Un ancla de confianza especifica los almacenes de claves que
contienen certificados raíz de confianza, los cuales validan el
certificado de firmante.
Para validar el certificado de firmante o la firma digital, se
utilizan el generador de solicitudes y el generador de respuestas (cuando los servicios web actúan
como cliente). Puede configurar las anclas de confianza para el enlace del generador a nivel de aplicación utilizando los consola administrativa.
Antes de empezar
Puede configurar un ancla de confianza con la herramienta de ensamblaje o la consola administrativa. En esta tarea se describe cómo configurar anclas de
confianza en el nivel de aplicación mediante la consola administrativa.
Para obtener más información acerca de las herramientas de ensamblaje, consulte la información relacionada.
Acerca de esta tarea
Los almacenes de claves son
críticos para la integridad de la validación de firma digital. Si se
manipula, el resultado de la verificación de firma digital no es fiable y
está comprometida. Por lo tanto, se recomienda que proteja estos almacenes
de claves. La configuración de enlaces especificada para el generador de solicitudes debe
coincidir con la configuración de enlaces del generador de respuestas.
La configuración de anclas de confianza para el generador de solicitudes en el
cliente debe coincidir con la configuración del consumidor de solicitudes en el servidor. Asimismo, la configuración de anclas de confianza para el generador de respuestas en el
servidor debe coincidir con la configuración del consumidor de respuestas en el cliente.
Las
anclas definidas en el nivel de aplicación tienen una prioridad mayor
sobre las anclas de confianza definidas en el nivel de célula o de
servidor. No se describe en esta tarea cómo configurar anclas de confianza a nivel de célula o servidor. Para obtener más información sobre cómo crear y configurar anclas de confianza
en el nivel de célula o de servidor, consulte
Configuración de anclas de confianza a nivel de servidor o de célula.
Efectúe los pasos siguientes para configurar anclas de confianza para el enlace
del generador en el nivel de aplicación:
Procedimiento
- Localice el panel de ancla de confianza en la consola administrativa.
- Pulse .
- En Gestionar módulos, pulse nombre_URI.
- En Propiedades de seguridad de servicios web,
puede acceder a la configuración de las anclas de confianza para los enlaces siguientes:
- Para el enlace del generador (remitente) de solicitudes, pulse Servicios Web:
Enlaces de seguridad del cliente. En Enlace del generador (remitente) de solicitudes, pulse Editar personalizado.
- Para el enlace del generador (remitente) de respuestas, pulse Servicios web: Enlaces de seguridad del servidor. En Enlace del generador (remitente) de respuestas, pulse Editar personalizado.
- En Propiedades adicionales, pulse Anclas de confianza.
- Pulse Nuevo para crear una configuración de ancla de confianza, pulse
en Suprimir para suprimir una configuración existente, o pulse el nombre de una
configuración de localizador de claves existente para editar sus valores. Si está creando una configuración nueva, especifique un nombre exclusivo en el campo Nombre de ancla de confianza.
- Especifique la contraseña, la ubicación y el tipo del almacén de claves. Los archivos de almacén de claves contienen claves públicas y privadas,
certificados de CA raíz, el certificado CA intermedio, etc. Las claves recuperadas del almacén de claves se utilizan para firmar y validar o cifrar y
descifrar los mensajes o partes de los mensajes.
Si ha especificado la implementación com.ibm.wsspi.wssecurity.keyinfo.KeyStoreKeyLocator
como implementación de la clase del localizador de claves, debe especificar una
contraseña de almacén de claves, una ubicación y un tipo.
- Especifique una contraseña en el campo Contraseña del almacén de claves. Esta contraseña se utiliza para acceder al archivo del almacén de claves.
- Especifique la ubicación del archivo de almacén de claves del campo Vía de acceso del almacén de claves.
- Seleccione un tipo de almacén de claves en el campo Tipo de almacén de claves. La extensión JCE (Java™ Cryptography Extension) que utiliza IBM® da soporte a los tipos de almacén de claves siguientes:
- JKS
- Utilice esta opción si no está utilizando JCE (Java Cryptography Extensions) y
si el archivo del almacén de claves utiliza el formato JKS (Java Keystore).
- JCEKS
- Utilice esta opción si está utilizando JCE (Java
Cryptography Extensions).
JCERACFKS
Utilice JCERACFKS si los certificados se almacenan en un conjunto de claves SAF (sólo z/OS).
- PKCS11KS (PKCS11)
- Utilice este formato si el almacén de claves utiliza el formato de archivo PKCS número 11.
Los almacenes de claves que utilizan este formato pueden contener claves RSA en el hardware criptográfico o pueden cifrar claves que utilicen hardware criptográfico para garantizar la protección.
- PKCS12KS (PKCS12)
- Utilice esta opción si el almacén de claves utiliza el formato de archivo PKCS número 12.
WebSphere Application Server proporciona algunos archivos de almacén de claves de ejemplo en el directorio
siguiente, utilizando la variable USER_INSTALL_ROOT:
c:\{USER_INSTALL_ROOT}\etc\ws-security\samples![[AIX HP-UX Solaris]](../images/unix.gif)
${USER_INSTALL_ROOT}/etc/ws-security/samples
Por ejemplo, puede utilizar el archivo de almacén de claves enc-receiver.jceks
para las claves de cifrado. La contraseña de este archivo es Storepass y el tipo es JCEKS.
Restricción: No utilice estos archivos de almacén de claves en
un entorno de producción. Estos ejemplos se proporcionan sólo para pruebas.
Resultados
Mediante esta tarea se configuran las anclas de confianza para el enlace del
generador en el nivel de aplicación.
Qué hacer a continuación
Debe especificar una configuración de ancla de confianza similar para el
consumidor.