Archivo de configuración del cliente ssl.client.props

Utilice el archivo ssl.client.props para configurar SSL (Secure Sockets Layer) para clientes. En los releases anteriores de WebSphere Application Server, se especificaban las propiedades de SSL en los archivos sas.client.props o soap.client.props como propiedades del sistema. Al consolidar las configuraciones, WebSphere Application Server le permite gestionar la seguridad de un modo comparable a la gestión de la configuración del extremo del servidor. Puede configurar el archivo ssl.client.props con varias configuraciones SSL.

Configuración SSL para clientes

Los tiempos de ejecución de cliente dependen de las configuraciones de ssl.client.props de WebSphere Application Server.

[AIX Solaris HP-UX Linux Windows]Utilice el script setupCmdLine.bat en la línea de mandatos para especificar la propiedad del sistema com.ibm.SSL.ConfigURL.

[z/OS]Utilice el script setupCmdLine.sh en la línea de mandatos para especificar la propiedad del sistema com.ibm.SSL.ConfigURL.

[AIX Solaris HP-UX Linux Windows]La propiedad com.ibm.SSL.ConfigURL hace referencia a un URL de archivo que indica al archivo ssl.client.props. Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice el archivo setupCmdLine.bat.

[z/OS]La propiedad com.ibm.SSL.ConfigURL hace referencia a un URL de archivo que indica al archivo ssl.client.props. Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice el archivo setupCmdLine.sh.

[IBM i]Utilice el script setupCmdLine en la línea de mandatos para especificar la propiedad del sistema com.ibm.SSL.ConfigURL. El script setupclient también establece la variable CLIENTSSL. La propiedad com.ibm.SSL.ConfigURL hace referencia a un archivo de URL que apunta al archivo ssl.client.props. Puede hacer referencia a la variable CLIENTSSL en la línea de mandatos de cualquier script que utilice el archivo setupCmdLine.

Cuando especifique la propiedad del sistema com.ibm.SSL.ConfigURL, la configuración SSL está disponible para todos los protocolos que utilizan SSL: Las configuraciones SSL, a las que se hace referencia en el archivo ssl.client.props, también tienen alias a los que puede hacer referencia. En el código de ejemplo siguiente del archivo sas.client.props, todas las propiedades SSL se sustituyen por una propiedad que apunta a una configuración SSL del archivo ssl.client.props:
com.ibm.ssl.alias=DefaultSSLSettings
El código de ejemplo siguiente muestra una propiedad en el archivo soap.client.props que es similar a la propiedad com.ibm.SSL.ConfigURL. Esta propiedad hace referencia a una configuración SSL diferente del extremo del cliente:
com.ibm.ssl.alias=DefaultSSLSettings
En el archivo ssl.client.props, puede cambiar la configuración SSL administrativa para no tener que modificar el archivo soap.client.props.
Consejo: El soporte para las propiedades SSL se continúa especificando en los archivos sas.client.props y soap.client.props. No obstante, puede pensar en trasladar las configuraciones SSL al archivo ssl.client.props, porque este archivo es el nuevo modelo de configuración para el SSL del cliente.
[IBM i][z/OS]Si configura un cliente que no llama a setupCmdLine.sh para conectarse a un servidor de aplicaciones utilizando seguridad, debe asegurarse de que la siguiente propiedad del sistema esté definida en la configuración del cliente:
-Djava.security.properties=profile_root/properties/java.security 

Propiedades del archivo ssl.client.props

En esta sección se describen detalladamente las propiedades del archivo ssl.client.props por omisión según las secciones contenidas en el archivo. Debe tener en cuenta que si especifica propiedades del sistema javax.net.ssl, éstas sustituirán los valores del archivo ssl.client.props.

Propiedades globales:

[AIX Solaris HP-UX Linux Windows][z/OS]Las propiedades SSL globales son propiedades específicas de los procesos que incluyen la habilitación de FIS (Federal Information Processing Standard), del alias SSL por omisión, de la propiedad user.root para especificar la ubicación raíz de las vías de acceso de claves y del almacén de confianza, etc.

