Archivo de configuración del cliente ssl.client.props
Utilice el archivo ssl.client.props para configurar SSL (Secure Sockets Layer) para clientes. En los releases anteriores de WebSphere Application Server, se especificaban las propiedades de SSL en los archivos sas.client.props o soap.client.props como propiedades del sistema. Al consolidar las configuraciones, WebSphere Application Server le permite gestionar la seguridad de un modo comparable a la gestión de la configuración del extremo del servidor. Puede configurar el archivo ssl.client.props con varias configuraciones SSL.
Configuración SSL para clientes
Los tiempos de ejecución de cliente dependen de las configuraciones de ssl.client.props de WebSphere Application Server.
Utilice el script setupCmdLine.bat en la línea de mandatos para especificar la propiedad del sistema
com.ibm.SSL.ConfigURL.
Utilice el script setupCmdLine.sh en la línea de mandatos para especificar la propiedad del sistema
com.ibm.SSL.ConfigURL.
La propiedad com.ibm.SSL.ConfigURL hace referencia a un URL de archivo que indica al archivo ssl.client.props.
Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice
el archivo setupCmdLine.bat.
La propiedad com.ibm.SSL.ConfigURL hace referencia a un URL de archivo que indica al archivo ssl.client.props.
Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice
el archivo setupCmdLine.sh.
Utilice el script setupCmdLine en la línea de mandatos para especificar la propiedad del sistema
com.ibm.SSL.ConfigURL. El script setupclient también establece la variable CLIENTSSL. La propiedad com.ibm.SSL.ConfigURL hace referencia a un archivo de URL que apunta al archivo ssl.client.props.
Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice
el archivo setupCmdLine.
com.ibm.ssl.alias=DefaultSSLSettings
com.ibm.ssl.alias=DefaultSSLSettings
En el archivo ssl.client.props, puede cambiar la configuración SSL administrativa para no tener que modificar el archivo soap.client.props. ![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
-Djava.security.properties=profile_root/properties/java.security
Propiedades del archivo ssl.client.props
En esta sección se describen detalladamente las propiedades del archivo ssl.client.props por omisión según las secciones contenidas en el archivo. Debe tener en cuenta que si especifica propiedades del sistema javax.net.ssl, éstas sustituirán los valores del archivo ssl.client.props.Propiedades globales:
Las propiedades SSL globales son propiedades específicas de los procesos que incluyen la habilitación
de FIS (Federal Information
Processing Standard), del alias SSL por omisión, de la propiedad user.root
para especificar la ubicación raíz de las vías de acceso de claves y del almacén de confianza, etc.
Las propiedades SSL globales son propiedades específicas de los procesos que incluyen la habilitación
de FIS (Federal Information
Processing Standard), del alias SSL por omisión, de la propiedad profile_root del perfil
para especificar la ubicación raíz de las vías de acceso de claves y del almacén de confianza, etc.
Propiedad | Valor predeterminado | Descripción |
---|---|---|
com.ibm.ssl.defaultAlias | DefaultSSLSettings | Especifica el alias por omisión que se utiliza siempre que no se especifique un alias en el protocolo que llama a la API de JSSEHelper para recuperar una configuración SSL. Esta propiedad es el árbitro final del extremo del cliente para determinar qué configuración SSL se ha de utilizar. |
com.ibm.ssl.validationEnabled | false | Cuando se establece en true, esta propiedad valida cada configuración SSL como se ha cargado. Utilice esta propiedad únicamente para fines de depuración para evitar que la actividad general de la fase de producción no disminuya innecesariamente el rendimiento. |
com.ibm.ssl.performURLHostNameVerification | false | Cuando se establece en true, esta propiedad verifica el nombre de host del URL. Cuando se efectúan conexiones de URL de HTTP con los servidores de destino, el nombre común (CN) del certificado del servidor debe coincidir con el nombre de host de destino. Si no hay una coincidencia, el verificador del nombre de host rechaza la conexión. El valor predeterminado de false omite esta comprobación. Como propiedad global, establece el verificador del nombre de host por omisión.
