Habilitación de la autenticación de cliente SSL (Secure Sockets Layer) para un punto final de entrada específico
Cuando establece una configuración SSL (Secure Sockets Layer), puede habilitar la autenticación de cliente para un punto final de entrada específico.
Antes de empezar
Acerca de esta tarea
Procedimiento
- Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar configuraciones de seguridad de punto final > De entrada > configuración_SSL. Si desea habilitar la autenticación de cliente SSL para todos los procesos, defina una configuración SSL para el nuevo punto final en el nivel del nodo o la célula, para que sea visible en todos los procesos del mismo nodo en toda la célula. Para obtener más información, consulte Creación de configuraciones de Capa de sockets seguros.
- Seleccione Alterar temporalmente los valores heredados. La configuración SSL se utiliza para el ámbito actual y para los ámbitos inferiores que todavía no tengan designada una configuración SSL. Este campo se muestra para el servidor y el grupo de nodos de la jerarquía de objetos y no se muestra para el nodo o la célula de nivel superior.
- Seleccione una configuración de SSL de la lista desplegable.
- Pulse Actualizar lista de alias de certificado.
- Seleccione un Alias de certificado en la lista desplegable.
- Pulse Aceptar para guardar la configuración.
Resultados
Qué hacer a continuación
Los puntos finales seguros de CSIv2 (Common Secure Interoperability Versión 2), utilizados para la seguridad RMI (invocación a método remoto) sobre el protocolo IIO (Internet Inter-ORB Protocol), no pueden alterar temporalmente los valores heredados. Mientras que el resto de las propiedades SSL son efectivas para CSIv2 si se ha seleccionado en el panel Comunicaciones seguras gestionado centralmente, la selección de autenticación de cliente es controlada por la configuración del protocolo CSIv2.
Para habilitar la autenticación de certificado de cliente SSL para el protocolo CSIv2, debe utilizar los paneles de autenticación de entrada y salida CSIv2. Para que se produzca la autenticación de cliente SSL entre dos servidores, debe habilitar (soportar o necesitar) la autenticación de certificado de cliente SSL para las políticas tanto de entrada, como de salida.
WebSphere Application Server puede solicitar (soportar) a los clientes que proporcionen certificados de firmante para el reconocimiento de la conexión SSL, o bien el servidor puede requerir a los clientes que proporcionen un certificado de firmante válido para el reconocimiento de la conexión SSL, que es un método más seguro. Sin embargo, si el servidor requiere certificados, el servidor debe obtener un firmante para cada cliente que se conecta al servidor, que implica más gestión del servidor.
El certificado de cliente no debe utilizarse para la identidad, si se utiliza de servidor a servidor. Sin embargo, cuando un cliente puro envía el certificado de cliente, se utiliza para identidad, a menos que se especifique una identidad de nivel de mensaje como, por ejemplo, un ID de usuario o una contraseña.
- Pulse Seguridad > Seguridad global.
- Expanda la sección de seguridad RMI/IIOP.
- Pulse Autenticación de salida CSIv2.
- En Autenticación de cliente, seleccione soportado o necesario.
Si selecciona Necesario, sólo se abre un puerto SSL (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS).
Si selecciona Soportado, se abren dos puertos SSL (ambos CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
y CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS).
Si hay dos puertos, el cliente puede seleccionar basándose en la política de configuración de la seguridad del puerto.
- Pulse Aceptar para guardar.
- Si desea la autenticación de cliente SSL de servidor a servidor, complete los pasos restantes. Si no completa los pasos restantes, sólo los clientes puros estarán habilitados para enviar certificados de cliente.
- Expanda la sección de seguridad RMI/IIOP.
- Pulse Autenticación de salida CSIv2.
- En Autenticación de cliente, seleccione soportado o necesario.
La configuración SSL para los puntos finales seguros de entrada para los cuales habilita la autenticación de certificado de cliente SSL debe tener el certificado de firmante de cualquier cliente que intente abrir una conexión con dicho punto final seguro de entrada. Debe recopilar estos firmantes y, a continuación, añadirlos al almacén de confianza asociado a la configuración SSL de puntos finales seguros de entrada.