[IBM i]Las propiedades SSL globales son propiedades específicas de los procesos que incluyen la habilitación de FIS (Federal Information Processing Standard), del alias SSL por omisión, de la propiedad profile_root del perfil para especificar la ubicación raíz de las vías de acceso de claves y del almacén de confianza, etc.

Tabla 1. Propiedades del archivo ssl.client.props. En esta tabla se describen las propiedades del archivo ssl.client.props.
Propiedad Valor predeterminado Descripción
com.ibm.ssl.defaultAlias DefaultSSLSettings Especifica el alias por omisión que se utiliza siempre que no se especifique un alias en el protocolo que llama a la API de JSSEHelper para recuperar una configuración SSL. Esta propiedad es el árbitro final del extremo del cliente para determinar qué configuración SSL se ha de utilizar.
com.ibm.ssl.validationEnabled false Cuando se establece en true, esta propiedad valida cada configuración SSL como se ha cargado. Utilice esta propiedad únicamente para fines de depuración para evitar que la actividad general de la fase de producción no disminuya innecesariamente el rendimiento.
com.ibm.ssl.performURLHostNameVerification false Cuando se establece en true, esta propiedad verifica el nombre de host del URL. Cuando se efectúan conexiones de URL de HTTP con los servidores de destino, el nombre común (CN) del certificado del servidor debe coincidir con el nombre de host de destino. Si no hay una coincidencia, el verificador del nombre de host rechaza la conexión. El valor predeterminado de false omite esta comprobación. Como propiedad global, establece el verificador del nombre de host por omisión. Cualquier objeto javax.net.ssl.HttpsURLConnection puede optar por habilitar la verificación del nombre de host para dicha instancia específica llamando al método setHostnameVerifier con su propia instancia de HostnameVerifier.
Avoid trouble Avoid trouble: Esta propiedad no se aplica a canales SSL.gotcha
com.ibm.security.useFIPS false Cuando se establece en true, se utilizan los algoritmos compatibles con FIPS para SSL y otras aplicaciones específicas de JCE (Java™ Cryptography Extension). Generalmente esta propiedad no está habilitada a menos que el entorno operativo requiera la propiedad.
com.ibm.websphere.security.FIPSLevel false Especifica el nivel del estándar a utilizar. Los valores válidos incluyen 140-2, SP800-131 y transición. La propiedad com.ibm.security.useFIPS debe establecerse en true para habilitar suite B. La propiedad se debe entrar en el archivo ssl.client.props en la sección de propiedades globales, preferiblemente después de com.ibm.security.useFIPS.
com.ibm.websphere.security.suiteB false Especifica el nivel de estándar de seguridad de Suite B que debe habilitarse. Los valores válidos incluyen 128 y 192. Para habilitar la propiedad com.ibm.security.useFIPS. debe establecerse en true. La propiedad debe especificarse en el archivo ssl.client.props en la sección de propiedades global, preferiblemente después de com.ibm.security.useFIPS.
[z/OS]user.root [z/OS]${WASROOT} [z/OS]Esta propiedad la pueden utilizar las propiedades de clave y almacén de confianza como una sola propiedad para especificar la vía de acceso raíz a la clave y los almacenes de confianza. ${WASROOT} es el directorio raíz del perfil actual. Generalmente, esta propiedad es la raíz de propiedad. No obstante, puede modificar esta propiedad en cualquier directorio raíz de la máquina local que tenga la autorización correcta de lectura y potencialmente la de grabación en dicho directorio.