Cualquier objeto javax.net.ssl.HttpsURLConnection puede optar por habilitar la verificación del nombre de host para dicha instancia específica llamando al método
setHostnameVerifier con su propia instancia de HostnameVerifier.![]() |
com.ibm.security.useFIPS | false | Cuando se establece en true, se utilizan los algoritmos compatibles con FIPS para SSL y otras aplicaciones específicas de JCE (Java™ Cryptography Extension). Generalmente esta propiedad no está habilitada a menos que el entorno operativo requiera la propiedad. |
com.ibm.websphere.security.FIPSLevel | false | Especifica el nivel del estándar a utilizar. Los valores válidos incluyen 140-2, SP800-131 y transición. La propiedad com.ibm.security.useFIPS debe establecerse en true para habilitar suite B. La propiedad se debe entrar en el archivo ssl.client.props en la sección de propiedades globales, preferiblemente después de com.ibm.security.useFIPS. |
com.ibm.websphere.security.suiteB | false | Especifica el nivel de estándar de seguridad de Suite B que debe habilitarse. Los valores válidos incluyen 128 y 192. Para habilitar la propiedad com.ibm.security.useFIPS. debe establecerse en true. La propiedad debe especificarse en el archivo ssl.client.props en la sección de propiedades global, preferiblemente después de com.ibm.security.useFIPS. |
![]() |
![]() |
![]() |
Propiedades de creación de certificado:
Utilice las propiedades de creación de certificados para especificar los valores de certificados autofirmados para los atributos principales de un certificado. Puede definir el nombre distinguido (DN), la fecha de caducidad, el tamaño de clave y el alias que se almacena en el almacén de claves.Propiedad | Valor predeterminado | Descripción |
---|---|---|
com.ibm.ssl.defaultCertReqAlias | default_alias | Esta propiedad especifica el alias por omisión que utilizar para hacer referencia al certificado autofirmado que se crea en el almacén de claves. Si el alias ya existe con dicho nombre, al alias por omisión se le añade el prefijo _#, donde el signo de almohadilla (#) es un entero que comienza por 1 y se incrementa hasta que encuentra un alias exclusivo. |
com.ibm.ssl.defaultCertReqSubjectDN | cn=${nombre_host}, o=IBM,c=US | Esta propiedad utiliza el nombre distinguido (DN) de la propiedad que establece para el certificado cuando se crea. La variable ${nombre_host} se añade al nombre de host en el que reside. Puede utilizar los DN de formato correcto según lo especifica el certificado X.509. |
com.ibm.ssl.defaultCertReqDays | 365 | Esta propiedad especifica el período de validez para el certificado y puede ser de tan solo 1 día y de hasta el número máximo de días en que puede establecerse un certificado que es aproximadamente de 15 años. |
com.ibm.ssl.defaultCertReqKeySize | 1024 | Esta propiedad es el tamaño predeterminado de clave. Los valores válidos dependen de los archivos de política de seguridad JVM (Java Virtual Machine) que se instalen. De modo por omisión, las JVM del producto se envían con el archivo de políticas de exportación que limita el tamaño de las claves a 1024. Para obtener un tamaño de clave de un tamaño de hasta 2048, puede descargar los archivos de políticas restringidos del sitio web. |
Comprobación de revocación de certificados:
Para habilitar la comprobación de revocación de certificados, puede establecer una combinación de propiedades de OCSP (Online Certificate Status Protocol). Estas propiedades no se utilizan a menos que establezca la propiedad com.ibm.ssl.trustManager en IbmPKIX. Adicionalmente, para procesar correctamente la comprobación de la revocación, debe desactivar la solicitud de intercambio de firmante. Para desactivar la solicitud de intercambio de firmante, cambie la propiedad com.ibm.ssl.enableSignerExchangePrompt a false. Si desea información adicional, consulte la documentación sobre cómo habilitar la comprobación de revocación de certificados con el gestor de confianza IbmPKIX predeterminado.Propiedades de configuración SSL:
Utilice la sección de propiedades de configuración SSL para establecer varias configuraciones SSL. En una especificación de configuración SSL, establezca la propiedad com.ibm.ssl.alias debido a que el analizador inicia una configuración SSL nueva con este nombre de alias. Se hace referencia a la configuración SSL utilizando la propiedad del alias de otro archivo como, por ejemplo, sas.client.props o soap.client.props a través de la propiedad del alias por omisión. Las propiedades que se especifican en la tabla siguiente le permiten crear un javax.net.ssl.SSLContext, entre otros objetos SSL.Propiedad | Valor predeterminado | Descripción |
