Instalación segura para la recuperación de firmantes de cliente en SSL
Cada perfil del entorno de WebSphere Application Server contiene un certificado encadenado exclusivo firmado por un certificado raíz de larga duración exclusivo creado durante la creación del perfil. Este certificado sustituye al certificado autofirmado predeterminado que se entrega con WebSphere Application Server Versión 6.1, así como el certificado ficticio predeterminado que se entrega en los releases anteriores a la Versión 6.1. Cuando un perfil se federa en un gestor de despliegue, el firmante del certificado de firma raíz se añade al almacén de confianza común de la célula; de este modo, se establece confianza para todos los certificados firmados por dicho certificado raíz.

Por omisión, los clientes no confían en los servidores de distintos perfiles del entorno de WebSphere Application Server. Es decir, no contienen el firmante raíz para esos servidores. Puede realizar varias acciones para ayudar a establecer esta confianza:
- Habilite el indicador de intercambio de firmante para aceptar al firmante durante el intento de conexión.
- Ejecute el programa de utilidad retrieveSigners para bajar los firmantes de ese sistema antes realizar la conexión.
- Copie el archivo trust.p12 del directorio /config/cells/<nombre_célula>/nodes/<nombre_nodo> del perfil de servidor en el directorio /etc del cliente. Actualice la configuración SSL para que refleje el nombre de archivo y contraseña nuevos, si son distintos. Al copiar el archivo, el cliente recibe un archivo trust.p12 que contiene todos los firmantes de los servidores de esa célula. Asimismo, puede necesitar realizar este paso para los clientes de nivel anterior que todavía utilizan el archivo DummyClientTrustFile.jks. En este caso, es posible que necesite modificar el archivo sas.client.props o soap.client.props para que refleje el almacén de confianza, la contraseña de almacén de confianza y el tipo de almacén de confianza (PKCS12) nuevos.
Utilización del indicador de intercambio de firmante para recuperar los firmantes de un cliente
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
C:\WASX_e0540.11\AppServer\profiles\AppSrv01\bin\serverStatus -all ADMU0116I: La información de herramienta se está registrando en el archivo
C:\WASX_e0540.11\AppServer\profiles\AppSrv01\logs\serverStatus.log ADMU0128I: Iniciando la herramienta con el
perfil AppSrv01 ADMU0503I:
Recuperando el estado de servidor de todos los servidores
ADMU0505I: Servidores encontrados en la configuración:
ADMU0506I: Nombre de servidor: dmgr
*** INDICADOR DE INTERCAMBIO DE FIRMANTE SSL *** El firmante SSL del host de destino 192.168.1.5 no se ha encontrado en el almacén de confianza
C:\WebSphere\AppServer\profiles\AppSrv01\etc\trust.p12.
A continuación se muestra la información del firmante (verifique que el
valor de conversión coincida con el que aparece en el servidor):
Subject DN: CN=myhost.austin.ibm.com, OU=myhostNode01Cell, OU=myhostNode01, O=IBM, C=US
Issuer DN: CN=myhost.austin.ibm.com, OU=Root Certificate, OU=myhostNode01Cell, OU=myhostNode01,
O=IBM, C=US
Serial number: 2510775664686266 Expires: Thu Feb 19 15:58:49 CST 2009
SHA-1 Digest: 2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
Subject DN: CN=myhost.austin.ibm.com, OU=Root Certificate, OU=myhostNode01Cell,
OU=myhostNode01, O=IBM, C=US Issuer DN: CN=myhost.austin.ibm.com, OU=Root
Certificate, OU=myhostNode01Cell, OU=myhostNode01, O=IBM, C=US Serial number:
2510773295548841 Expires: Tue Feb 15 15:58:46 CST 2028 SHA-1 Digest:
2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
¿Desea añadir ahora el firmante al almacén de confianza? (y/n) Podría ser necesario un reintento de la petición.