Propiedades de creación de certificado:

Utilice las propiedades de creación de certificados para especificar los valores de certificados autofirmados para los atributos principales de un certificado. Puede definir el nombre distinguido (DN), la fecha de caducidad, el tamaño de clave y el alias que se almacena en el almacén de claves.
Tabla 2. Propiedades de creación de certificados. En esta tabla se describen las propiedades de creación de certificados.
Propiedad Valor predeterminado Descripción
com.ibm.ssl.defaultCertReqAlias default_alias Esta propiedad especifica el alias por omisión que utilizar para hacer referencia al certificado autofirmado que se crea en el almacén de claves. Si el alias ya existe con dicho nombre, al alias por omisión se le añade el prefijo _#, donde el signo de almohadilla (#) es un entero que comienza por 1 y se incrementa hasta que encuentra un alias exclusivo.
com.ibm.ssl.defaultCertReqSubjectDN cn=${nombre_host}, o=IBM,c=US Esta propiedad utiliza el nombre distinguido (DN) de la propiedad que establece para el certificado cuando se crea. La variable ${nombre_host} se añade al nombre de host en el que reside. Puede utilizar los DN de formato correcto según lo especifica el certificado X.509.
com.ibm.ssl.defaultCertReqDays 365 Esta propiedad especifica el período de validez para el certificado y puede ser de tan solo 1 día y de hasta el número máximo de días en que puede establecerse un certificado que es aproximadamente de 15 años.
com.ibm.ssl.defaultCertReqKeySize 1024 Esta propiedad es el tamaño predeterminado de clave. Los valores válidos dependen de los archivos de política de seguridad JVM (Java Virtual Machine) que se instalen. De modo por omisión, las JVM del producto se envían con el archivo de políticas de exportación que limita el tamaño de las claves a 1024. Para obtener un tamaño de clave de un tamaño de hasta 2048, puede descargar los archivos de políticas restringidos del sitio web.

Comprobación de revocación de certificados:

Para habilitar la comprobación de revocación de certificados, puede establecer una combinación de propiedades de OCSP (Online Certificate Status Protocol). Estas propiedades no se utilizan a menos que establezca la propiedad com.ibm.ssl.trustManager en IbmPKIX. Adicionalmente, para procesar correctamente la comprobación de la revocación, debe desactivar la solicitud de intercambio de firmante. Para desactivar la solicitud de intercambio de firmante, cambie la propiedad com.ibm.ssl.enableSignerExchangePrompt a false. Si desea información adicional, consulte la documentación sobre cómo habilitar la comprobación de revocación de certificados con el gestor de confianza IbmPKIX predeterminado.

Propiedades de configuración SSL:

Utilice la sección de propiedades de configuración SSL para establecer varias configuraciones SSL. En una especificación de configuración SSL, establezca la propiedad com.ibm.ssl.alias debido a que el analizador inicia una configuración SSL nueva con este nombre de alias. Se hace referencia a la configuración SSL utilizando la propiedad del alias de otro archivo como, por ejemplo, sas.client.props o soap.client.props a través de la propiedad del alias por omisión. Las propiedades que se especifican en la tabla siguiente le permiten crear un javax.net.ssl.SSLContext, entre otros objetos SSL.
Tabla 3. Propiedades de configuración de SSL. En esta tabla se listan las propiedades de configuración SSL.
Propiedad Valor predeterminado Descripción
com.ibm.ssl.alias DefaultSSLSettings Esta propiedad es el nombre de esta configuración SSL y debe ser la primera propiedad para una configuración SSL debido a que hace referencia a la configuración SSL. Si cambia el nombre de esta propiedad después de que se haga referencia a la misma en otro lugar de la configuración, cuando no se encuentra la referencia el tiempo de ejecución toma como valor predeterminado la propiedad com.ibm.ssl.defaultAlias. Es posible que se muestre un error de tipo el archivo de confianza es nulo o el archivo de claves es nulo cuando inicia una aplicación utilizando una referencia SSL que ya no es válida.
com.ibm.ssl.protocol SSL_TLS Esta propiedad requiere el protocolo de reconocimiento de comunicación SSL que se utiliza para esta configuración SSL. Esta propiedad intenta en primer lugar TLS (Transport Layer Security) pero acepta cualquier protocolo de reconocimiento de comunicación remoto, incluido SSLv3 y TLSv1. Los valores válidos para esta propiedad incluyen SSL_TLS, SSL, SSLv2 (sólo el extremo del cliente), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 y TLSv1.2.
com.ibm.ssl.securityLevel FUERTE Esta propiedad especifica el grupo de cifrado que se utiliza para el protocolo de reconocimiento de comunicación SSL. La selección típica es STRONG, que especifica los cifrados de 128 bits o superior. La selección MEDIUM proporciona cifrados de 40 bits. La selección WEAK proporciona cifrados que no efectúan la codificación pero sí la firma para la integridad de datos. Si especifica su propia selección de lista de cifrado, descomente la propiedad com.ibm.ssl.enabledCipherSuites.
Nota: El uso de propiedades del sistema javax.net.ssl hace que este valor siempre sea alto.
com.ibm.ssl.trustManager IbmX509 Esta propiedad especifica el gestor de confianza por omisión que debe utilizar para validar el certificado enviado por el servidor de destino. Este gestor de confianza no efectúa la comprobación de la lista de revocación de certificados CRL. Puede optar por cambiar este valor por IbmPKIX para la comprobación CRL utilizando las listas de distribución CRL del certificado que es un método estándar de efectuar la comprobación CRL. Cuando desee realizar la comprobación de CRL personalizada, debe implementar un gestor de confianza personalizado y especificar el gestor de confianza en la propiedad com.ibm.ssl.customTrustManagers. La opción IbmPKIX puede afectar el rendimiento debido a que esta opción requiere IBMCertPath para la validación de confianza. Utilice ibmX509 a menos que sea necesaria la comprobación CRL. Si utiliza propiedades de OCSP (Online Certificate Status Protocol), establezca el valor de esta propiedad en IbmPKIX.
com.ibm.ssl.keyManager IbmX509 Esta propiedad especifica el gestor de claves por omisión que se ha de utilizar para seleccionar el alias de cliente desde el almacén de claves especificado. Este gestor de claves utiliza la propiedad com.ibm.ssl.keyStoreClientAlias para especificar el alias de almacén de claves. Si no se especifica esta propiedad, la opción se delega a JSSE (Java Secure Socket Extension). JSSE generalmente selecciona el primer alias que encuentra.
com.ibm.ssl.contextProvider IBMJSSE2 Esta propiedad se utiliza para seleccionar el proveedor JSSE para la creación del contexto SSL. Se le recomienda que utilice IBMJSSE2 como valor predeterminado cuando utilice una JVM (Java Virtual Machine). El plug-in del cliente puede utilizar el proveedor SunJSSE cuando utilice una JVM de Sun.
com.ibm.ssl.enableSignerExchangePrompt true Esta propiedad determina si ha de visualizar el indicador de intercambio de firmantes cuando no hay un firmante en el almacén de claves de confianza del cliente. El indicador muestra información acerca del certificado remoto, de modo que WebSphere Application Server puede decidir si el firmante es o no de confianza. Es muy importante validar la firma del certificado. Esta firma es la única información fiable que puede garantizar que en el certificado no se ha modificado nada del certificado del servidor original. Para los casos automatizados, inhabilite esta propiedad para evitar las excepciones de reconocimiento de comunicación SSL. Ejecute el script retrieveSigners, que establece el intercambio de firmantes SSL, para descargar los firmantes del servidor antes de ejecutar los clientes. Si utiliza propiedades de OCSP (Online Certificate Status Protocol), establezca el valor de esta propiedad en false.