---|---|---|
com.ibm.ssl.alias | DefaultSSLSettings | Esta propiedad es el nombre de esta configuración SSL y debe ser la primera propiedad para una configuración SSL debido a que hace referencia a la configuración SSL. Si cambia el nombre de esta propiedad después de que se haga referencia a la misma en otro lugar de la configuración, cuando no se encuentra la referencia el tiempo de ejecución toma como valor predeterminado la propiedad com.ibm.ssl.defaultAlias. Es posible que se muestre un error de tipo el archivo de confianza es nulo o el archivo de claves es nulo cuando inicia una aplicación utilizando una referencia SSL que ya no es válida. |
com.ibm.ssl.protocol | SSL_TLS | Esta propiedad requiere el protocolo de reconocimiento de comunicación SSL que se utiliza para esta configuración SSL. Esta propiedad intenta en primer lugar TLS (Transport Layer Security) pero acepta cualquier protocolo de reconocimiento de comunicación remoto, incluido SSLv3 y TLSv1. Los valores válidos para esta propiedad incluyen SSL_TLS, SSL, SSLv2 (sólo el extremo del cliente), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 y TLSv1.2. |
com.ibm.ssl.securityLevel | FUERTE | Esta propiedad especifica el grupo de cifrado que se utiliza para el protocolo de reconocimiento de comunicación SSL. La selección típica es STRONG, que especifica los cifrados de
128 bits o superior. La selección MEDIUM proporciona cifrados de 40 bits. La selección WEAK proporciona cifrados que
no efectúan la codificación pero sí la firma para la integridad de datos.
Si especifica su propia selección de lista de cifrado, descomente la propiedad
com.ibm.ssl.enabledCipherSuites. Nota: El uso de propiedades del sistema javax.net.ssl
hace que este valor siempre sea alto.
|
com.ibm.ssl.trustManager | IbmX509 | Esta propiedad especifica el gestor de confianza por omisión que debe utilizar para validar el certificado enviado por el servidor de destino. Este gestor de confianza no efectúa la comprobación de la lista de revocación de certificados CRL. Puede optar por cambiar este valor por IbmPKIX para la comprobación CRL utilizando las listas de distribución CRL del certificado que es un método estándar de efectuar la comprobación CRL. Cuando desee realizar la comprobación de CRL personalizada, debe implementar un gestor de confianza personalizado y especificar el gestor de confianza en la propiedad com.ibm.ssl.customTrustManagers. La opción IbmPKIX puede afectar el rendimiento debido a que esta opción requiere IBMCertPath para la validación de confianza. Utilice ibmX509 a menos que sea necesaria la comprobación CRL. Si utiliza propiedades de OCSP (Online Certificate Status Protocol), establezca el valor de esta propiedad en IbmPKIX. |
com.ibm.ssl.keyManager | IbmX509 | Esta propiedad especifica el gestor de claves por omisión que se ha de utilizar para seleccionar el alias de cliente desde el almacén de claves especificado. Este gestor de claves utiliza la propiedad com.ibm.ssl.keyStoreClientAlias para especificar el alias de almacén de claves. Si no se especifica esta propiedad, la opción se delega a JSSE (Java Secure Socket Extension). JSSE generalmente selecciona el primer alias que encuentra. |
com.ibm.ssl.contextProvider | IBMJSSE2 | Esta propiedad se utiliza para seleccionar el proveedor JSSE para la creación del contexto SSL. Se le recomienda que utilice IBMJSSE2 como valor predeterminado cuando utilice una JVM (Java Virtual Machine). El plug-in del cliente puede utilizar el proveedor SunJSSE cuando utilice una JVM de Sun. |
com.ibm.ssl.enableSignerExchangePrompt | true | Esta propiedad determina si ha de visualizar el indicador de intercambio de firmantes cuando no hay un firmante en el almacén de claves de confianza del cliente. El indicador muestra información acerca del certificado remoto, de modo que WebSphere Application Server puede decidir si el firmante es o no de confianza. Es muy importante validar la firma del certificado. Esta firma es la única información fiable que puede garantizar que en el certificado no se ha modificado nada del certificado del servidor original. Para los casos automatizados, inhabilite esta propiedad para evitar las excepciones de reconocimiento de comunicación SSL. Ejecute el script retrieveSigners, que establece el intercambio de firmantes SSL, para descargar los firmantes del servidor antes de ejecutar los clientes. Si utiliza propiedades de OCSP (Online Certificate Status Protocol), establezca el valor de esta propiedad en false. |