ADMU0508I:
El gestor de despliegue "dmgr" está INICIADO
![[IBM i]](../images/iseries.gif)
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/bin/serverStatus -all ADMU0116I:
La información de la herramienta se anota en el archivo
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/logs/serverStatus.log ADMU0128I:
Iniciando la herramienta con el perfil dmgr ADMU0503I:
Recuperando el estado de servidor de todos los servidores
ADMU0505I: Servidores encontrados en la configuración:
ADMU0506I: Nombre de servidor:
dmgr *** INDICADOR DE INTERCAMBIO DE FIRMANTE SSL *** El firmante SSL del host de destino 192.168.1.5 no
se ha encontrado en el almacén de confianza
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/etc/trust.p12.
A continuación se muestra la información del firmante (verifique que el
valor de conversión coincida con el que aparece en el servidor):
Subject DN: CN=myhost.austin.ibm.com, OU=myhostNode01Cell, OU=myhostNode01, O=IBM, C=US
Issuer DN: CN=myhost.austin.ibm.com, OU=Root Certificate, OU=myhostNode01Cell, OU=myhostNode01,
O=IBM, C=US
Serial number: 2510775664686266 Expires: Thu Feb 19 15:58:49 CST 2009
SHA-1 Digest: 2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
Subject DN: CN=myhost.austin.ibm.com, OU=Root Certificate, OU=myhostNode01Cell,
OU=myhostNode01, O=IBM, C=US Issuer DN: CN=myhost.austin.ibm.com, OU=Root
Certificate, OU=myhostNode01Cell, OU=myhostNode01, O=IBM, C=US Serial number:
2510773295548841 Expires: Tue Feb 15 15:58:46 CST 2028 SHA-1 Digest:
2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
¿Desea añadir ahora el firmante al almacén de confianza? (y/n) Podría ser necesario un reintento de la petición.
ADMU0508I:
El gestor de despliegue "dmgr" está INICIADO
![[IBM i]](../images/iseries.gif)
/QIBM/UserData/WebSphere/AppServer/V85/profiles/default/bin/serverStatus -all ADMU0116I:
La información de la herramienta se anota en el archivo
/QIBM/UserData/WebSphere/AppServer/V85/profiles/default/logs/serverStatus.log ADMU0128I:
Iniciando la herramienta con el perfil predeterminado ADMU0503I: Recuperando el estado de servidor para todos los servidores
ADMU0505I: Servidores encontrados en
la configuración: ADMU0506I: Nombre de servidor: server1
*** INDICADOR DE INTERCAMBIO DE FIRMANTE SSL *** El firmante SSL del host de destino 192.168.1.5
no se encuentra en el almacén de confianza
/QIBM/UserData/WebSphere/AppServer/V85/profiles/default/etc/trust.p12.
Aquí está la información de firmante
(verifique que el valor de conversión coincida con el que se visualiza en el servidor):
Subject DN: CN=myhost.austin.ibm.com, OU=myhostNode01Cell, OU=myhostNode01,
O=IBM, C=US Issuer DN:
CN=myhost.austin.ibm.com, O=IBM, C=US
Serial number: 2510775664686266 Expires: Thu Feb 19 15:58:49 CST 2009
SHA-1 Digest: 2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
Subject DN: CN=myhost.austin.ibm.com, OU=Root Certificate, OU=myhostNode01Cell,
OU=myhostNode01, O=IBM, C=US Issuer DN: CN=myhost.austin.ibm.com, OU=Root
Certificate, OU=myhostNode01Cell, OU=myhostNode01, O=IBM, C=US Serial number:
2510773295548841 Expires: Tue Feb 15 15:58:46 CST 2028 SHA-1 Digest:
2F:96:70:23:08:58:6F:66:CD:72:61:E3:46:8B:39:D4:AF:62:98:C3
MD5 Digest: 04:53:F8:20:A2:8A:6D:31:D0:1D:18:90:3D:58:B9:9D
¿Desea añadir ahora el firmante al almacén de confianza? (y/n) Podría ser necesario un reintento de la petición.
