server realice algoritmos de confidencialidad de 128 bits para el cifrado y admita algoritmos de firma de integridad. No obstante, un suite de cifrado de nivel alto puede afectar al rendimiento de la conexión.
    • Medio: Permite que WebSphere Application Server realice algoritmos de cifrado de 40 bits para el cifrado y admita algoritmos de firma de integridad.
    • Débil: Permite que WebSphere Application Server admita algoritmos de firma de integridad pero no realizar el cifrado. Seleccione esta opción con cuidado porque las contraseñas u otra información confidencial que pasa por la red podrían estar visibles en un capturador IP (Protocolo Internet).
    • Personalizado: Permite seleccionar cifrados determinados. En el momento en que cambie los cifrados listados de un grupo de suites de cifrado determinado, cambiará el nombre de grupo a Personalizado.
  17. Pulse en Actualizar cifrados seleccionados para mostrar una lista de los cifrados disponibles para cada nivel de cifrado.
  18. Pulse Aceptar para volver al nuevo panel de configuración SSL.
  19. Pulse Gestores de confianza y de claves.
  20. Seleccione un gestor de confianza para la decisión de confianza del reconocimiento de conexión SSL primaria.
    • Seleccione IbmPKIX si necesita una comprobación de CRL (lista de revocación de certificados) con puntos de distribución CRL en los certificados o el OCSP (Online Certificate Status Protocol).
    • Seleccione IbmX509 si no requiere una comprobación de CRL pero necesita un aumento del rendimiento. Puede configurar un gestor de confianza personalizado para realizar la comprobación de CRL, si es necesario.
  21. Defina un gestor de confianza personalizado, si lo desea. Puede definir un gestor de confianza personalizado que se ejecuta con el gestor de confianza por omisión seleccionado. El gestor de confianza personalizado debe implementar la interfaz javax.net.ssl.X509TrustManager JSSE y, de manera opcional, la interfaz com.ibm.wsspi.ssl.TrustManagerExtendedInfo para obtener información específica del producto.
    1. Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final > configuración_SSL > Gestores de confianza y de claves >Gestores de confianza > Nuevo.
    2. Escriba un nombre de gestor de confianza exclusivo.
    3. Seleccione la opción Personalizado.
    4. Escriba un nombre de clase.
    5. Pulse Aceptar. Cuando vuelva al panel Gestores de confianza y de claves, se mostrará el nuevo gestor de confianza personalizado en el campo Gestores de confianza solicitados adicionales. Utilice los recuadros de lista para añadir y eliminar gestores de confianza personalizados.
  22. Seleccione un gestor de claves para la configuración SSL. De forma predeterminada, IbmX509 es el único gestor de claves, a no ser que cree un gestor de claves personalizado.
    Importante: Si determina implementar su propio gestor de claves, podría afectar al comportamiento de la selección de alias porque el gestor de claves se encarga de seleccionar el alias de certificado del almacén de claves. Es posible que el gestor de claves personalizado no interprete la configuración SSL de mismo modo que el gestor de claves IbmX509 de WebSphere Application Server. Para definir un gestor de claves personalizado, pulse Seguridad > Comunicaciones seguras > Configuraciones SSL > configuración_SSL > Gestores de confianza y de claves > Gestores de claves > Nuevo.
  23. Pulse Aceptar para guardar los valores del gestor de confianza y de claves y volver al nuevo panel de configuración SSL.
  24. Pulse Guardar para guardar la nueva configuración SSL.

Resultados

Importante: Puede alterar temporalmente el gestor de confianza cuando configura al menos un gestor de confianza personalizado y establece la propiedad com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined en true. Pulse Propiedad personalizada en el panel de configuración SSL. No obstante, si cambia el valor por omisión, dejará todas las decisiones de confianza al gestor de confianza personalizado, que no se recomienda para entornos de producción. En entornos de prueba, utilice un gestor de confianza ficticio para impedir la validación de certificados. Recuerde que estos entornos no son seguros.

Qué hacer a continuación

En este release de WebSphere Application Server, puede asociar configuraciones SSL con protocolos mediante uno de los siguientes métodos:

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfiguration
File name: tsec_sslconfiguration.html