com.ibm.ssl.keyStoreClientAlias | predeterminado | Esta propiedad se utiliza para hacer referencia a un alias del almacén de claves especificado cuando el destino no solicita la autenticación del cliente. Cuando WebSphere Application Server crea un certificado autofirmado para la configuración SSL, esta propiedad determina el alias y altera temporalmente la propiedad global com.ibm.ssl.defaultCertReqAlias. |
com.ibm.ssl.customTrustManagers | Está comentada de forma predeterminada | Esta propiedad le permite especificar uno o más gestores de confianza personalizados que están separados por comas. Estos gestores de confianza tienen el formato algoritmo|proveedor o nombre_clase. Por ejemplo, IbmX509|IBMJSSE2 tiene el formato algoritmo|proveedor y la interfaz com.acme.myCustomTrustManager tiene el formato nombre_clase. La clase debe implementar la interfaz javax.net.ssl.X509TrustManager. Opcionalmente, la clase puede implementar la interfaz com.ibm.wsspi.ssl.TrustManagerExtendedInfo. Estos gestores de confianza se ejecutan junto con el gestor de confianza por omisión especificado mediante la interfaz com.ibm.ssl.trustManager. Estos gestores de confianza no sustituyen el gestor de confianza por omisión. |
com.ibm.ssl.customKeyManager | Está comentada de forma predeterminada | Esta propiedad le permite tener un gestor de claves personalizado pero únicamente uno. El gestor de claves sustituye al gestor de claves por omisión que se ha especificado en la propiedad com.ibm.ssl.keyManager. El formato del gestor de claves es algoritmo|proveedor o nombre_clase. Consulte los ejemplos de formato para la propiedad com.ibm.ssl.customTrustManagers. La clase debe implementar la interfaz javax.net.ssl.X509KeyManager. Opcionalmente, la clase puede implementar la interfaz com.ibm.wsspi.ssl.KeyManagerExtendedInfo. El gestor de claves es responsable de la selección de alias. |
com.ibm.ssl.dynamicSelectionInfo | Está comentada de forma predeterminada | Esta propiedad le permite la asociación dinámica con la configuración SSL. La sintaxis de una asociación dinámica es protocolo_salida, host_destino,
o puerto_destino. En el caso de varias especificaciones, utilice la barra vertical
( | ) como delimitador. Puede sustituir cualquiera de estos valores por un asterisco
(*) para indicar un valor de comodín. Los valores paraprotocolo_salida válidos son: IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS,
y ADMIN_SOAP. Cuando desea que el criterio de selección dinámico seleccione la configuración
SSL, descomente la propiedad por omisión y añada la información de conexión. Por ejemplo, añada lo siguiente en una línea:
|
com.ibm.ssl.enabledCipherSuites | Está comentada por omisión | Esta propiedad le permite especificar un lista de suite de cifrado y alterar temporalmente la selección de grupo de la propiedad com.ibm.ssl.securityLevel. La lista de cifrados válida varía según el proveedor y los archivos de políticas JVM que se aplican. Para las suites de cifrado, utilice un espacio como delimitador. |
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Esta propiedad hace referencia a un nombre de configuración de almacén de claves. Si no ha definido el almacén de claves, el resto de las propiedades del almacén de claves deben seguir a esta propiedad. Después de definir el almacén de claves, puede especificar esta propiedad para que haga referencia a la configuración de almacén de claves especificada anteriormente. Las nuevas configuraciones del almacén de claves del archivo ssl.client.props tienen un nombre exclusivo. |
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Esta propiedad hace referencia a un nombre de configuración de almacén de claves. Si todavía no ha definido el almacén de confianza, el resto de las propiedades del almacén de claves deben seguir a esta propiedad. Después de definir el almacén de claves, puede especificar esta propiedad para que haga referencia a la configuración de almacén de confianza especificada anteriormente. Las nuevas configuraciones del almacén de confianza del archivo ssl.client.props tienen un nombre exclusivo. |
![[z/OS]](../images/ngzos.gif)
- Si indica la opción Utilizar un producto de seguridad z/OS, que es la primera opción, los valores predeterminados de las propiedades del almacén de claves y del almacén de confianza apuntan a un almacén de claves con un tipo JCERACFKS. Este tipo utiliza claves y certificados almacenados y gestionados por un producto de seguridad z/OScomo RACF. Si desea más información, consulte el apartado "Almacenes de claves de z/OS" del tema "Configuraciones de almacén de claves".
