Utilización del mandato retrieveSigners en SSL para habilitar la confianza de servidor a servidor

Puede añadir un certificado de firmante al archivo trust.p12 de un servidor, lo que permitirá que dicho servidor se comunique de forma segura con otro servidor. Esto se puede llevar a cabo con el mandato retrieveSigners para añadir un firmante al archivo trust.p12 de un servidor después de efectuar cambios en el archivo ssl.client.props.

Antes de empezar

Para poder establecer la confianza de servidor a servidor se deberá identificar el servidor que se comunicará como cliente. Efectúe el cambio en el archivo ssl.client.props y ejecute el mandato retrieveSigners en el servidor que se comunica como cliente. Si los dos servidores van a actuar como cliente, estos pasos deberán efectuarse para los dos servidores.

Acerca de esta tarea

De forma predeterminada, el archivo ssl.client.props está definido para configurar la comunicación SSL (Secure Socket Layer) para clientes. Esto hace que el comportamiento por omisión del mandato retrieveSigners funcione en el archivo trust.p12 y el archivo key.p12 del cliente en el directorio raíz_perfil/etc. Puede añadir un certificado de firmante al archivo trust.p12 de un servidor, lo que permitirá que dicho servidor actúe como un cliente comunicándose con otro servidor. El uso del mandato retrieveSigners para añadir un firmante al archivo trust.p12 de un servidor requiere realizar algunos cambios en el archivo ssl.client.props.

Procedimiento

  1. Abra el archivo ssl.client.props. El archivo ssl.client.props se encuentra en el directorio raíz_perfil/properties.
  2. Elimine la marca de comentario de la sección de ssl.client.props que empieza con la propiedad com.ibm.ssl.alias=AnotherSSLSettings.
  3. Elimine la marca de comentario de la sección de ssl.client.props que empieza con la propiedad com.ibm.ssl.trustStoreName=AnotherTrustStore.
  4. Especifique la ubicación del almacén de confianza al que se debe añadir el firmante. Si utiliza el almacén de confianza del servidor para un gestor de despliegue, éste se encuentra en el directorio raíz_perfil/config/cells/nombre_célula/trust.p12. Si utiliza el almacén de confianza de un servidor de aplicaciones, éste se encuentra en el directorio raíz_perfil/config/cells/nombre_célula/nodes/nombre_nodo/trust.p12.
  5. Actualice las propiedades restantes de esta sección con los valores asociados al almacén de confianza que se utiliza. Se puede encontrar una descripción de las propiedades en el archivo de configuración de cliente ssl.client.props.
  6. Opcional: Elimine la marca de comentario y actualice la sección que empieza con la propiedad com.ibm.ssl.trustStoreName=AnotherKeyStore. La mayoría de los escenarios sólo requieren que se añada un firmante al almacén de confianza. En este ejemplo sólo se añade un firmante al almacén de confianza, pero también se puede añadir un firmante al almacén de claves actualizando las propiedades, tal como se ha realizado para el almacén de confianza en los pasos 3 a 5.
  7. Guarde los cambios realizados en ssl.client.props.
  8. Ejecute el mandato retrieveSigners. Para obtener más información, consulte la página sobre el mandato retrieveSigners.
    retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879

    Salida de ejemplo:
    CWPKI0308I: Se añade el alias de firmante "default_1" al almacén de claves local
                         "AnotherTrustStore" con la siguiente conversión SHA:
                         F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06

Resultados

Después de que los pasos se hayan completado correctamente, el servidor que actúa como cliente tiene el certificado de firmante del otro servidor. Esto permite a dicho servidor establecer una conexión SSL con el otro servidor.

Ejemplo

En el ejemplo se muestra la sección modificada del archivo ssl.client.props, dando por supuesto que se utiliza el archivo trust.p12 del servidor. Se puede utilizar cualquier almacén de confianza existente si se proporcionan las propiedades para dicho almacén de confianza.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=

# Información del almacén de claves
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true

# Información del almacén de confianza
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true

Qué hacer a continuación

Después de añadir el firmante, edite el archivo ssl.client.props y añada una marca de comentario a las secciones que se utilizaron para añadir el certificado de firmante.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_retrievesigners_servertrust
File name: tsec_retrievesigners_servertrust.html