Los clientes de
WebSphere
Application Server para
z/OS
que se ejecutan en el servidor W50100x o posteriores, con JDK (Java™ Development Kit) 1.3 nivel SR20 o
posteriores, pueden
modificar sus sistemas WebSphere Application Server para
utilizar SAF (System
Authorization Facility) para
JSSE (Java Secure Sockets Extension), así
como SSL (Secure Sockets Layer), que elimina la necesidad de
conservar certificados duplicados en HFS (Sistema de archivos
jerárquico).
Antes de empezar
WebSphere
Application Server para
z/OS,
que se ejecuta en niveles de mantenimiento anteriores a W502000,
almacenaba la información de certificados digitales en dos lugares
distintos debido a las siguientes restricciones de SDK (Software
Development Kit):
- JSSE ha utilizado certificados digitales almacenados en los archivos del sistema de archivo jerárquico.
- SSL ha utilizado información del certificado digital almacenado en la base de datos SAF
Los sistemas personalizados en W502000 o posteriores utilizan el
único repositorio de certificados digital SAF por omisión y no requieren las siguientes modificaciones.
Acerca de esta tarea
Los clientes de
WebSphere
Application Server para
z/OS que
se ejecutan en el servidor W50100x o posterior, con
Java
Development Kit 1.3 nivel SR20 o posterior, pueden modificar sus sistemas
WebSphere
Application Server para utilizar SAF para JSSE, así como SSL (lo que elimina la necesidad
de conservar certificados duplicados en HFS). Las
instrucciones siguientes describen cómo habilitar este soporte.
Nota: Los sistemas que se personalizan
en niveles de mantenimiento o después de que W502000 utilice el repositorio único de certificados digitales (SAF) por omisión, no necesitan las modificaciones siguientes.
Para utilizar los certificados SAF con JSSE:
Procedimiento
- Actualice los valores del conector JMX (Java Management Extensions)
para indicar los nombres del conjunto de claves SAF del nodo.
- Inicie sesión en la consola administrativa mediante una
identidad con autorización de administrador.
- Pulse Servidores > Servidores de aplicaciones > nombre_servidor.
- En Infraestructura del servidor, pulse Administración > Servicios de administración.
- En Propiedades adicionales, pulse Conectores JMX.
- En el panel Conectores JMX, pulse SOAPConnector.
- En Propiedades adicionales, pulse Propiedades personalizadas.
- En la página Propiedades personalizadas, pulse sslConfig.
- En la página sslConfig, localice el campo Valor.
Compruebe que este campo indique nombre_nodo/DefaultSSLSettings, donde nombre_nodo representa el nombre del nodo en el que reside el servidor de aplicaciones. Anote el nombre de nodo para el siguiente paso.
- Seleccione nombre_nodo/RACFJSSESettings en la lista que hay junto al campo Valor, donde nombre_nodo es el nombre de nodo que ha anotado anteriormente.
- Pulse Aceptar. Aparece la página Propiedades personalizadas con
un mensaje que indica que se han realizado los cambios en la configuración
local. No pulse Guardar, ya que son necesarios cambios adicionales.
- Pulse Servidores > Servidores de aplicaciones y repita los
subpasos anteriores con todos los demás servidores de aplicaciones de la
célula.
- Actualice los valores del conector JMX (Java Management Extensions) para
indicar los nombres del conjunto de claves SAF del nodo del gestor de
despliegue.
- Pulse Administración del sistema > Gestor de despliegue.
- En Propiedades adicionales, pulse Servicios de administración
> Conectores JMX.
- En el panel Conectores JMX, pulse SOAPConnector.
- En Propiedades adicionales, pulse Propiedades personalizadas.
- En la página Propiedades personalizadas, pulse sslConfig.
- En la página sslConfig, localice el campo Valor.
Este campo muestra dmnode/DefaultSSLSettings,
donde dmnode representa el nombre del nodo del gestor de despliegue. Anote el nombre de nodo para el siguiente paso.
- Seleccione nodogd/RACFJSSESettings en la lista que aparece
junto al campo Valor, donde nodogd representa el nombre de nodo del
gestor de despliegue.
- Pulse Aceptar. Tras un breve periodo de
tiempo aparece la página Propiedades personalizadas con un mensaje que
indica que se han realizado los cambios en la configuración local. No
pulse Guardar en este momento, ya que son necesarios cambios
adicionales.
