Creación de una configuración SSL en el ámbito de nodo utilizando scripts

Una configuración SSL (Capa de sockets seguros) hace referencia a muchos otros objetos de configuración. Para ayudarle a realizar selecciones válidas para la nueva configuración SSL antes de crearla, vea la información sobre los objetos de configuración existentes. La información sobre los objetos existentes también es útil al crear una configuración SSL de ámbito de nodo utilizando el mandato createSSLConfig del objeto AdminTask.

Antes de empezar

Antes de iniciar esta tarea, la herramienta wsadmin debe estar ejecutándose. Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.

Avoid trouble Avoid trouble: El archivo security.xml está restringido. Por lo tanto, si necesita realizar cambios en el archivo security.xml, verifique que su ID de usuario tenga autorización de rol de administrador. Si utiliza un ID de usuario con autorización de rol de operador, puede realizar una sincronización de nodos, pero no se sincronizará ningún cambio que efectúe en el archivo security.xml.gotcha

Acerca de esta tarea

Para utilizar la información de esta tarea de forma efectiva, familiarícese con las instrucciones en el tema Creación de configuraciones de Capa de sockets seguros.

Realice la tarea siguiente para crear una configuración SSL (Capa de sockets seguros) en el ámbito de nodo:

Procedimiento

  1. Liste los objetos de configuración existentes. Realice cualquiera de las acciones siguientes:
    • Liste algunos de los objetos de configuración que puede necesitar al crear una nueva configuración SSL.
      Por ejemplo, desea ver qué ámbitos de gestión ya se han definido. Si el que necesita no existe, será necesario que lo cree.
      • Utilizando Jacl:

        $AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
      • Utilizando Jython:
        AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Esto muestra un ámbito de célula existente y un ámbito de nodo existente que puede utilizar. Si desea crear un ámbito diferente, utilice el mandato createManagementScope del objeto AdminTask para definir uno diferente. Los parámetros de ámbito válidos son "cell", "nodegroup", "node", "server", "cluster" y "endpoint". Para obtener más información, consulte el artículo Gestión central de configuraciones SSL.
    • Liste los almacenes de claves que existen en la configuración incluidos los almacenes de claves y los almacenes de confianza.
      • Utilizando Jacl:

        $AdminTask listKeyStores -all true
      • Utilizando Jython:
        AdminTask.listKeyStores('-all true')
      Salida de ejemplo:
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      El ejemplo anterior sólo lista los almacenes de claves para el ámbito de gestión predeterminado que también se conoce como ámbito de célula. Para obtener almacenes de claves para otros ámbitos, especifique el parámetro scopeName, por ejemplo:
      • Utilizando Jacl:

        $AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
      • Utilizando Jython:
        $AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Salida de ejemplo:
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
      NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
    • Liste gestores de confianza o de claves específicos. Asegúrese de visualizar el nombre de objeto para los gestores de confianza. Necesitará el nombre de objeto para la configuración SSL porque puede especificar varias instancias de gestor de confianza.
      • Utilizando Jacl:

        $AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
      • Utilizando Jython:
        AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
      Salida de ejemplo:
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
  2. Cree la configuración SSL de ámbito de nodo en modalidad interactiva. Ahora que tenemos la información en la que necesitamos realizar una selección, tenemos que decidir si estos objetos son suficientes o si necesitamos crear otros nuevos. De momento, volveremos a utilizar los que ya tenemos en la configuración y dejaremos la creación de instancias nuevas para los documentos de tarea específicos de esos objetos.
    • Utilizando Jacl:

      $AdminTask createSSLConfig -interactive
    • Utilizando Jython:
      AdminTask.createSSLConfig ('[-interactive]')
    Salida de ejemplo:
    Crear una configuración SSL.
    
    *Alias de configuración SSL (alias): BIRKT40Node02SSLConfig
    Nombre del ámbito de gestión (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Alias de la clave del cliente (clientKeyAlias): default
    Alias de la clave del servidor (serverKeyAlias): default
    Tipo de SSL (type): [JSSE]
    Autenticación de cliente (clientAuthentication): [false]
    Nivel de seguridad de la configuración SSL (securityLevel): [HIGH]
    Cifrados habilitados para configuración SSL (enabledCiphers):
    Proveedor JSSE (jsseProvider): [IBMJSSE2]
    Soporte de autenticación de cliente (clientAuthenticationSupported): [false]
    Protocolo SSL (sslProtocol): [SSL_TLS]
    Nombres de objetos del gestor de confianza (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
    *Nombre del almacén de confianza (trustStoreName): NodeDefaultTrustStore
    Ámbito del almacén de confianza (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    *Nombre del almacén de claves (keyStoreName): NodeDefaultKeyStore
    Nombre del ámbito del almacén de claves (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Nombre del gestor de claves (keyManagerName): IbmX509
    Nombre del ámbito del gestor de claves (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    
    Crear configuración SSL
    
    F (Finalizar)
    C (Cancelar)
    
    Seleccione [F, C]: [F] F
    WASX7278I: Línea de mandatos generada: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName 
    (cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default 
    -trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName 
    NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName 
    NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName 
    IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
  3. Guarde los cambios de configuración. Para obtener más información, consulte el artículo Cómo guardar los cambios de configuración con la herramienta wsadmin.
  4. En un entorno sólo de despliegue de red, sincronice el nodo. Para obtener más información, consulte el artículo Sincronización de nodos con la herramienta wsadmin.

Resultados

El nombre del objeto de la configuración de SSL que ha creado, por ejemplo, (cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), aparece en el archivo security.xml.
Salida del archivo security.xml de ejemplo:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE" 
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default" 
clientAuthentication="false" securityLevel="HIGH"  jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" 
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1" 
keyManager="KeyManager_1134610924357"/>
</repertoire>

Qué hacer a continuación

Una vez que ha creado el objeto de configuración SSL, el siguiente paso es utilizarlo. Existen varias formas diferentes de asociar las configuraciones SSL con los protocolos, por ejemplo:
  • Establezca la configuración SSL en la hebra mediante programación.
  • Asocie la configuración SSL con un protocolo de salida o un host y puerto de destino.
  • Asocie directamente la configuración SSL utilizando el alias.
  • Gestione de forma central las configuraciones SSL asociándolas con grupos o zonas de configuración SSL para que se utilicen basándose en el grupo en el que existe el punto final.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_sslconfigadmintask
File name: txml_sslconfigadmintask.html