- Si indica la opción Utilizar la seguridad de WebSphere Application Server, que es la segunda opción o la opción No habilitar la seguridad, que es la tercera opción, los valores predeterminados para las propiedades de configuración del almacén de claves y del almacén de confianza apuntan a un almacén de claves con un archivo PKCS12. Si desea más información sobre los almacenes de claves basados en archivos, consulte el apartado "Almacenes de claves basados en archivos (JCEKS, JKS y PKCS12)" del tema "Configuraciones del almacén de claves".
Configuraciones del almacén de claves:
Las configuraciones SSL hacen referencia a las configuraciones de almacén de claves cuya finalidad es identificar la ubicación de los certificados. Los certificados representan la identidad de los clientes que utilizan la configuración SSL. Puede especificar configuraciones del almacén de claves con otras propiedades de configuración SSL. No obstante, se recomienda especificar las configuraciones del almacén de claves en esta sección del archivo ssl.client.props después de que la propiedad com.ibm.ssl.keyStoreName identifique el inicio de una configuración nueva del almacén de claves. Después de definir por completo la configuración del almacén de claves, la propiedad com.ibm.ssl.keyStoreName puede hacer referencia a la configuración del almacén de claves en cualquier punto del archivo.![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Propiedad | Valor predeterminado | Descripción |
---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Esta propiedad especifica el nombre del almacén de claves como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a este nombre más adelante en el archivo ssl.client.props para evitar la duplicación. |
com.ibm.ssl.keyStore | ${user.root}/etc/key.p12 | Esta propiedad especifica la ubicación del almacén de claves en el formato necesario de la propiedad com.ibm.ssl.keyStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo de almacén de claves.
No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un
archivo DLL (Dynamic Link Library).![]() |
com.ibm.ssl.keyStorePassword | WebAS | Esta propiedad es la contraseña predeterminada, que es el nombre de célula para el perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de claves y, a continuación, cambiar esta referencia. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de claves de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de claves utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultKeyStore y si la propiedad fileBased es true. Suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos. |
com.ibm.ssl.keyStoreType | PKCS12 | Esta propiedad es el tipo del almacén de claves. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de claves válido al que dé soporte la JVM de la lista de proveedores. |
com.ibm.ssl.keyStoreProvider | IBMJCE | La propiedad IBM® Java Cryptography Extension es el proveedor del almacén de claves para el tipo de almacén de claves. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.keyStoreFileBased | true | Esta propiedad indica al tiempo de ejecución que el almacén de claves está basado en archivos, lo que significa que está situado en el sistema de archivos. |
com.ibm.ssl.keyStoreReadOnly | false | Esta propiedad indica al tiempo de ejecución de WebSphere Application Server si el almacén de claves se puede modificar durante el tiempo de ejecución. |
En la siguiente tabla, los valores de la columna "Valores predeterminados con un producto de seguridad
z/OS" corresponden a los valores predeterminados que se utilizan cuando se
indica la opción Utilizar un producto de seguridad z/OS en el panel
de selección de seguridad administrativa de la Herramienta de gestión de perfiles de
z/OS. Esta opción es la primera opción en el panel de selección de seguridad administrativa. Los valores de la columna "Valores predeterminados con seguridad WebSphere Application Server" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar WebSphere Application Server en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la segunda opción en el panel de selección de seguridad administrativa.