- Actualice los valores del conector JMX
(Java
Management Extensions) para indicar los nombres del conjunto de claves
SAF del agente de nodo.
- Pulse Administración del sistema > Agentes de nodo > nombre_nodo. Anote el nombre de agente de nodo para el siguiente paso.
- En Propiedades adicionales, pulse Servicios de administración
> Conectores JMX.
- En el panel Conectores JMX, pulse SOAPConnector.
- En Propiedades adicionales, pulse Propiedades personalizadas.
- En la página Propiedades personalizadas, pulse sslConfig.
- En la página sslConfig, localice el campo Valor.
Este campo muestra
nombre_nodo/DefaultSOAPSSLSettings, donde nombre_nodo es el
nombre del nodo donde reside el agente de nodo. Anote el nombre de nodo para el siguiente paso.
- Seleccione nombrenodo/RACFJSSESettings en la lista que aparece
junto al campo Valor, donde nombrenodo es el nombre de nodo que ha
anotado previamente.
- Pulse Aceptar. Aparece la página Propiedades
personalizadas con un mensaje que indica que se han realizado los cambios
en la configuración local. No pulse Guardar en este momento, ya que
son necesarios cambios adicionales.
- Pulse Administración del sistema > Agentes de nodo y repita los subpasos
anteriores con todos los demás servidores de agentes de nodos de la célula.
- Pulse Guardar cuando vea el mensaje Se han realizado cambios en la configuración local. Pulse Guardar para aplicar los cambios en la configuración maestra.
- En la página Guardar, pulse Sincronizar cambios con
nodos y pulse Guardar. Una vez guardados
los cambios, la consola administrativa vuelve a la página
de presentación.
- Actualice el archivo soap.client.props del directorio raíz_perfil/properties para indicar los nombres de los conjuntos de claves
SAF adecuados para la configuración. El script
wsadmin.sh utiliza el archivo soap.client.props y se
ubica en el archivo (user.install.root)/properties del servidor de
aplicaciones o gestor de despliegue.
El objetivo del archivo soap.client.props es especificar los valores utilizados por clientes
SOAP como, por ejemplo, wsadmin.sh. En una célula
configurada antes del nivel de mantenimiento W502000 de WebSphere Application
Server para
z/OS,
el archivo soap.client.props indica los nombres de los
almacenes de claves
Java
utilizados por JSSE. Una vez que la célula esté
utilizando los conjuntos de claves SAF para la administración JSSE,
verifique que éstos se estén utilizando para los clientes SOAP.
El
script wsadmin.sh utiliza el archivo soap.client.props.
Es necesario que los cambios en los conjuntos de claves SAF de cliente de
wsadmin se actualicen en el archivo
soap.client.props y la
creación de un conjunto de claves para administradores. Especifique los
siguientes valores:
com.ibm.ssl.protocol=SSL
com.ibm.ssl.keyStoreType=JCERACFKS
com.ibm.ssl.keyStore=safkeyring:///suNombreconjuntoclaves
com.ibm.ssl.keyStorePassword=contraseña
com.ibm.ssl.trustStoreType=JCERACFKS
com.ibm.ssl.trustStore=safkeyring:///suNombreconjuntoclaves
com.ibm.ssl.trustStorePassword=contraseña
=
El valor de contraseña especificado no representa una
contraseña real, ya que puede utilizar cualquier serie. Sustituya la serie
suNombreConjuntoclaves por el conjunto de claves SAF administrativo. El
nombre del conjunto de claves que utilizan todos los
administradores de WebSphere
y el ID de usuario de la tarea administrativa iniciada (valor predeterminado WSADMSH) deben coincidir.
Adicionalmente, se debe
crear un conjunto de claves para cada usuario que utilice el archivo
wsadmin.sh con el conector SOAP al utilizar los conjuntos de
claves SAF y esté habilitada la seguridad.
(Se crea un conjunto de claves
por el proceso de personalización para el ID de usuario administrativo
inicial, como por ejemplo WSADMIN.)
Encontrará una
descripción de cómo crear conjuntos de claves para los usuarios
administrativos en SAF en el apartado Consideraciones
sobre SSL para los administradores de WebSphere Application Server.
- Recicle la célula.