ADMU0508I: El gestor de aplicaciones "server1" está INICIADO
Para automatizar este proceso, consulte mandato retrieveSigners.Cuando aparece un indicador para aceptar el firmante, puede excederse el tiempo de espera de socket y puede interrumpirse la conexión. Por este motivo, puede que se produzca el mensaje de reintento de la solicitud. después de responder la solicitud. El mensaje informa al usuario de que debe volver a enviar la solicitud. Este problema no debe ocurrir con frecuencia y puede que sea más frecuente con algunos protocolos que con otros.
Puede que sea necesario volver a realizar la solicitud si el socket excede el tiempo de espera mientras espera una respuesta para la solicitud. Si es necesario volver a realizar la solicitud, tenga en cuenta que la solicitud no se volverá a visualizar si especifica (y), que indica que el firmante ya se ha añadido al almacén de confianza.
Verifique la conversión SHA-1 mostrada, que es la firma del certificado que envía el servidor. Si examina el certificado del servidor, verifique que aparece la misma conversión SHA-1.
Puede inhabilitar el indicador cuando no desee que aparezca ejecutando el programa de utilidad retrieveSigners para recuperar todos los firmantes de una célula determinada. Puede bajar o subir los firmantes de cualquier almacén de claves remoto a cualquier almacén de claves local haciendo referencia a un almacén de confianza común con este script de cliente. Para obtener más información, consulte Configuración de certificado encadenado por defecto en SSL.
Utilización del programa de utilidad retrieveSigners para bajar firmantes para un cliente
Puede ejecutar el programa de utilidad retrieveSigners para recuperar todos los firmantes del almacén de claves remoto para un almacén de claves de cliente específico.El almacén de claves remoto típico al que se hace referencia es CellDefaultTrustStore.
El almacén de claves contiene los firmantes que permiten al cliente conectarse con sus procesos. El programa de utilidad retrieveSigners puede señalar a cualquier almacén de claves de la configuración de destino, dentro del ámbito del proceso de destino, y puede bajar los firmantes (sólo las entradas de certificado) a cualquier almacén de claves de cliente del archivo ssl.client.props.![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
C:\WASX_e0540.11\AppServer\profiles\AppSrv01\bin\retrieveSigners.bat CellDefaultTrustStore
ClientDefaultTrustStore -autoAcceptBootstrapSigner CWPKI0308I: Añadiendo alias de firmante
"CN=myhost.austin.ibm.com,
O=IBM, C=US" a almacén de claves local "ClientDefaultTrustStore" con la conversión SHA
siguiente: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA CWPKI0308I:
Añadiendo alias de firmante "default" a
almacén de claves local "ClientDefaultTrustStore" con la conversión SHA siguiente:
40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:92:9E:37:8D:51:A5:47
![[IBM i]](../images/iseries.gif)
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/bin retrieveSigners CellDefaultTrustStore
ClientDefaultTrustStore -autoAcceptBootstrapSigner CWPKI0308I: Añadiendo alias de firmante "CN=myhost.austin.ibm.com,
O=IBM, C=US" a almacén de claves local "ClientDefaultTrustStore" con la siguiente
conversión SHA: 91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA CWPKI0308I: Añadiendo alias de firmante
"default" a almacén de claves local
"ClientDefaultTrustStore" con la siguiente conversión SHA: 40:20:CF:BE:B4:B2:9C:F0:96:4D:EE:E5:14:
92:9E:37:8D:51:A5:47
Utilice la opción –autoAcceptBootstrapSigner para permitir que
WebSphere Application Server recupere automáticamente el firmante para las
conexiones administrativas y lo acepte. La conversión SHA-1 se imprime
muestras que se añade el firmante para que pueda verificar la conversión
después de que se complete la operación. Obtención de firmantes para clientes y servidores de un release anterior
Para recopilar todos los firmantes para la célula en un único archivo de almacén de claves trust.p12, complete los siguientes pasos:
- Copie el archivo de almacén de claves trust.p12 en el servidor y duplíquelo en el cliente. El cliente hace referencia al archivo directamente desde los archivos sas.client.props y soap.client.props que especifican las propiedades SSL de anteriores releases.