![[z/OS]](../images/ngzos.gif)
Propiedad | Valores predeterminados para un producto de seguridad z/OS | Valores predeterminados de la seguridad de WebSphere Application Server | Descripción |
---|---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | ClientDefaultKeyStore | Esta propiedad especifica el nombre del almacén de claves como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a este nombre más adelante en el archivo ssl.client.props para evitar la duplicación. |
com.ibm.ssl.keyStore | safreyring:///su_conjunto_de_claves Este valor se establece en el panel Personalización de SSL de la Herramienta de gestión de perfiles de z/OS. |
${user.root}/etc/key.p12 | Esta propiedad especifica la ubicación del almacén de claves en el formato necesario de la propiedad com.ibm.ssl.keyStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo de almacén de claves. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL (Dynamic Link Library). |
com.ibm.ssl.keyStorePassword | password | WebAS | Esta propiedad es la contraseña predeterminada, que es el nombre de célula para el perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de claves y, a continuación, cambiar esta referencia. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de claves de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de claves utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultKeyStore y si la propiedad fileBased es true. Suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos. |
com.ibm.ssl.keyStoreType | JCERACFKS | PKCS12 | Esta propiedad es el tipo del almacén de claves. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de claves válido al que dé soporte la JVM de la lista de proveedores. El tipo puede ser JCERACFKS, JCECCARACFKS o JCECCAKS para los dispositivos criptográficos. |
com.ibm.ssl.keyStoreProvider | IBMJCE | IBMJCE | La propiedad IBM Java Cryptography Extension es el proveedor del almacén de claves para el tipo de almacén de claves. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.keyStoreFileBased | false | true | Esta propiedad indica al tiempo de ejecución que el almacén de claves está basado en archivos, lo que significa que está situado en el sistema de archivos. |
com.ibm.ssl.keyStoreReadOnly | true | false | Esta propiedad indica al tiempo de ejecución de WebSphere Application Server si el almacén de claves se puede modificar durante el tiempo de ejecución. Por ejemplo, no puede modificar los almacenes de claves de sólo lectura mediante la consola administrativa o los scripts. Los conjuntos de claves SAF, que utiliza WebSphere Application Server para z/OS, son siempre de solo lectura. |
Configuraciones del almacén de confianza:
Las configuraciones SSL hacen referencia a las configuraciones de almacén de confianza, cuya finalidad es contener los certificados de firmante para servidores de confianza de este cliente. Puede especificar estas propiedades con otras propiedades de configuración SSL. No obstante, se recomienda especificar las configuraciones del almacén de confianza en esta sección del archivo ssl.client.props después de que la propiedad com.ibm.ssl.trustStoreName identifique el inicio de una configuración nueva del almacén de confianza. Después de definir por completo la configuración del almacén de confianza, la propiedad com.ibm.ssl.trustStoreName puede hacer referencia a la configuración del almacén de confianza en cualquier punto del archivo.
Un almacén de confianza es un almacén de claves que utiliza JSEE para la evaluación de confianza. Un almacén de confianza contiene los firmantes que requiere WebSphere Application Server para asignar confianza a la conexión remota durante el reconocimiento de conexión. Si configura la propiedad com.ibm.ssl.trustStoreName=ClientDefaultKeyStore, puede hacer referencia al almacén de claves como el almacén de confianza. No es necesaria una configuración adicional para el almacén de confianza porque todos los firmantes generados mediante intercambios de firmantes se importan al almacén de claves en el que los invoca el tiempo de ejecución.
