Ejemplo: Habilitación de la comprobación de revocación de certificado con el gestor de confianza IbmPKIX predeterminado

El gestor de confianza IbmPKIX está habilitado en WebSphere Application Server por omisión. El gestor de confianza de IbmPKIX permite realizar la comprobación de la revocación de certificado. La comprobación de revocación de certificado se habilita por medio de la consola administrativa o actualizando manualmente el archivo ssl.client.props.

El gestor de confianza IbmPKIX por omisión

El gestor de confianza IbmPKIX está habilitado por omisión, pero la comprobación de revocación no está habilitada por omisión. La siguiente definición de gestor de confianza para IbmPKIX refleja la condición por omisión:
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass="" 
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey="" 
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>

Habilitación de la comprobación de revocación de certificado con el gestor de confianza IbmPKIX por omisión

Puede ver y modificar las propiedades personalizadas del gestor de confianza IbmPKIX utilizando la consola administrativa:

Para ello,
  • Pulse Seguridad > Gestión de claves y certificados SSL.
  • En Elementos relacionados, pulse Gestores de confianza.
  • Pulse IbmPKIX.
  • En Propiedades adicionales, pulse Propiedades personalizadas.

Propiedades personalizadas de IbmPKIX

com.ibm.jsse2.checkRevocation
Esta propiedad configura la comprobación de revocación para la JVM (Java™ Virtual Machine). Esta propiedad se establece en false por omisión ya que los certificados de WebSpherepor omisión que se utilizan en las comunicaciones SSL no contienen puntos de distribución de listas de revocación de certificados (CRL) o información de protocolo de estado de certificado en línea (OCSP).
Nota: Puesto que esta propiedad es una propiedad de la JVM, este valor está en vigor para todo el servidor de aplicaciones. Si la propiedad se ha definido en los gestores de confianza en ámbitos diferentes, el valor en vigor se utiliza del gestor de confianza IbmPKIX cuya ámbito sea el más específico. Por ejemplo, la propiedad para un gestor de confianza IbmPKIX definido en el nivel de nodo altera temporalmente la propiedad de un gestor de confianza IbmPKIX definido en el nivel de célula. Esta propiedad se ignora para el gestor de confianza IbmX509.
predeterminado
false
com.ibm.security.enableCRLDP
Esta propiedad configura la comprobación de puntos de distribución CRL para el gestor de confianza PKIX.
Nota: Si habilita la comprobación de revocación de puntos de distribución CRL, el certificado que se utiliza para la capa de sockets segura (SSL) debe contener un punto de distribución válido y dicho punto de distribución debe ser accesible, o de lo contrario la comunicación SSL fallará y el servidor no funcionará correctamente.
predeterminado
false

Para certificados que no contienen ningún punto de distribución CRL interno, pueden utilizarse las propiedades siguientes de modo que se compare el estado de revocación con un servidor LDAP remoto que contenga el CRL.

com.ibm.security.ldap.certstore.host
Esta propiedad especifica el nombre del host de servidor LDAP que contiene listas de certificados de confianza o listas de revocación de certificados. El host de servidor LDAP de destino se utiliza para obtener listas de certificados CA o listas de revocación de certificados cuando se valida un certificado y el almacén de confianza local no contiene el certificado necesario. El almacén de confianza debe contener los certificados necesarios si no se especifica ningún servidor LDAP. En los casos en que se utiliza un servidor LDAP, los certificados CA raíz también deben ubicarse en el almacén de confianza local, ya que el servidor LDAP no es un almacén de certificados de confianza.
Nota: Si se habilita esta propiedad además de la propiedad com.ibm.jsse2.checkRevocation, se habilita la verificación de la revocación. El servidor LDAP remoto debe contener una lista de revocación de certificados válida y debe ser posible acceder al servidor. Si el estado de revocación no puede determinarse, la comprobación y la comunicación SSL fallarán y el servidor no funcionará correctamente.
predeterminado
ninguno
com.ibm.security.ldap.certstore.port
Esta propiedad especifica el puerto de servidor LDAP. El valor 389 se utilizará de forma predeterminada si no se especifica ningún puerto de servidor LDAP.
predeterminado
389
Las siguientes propiedades de Java Development Kit (JDK) se utilizan para habilitar la comprobación de revocación de certificado con el gestor de confianza IbmPKIX por omisión:
  • ocsp.enable
  • ocsp.responder
  • ocsp.responderCertSubjectName
  • ocsp.responderCertIssuerName
  • ocsp.responderCertSerialNumber
Estas propiedades de JDK se pueden establecer utilizando la consola administrativa. Debe consultar la Java(TM) Certification Path API Guía del programador - SDK 6.0 para obtener las descripciones de estas propiedades y sus valores permitidos.
Nota: Además del rol de verificación estándar de certificados, el gestor de confianza IbmPKIX busca los certificados que contengan puntos de distribución CRL. Este proceso se conoce como comprobación de CRL ampliada. De manera predeterminada, la comprobación de revocación de puntos de distribución CRL está inhabilitada. Para habilitar la comprobación de revocación de puntos de distribución CRL, debe establecer las siguientes propiedades en true utilizando la consola administrativa:
  • com.ibm.security.enableCRLDP
  • com.ibm.jsse2.checkRevocation

Las propiedades de OCSP y las propiedades de CRL afectan a la comprobación de la revocación de certificados. De manera predeterminada, primero se comprueban las propiedades de OCSP. Si no se produce ningún error validando el certificado con OCSP, la validación utiliza un punto de distribución CRL.

Cuando selecciona un gestor de confianza, sus propiedades asociadas se establecen automáticamente como propiedades de sistema de Java para que los proveedores IBMCertPath e IBMJSSE2 sepan que la comprobación CRL está habilitada o no. De forma similar, se sigue el mismo proceso para las propiedades de OCSP, que son propiedades de java.security.Security.

Consideraciones del cliente

También puede habilitar la comprobación de revocación para los clientes administrativos y de aplicaciones WebSphere estableciendo directamente las propiedades en el archivos ssl.client.props. A continuación encontrará un ejemplo de archivo ssl.client.props:
#-------------------------------------------------------------------------
# Propiedades de comprobación de revocación por omisión
# Estas propiedades se utilizan para la comprobación de revocación de certificado con
# IBM PKIX TrustManager.
#
# Para habilitar la comprobación de ampliación de puntos de distribución CRL, utilice la propiedad de sistema
# com.ibm.security.enableCRLDP.
#
# La comprobación OCSP no está habilitada por omisión. Se habilita estableciendo la
# propiedad ocsp.enable en "true".  El uso de las otras propiedades ocsp es opcional.
#
# Nota: La comprobación tanto OCSP como CRLDP sólo es efectiva si también se ha habilitado
# la comprobación de revocación estableciendo com.ibm.jsse2.checkRevocation en "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
Nota: Para que estas propiedades sean efectivas, debe asegurarse de que el gestor de confianza IbmPKIX se inicializa estableciendo com.ibm.ssl.trustManager=IbmPKIX.

Asimismo, para que la comprobación de revocación se procese satisfactoriamente en el cliente, es necesario desactivar la solicitud de intercambio de firmante. Para ello, modifique el valor de la propiedad com.ibm.ssl.enableSignerExchangePrompt en false, en el archivo ssl.client.props.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7enablecert_revoc
File name: rsec_7enablecert_revoc.html