- Cambie la contraseña de almacén de claves del extremo del cliente para que coincida con el nombre de célula por omisión que está asociado con el almacén de claves copiado.
- Cambie el tipo de almacén de claves predeterminado para el archivo trust.p12 a PKCS12 en la configuración de cliente.
Los siguientes dos ejemplos de código muestran una vista anterior y posterior de los cambios que se van a realizar.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=file\:/// C\:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/
DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=
file\:/// C\:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/DummyClientTrustFile.jks
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw\=
com.ibm.ssl.trustStoreType=JKS
![[IBM i]](../images/iseries.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/
dmgr/etc/DummyClientKeyFile.jks
com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=
/QIBM/UserData/WebSphere/
AppServer/V85/ND/profiles/dmgr/etc/DummyClientTrustFile.jks com.ibm.ssl.trustStorePassword={xor}CDo9Hgw\
= com.ibm.ssl.trustStoreType=JKS
![[IBM i]](../images/iseries.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V85/Base/
profiles/default/
etc/DummyClientKeyFile.jks
com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS com.ibm.ssl.trustStore=
/QIBM/UserData/WebSphere/AppServer/
V85/Base/profiles/default/etc/DummyClientTrustFile.jks com.ibm.ssl.trustStorePassword={xor}CDo9Hgw\=
com.ibm.ssl.trustStoreType=JKS
Cambios de configuración SSL necesarios para el archivo de almacén de confianza común en el directorio /etc del cliente![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[z/OS]](../images/ngzos.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=file\:/// C\:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/
DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=file\:/// C\:/SERV1_601_0208/AppServer/profiles/AppSrv01/etc/trust.p12
com.ibm.ssl.trustStorePassword=myhostNode01Cell com.ibm.ssl.trustStoreType=PKCS12
![[IBM i]](../images/iseries.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/etc/
DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/dmgr/etc/trust.p12
com.ibm.ssl.trustStorePassword=myhostNode01Cell com.ibm.ssl.trustStoreType=PKCS12
![[IBM i]](../images/iseries.gif)
com.ibm.ssl.protocol=SSL com.ibm.ssl.keyStore=/QIBM/UserData/WebSphere/AppServer/V85/Base/
profiles/default/etc/
DummyClientKeyFile.jks com.ibm.ssl.keyStorePassword={xor}CDo9Hgw\= com.ibm.ssl.keyStoreType=JKS
com.ibm.ssl.trustStore=/QIBM/UserData/WebSphere/AppServer/V85/Base/profiles/default/etc/trust.p12
com.ibm.ssl.trustStorePassword=myhostNode01Cell com.ibm.ssl.trustStoreType=PKCS12
También puede realizar estos cambios en el archivo soap.client.props y especificar el archivo key.p12 en lugar del archivo DummyClientKeyFile.jks. No obstante, también debe cambiar los valores de keyStorePassword y keyStoreType para que coincidan con los del archivo key.p12 predeterminado.
En los releases de WebSphere Application Server anteriores a la Versión 7.0, debe editar la configuración SSL en el servidor para sustituir el almacén de confianza común. El archivo trust.p12, que utiliza el servidor, también debe contener el firmante de certificado ficticio predeterminado para las conexiones entre servidores en niveles anteriores de release. Es posible que necesite extraer manualmente el certificado predeterminado del archivo DummyServerKeyFile.jks y, a continuación, importarlo al archivo trust.p12 que ha añadido a la configuración.