En la siguiente tabla, los valores de la columna "Valores predeterminados con un producto de seguridad
z/OS" corresponden a los valores predeterminados que se utilizan cuando se
indica la opción Utilizar un producto de seguridad z/OS en el panel
de selección de seguridad administrativa de la Herramienta de gestión de perfiles de
z/OS. Esta opción es la primera opción en el panel de selección de seguridad administrativa. Los valores de la columna "Valores predeterminados con seguridad WebSphere Application Server" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar WebSphere Application Server en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la segunda opción en el panel de selección de seguridad administrativa.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Propiedad | Valor predeterminado | Descripción |
---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Esta propiedad especifica el nombre del almacén de confianza como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a la misma más adelante en el archivo ssl.client.props para evitar la duplicación. |
com.ibm.ssl.trustStore | ${user.root}/etc/trust.p12 | Esta propiedad especifica la ubicación del almacén de confianza en el formato necesario por el tipo de almacén de confianza al que hace referencia la propiedad
com.ibm.ssl.trustStoreType.
Generalmente, esta propiedad hace referencia a un nombre de archivo del almacén de confianza. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL.![]() |
com.ibm.ssl.trustStorePassword | WebAS | Esta propiedad especifica la contraseña predeterminada, que es el nombre de célula del perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de confianza y, a continuación, cambiar la referencia a esta propiedad. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de confianza de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de confianza utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultTrustStore y si la propiedad fileBased es true. Se le recomienda que suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos. |
com.ibm.ssl.trustStoreType | PKCS12 | Esta propiedad es el tipo del almacén de confianza. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de confianza válido al que dé soporte la JVM de la lista de proveedores. |
com.ibm.ssl.trustStoreProvider | IBMJCE | Esta propiedad es el proveedor del almacén de confianza del tipo de almacén de confianza. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.trustStoreFileBased | true | Esta propiedad indica al tiempo de ejecución que el almacén de confianza está basado en archivos, lo que significa que está situado en el sistema de archivos. |
com.ibm.ssl.trustStoreReadOnly | false | Esta propiedad indica al tiempo de ejecución para WebSphere Application Server si el almacén de confianza se puede modificar durante el tiempo de ejecución. |
![[z/OS]](../images/ngzos.gif)
Propiedad | Valores predeterminados con un producto de seguridad z/OS | Valores predeterminados con la seguridad de WebSphere Application Server | Descripción |
---|---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | ClientDefaultTrustStore | Esta propiedad especifica el nombre del almacén de confianza como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a la misma más adelante en el archivo ssl.client.props para evitar la duplicación. |
com.ibm.ssl.trustStore | safreyring:///su_conjunto_de_claves Este valor se establece en el panel Personalización de SSL de la Herramienta de gestión de perfiles de z/OS. |
${user.root}/etc/trust.p12 | Esta propiedad especifica la ubicación del almacén de confianza en el formato necesario por el tipo de almacén de confianza al que hace referencia la propiedad com.ibm.ssl.trustStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo del almacén de confianza. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL. |
com.ibm.ssl.trustStorePassword | password | WebAS | Esta propiedad especifica la contraseña predeterminada, que es el nombre de célula del perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de confianza y, a continuación, cambiar la referencia a esta propiedad. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de confianza de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de confianza utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultTrustStore y si la propiedad fileBased es true. Se le recomienda que suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos. |
com.ibm.ssl.trustStoreType | JCERACFKS | PKCS12 | Esta propiedad es el tipo del almacén de confianza. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de confianza válido al que dé soporte la JVM de la lista de proveedores. El tipo puede ser JCERACFKS, JCECCARACFKS o JCECCAKS para los dispositivos criptográficos. |
com.ibm.ssl.trustStoreProvider | IBMJCE | IBMJCE | Esta propiedad es el proveedor del almacén de confianza del tipo de almacén de confianza. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.trustStoreFileBased | false | true | Esta propiedad indica al tiempo de ejecución que el almacén de confianza está basado en archivos, lo que significa que está situado en el sistema de archivos. |
com.ibm.ssl.trustStoreReadOnly | true | false | Esta propiedad indica al tiempo de ejecución para WebSphere Application Server si el almacén de confianza se puede modificar durante el tiempo de ejecución. Por ejemplo, no puede modificar los almacenes de confianza de sólo lectura mediante la consola administrativa o los scripts. Los conjuntos de claves SAF, que utiliza WebSphere Application Server para z/OS, son siempre de solo lectura. |