com.ibm.ssl.keyStoreClientAlias predeterminado Esta propiedad se utiliza para hacer referencia a un alias del almacén de claves especificado cuando el destino no solicita la autenticación del cliente. Cuando WebSphere Application Server crea un certificado autofirmado para la configuración SSL, esta propiedad determina el alias y altera temporalmente la propiedad global com.ibm.ssl.defaultCertReqAlias.
com.ibm.ssl.customTrustManagers Está comentada de forma predeterminada Esta propiedad le permite especificar uno o más gestores de confianza personalizados que están separados por comas. Estos gestores de confianza tienen el formato algoritmo|proveedor o nombre_clase. Por ejemplo, IbmX509|IBMJSSE2 tiene el formato algoritmo|proveedor y la interfaz com.acme.myCustomTrustManager tiene el formato nombre_clase. La clase debe implementar la interfaz javax.net.ssl.X509TrustManager. Opcionalmente, la clase puede implementar la interfaz com.ibm.wsspi.ssl.TrustManagerExtendedInfo. Estos gestores de confianza se ejecutan junto con el gestor de confianza por omisión especificado mediante la interfaz com.ibm.ssl.trustManager. Estos gestores de confianza no sustituyen el gestor de confianza por omisión.
com.ibm.ssl.customKeyManager Está comentada de forma predeterminada Esta propiedad le permite tener un gestor de claves personalizado pero únicamente uno. El gestor de claves sustituye al gestor de claves por omisión que se ha especificado en la propiedad com.ibm.ssl.keyManager. El formato del gestor de claves es algoritmo|proveedor o nombre_clase. Consulte los ejemplos de formato para la propiedad com.ibm.ssl.customTrustManagers. La clase debe implementar la interfaz javax.net.ssl.X509KeyManager. Opcionalmente, la clase puede implementar la interfaz com.ibm.wsspi.ssl.KeyManagerExtendedInfo. El gestor de claves es responsable de la selección de alias.
com.ibm.ssl.dynamicSelectionInfo Está comentada de forma predeterminada Esta propiedad le permite la asociación dinámica con la configuración SSL. La sintaxis de una asociación dinámica es protocolo_salida, host_destino, o puerto_destino. En el caso de varias especificaciones, utilice la barra vertical ( | ) como delimitador. Puede sustituir cualquiera de estos valores por un asterisco (*) para indicar un valor de comodín. Los valores paraprotocolo_salida válidos son: IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS, y ADMIN_SOAP. Cuando desea que el criterio de selección dinámico seleccione la configuración SSL, descomente la propiedad por omisión y añada la información de conexión. Por ejemplo, añada lo siguiente en una línea:
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites Está comentada por omisión Esta propiedad le permite especificar un lista de suite de cifrado y alterar temporalmente la selección de grupo de la propiedad com.ibm.ssl.securityLevel. La lista de cifrados válida varía según el proveedor y los archivos de políticas JVM que se aplican. Para las suites de cifrado, utilice un espacio como delimitador.
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Esta propiedad hace referencia a un nombre de configuración de almacén de claves. Si no ha definido el almacén de claves, el resto de las propiedades del almacén de claves deben seguir a esta propiedad. Después de definir el almacén de claves, puede especificar esta propiedad para que haga referencia a la configuración de almacén de claves especificada anteriormente. Las nuevas configuraciones del almacén de claves del archivo ssl.client.props tienen un nombre exclusivo.
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Esta propiedad hace referencia a un nombre de configuración de almacén de claves. Si todavía no ha definido el almacén de confianza, el resto de las propiedades del almacén de claves deben seguir a esta propiedad. Después de definir el almacén de claves, puede especificar esta propiedad para que haga referencia a la configuración de almacén de confianza especificada anteriormente. Las nuevas configuraciones del almacén de confianza del archivo ssl.client.props tienen un nombre exclusivo.
[z/OS]Los valores predeterminados de las propiedades de configuración del almacén de claves y del almacén de confianza dependen de la configuración de seguridad que seleccione en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles z/OS. Están disponibles las siguientes opciones en el panel de selección de seguridad administrativa:
  • Si indica la opción Utilizar un producto de seguridad z/OS, que es la primera opción, los valores predeterminados de las propiedades del almacén de claves y del almacén de confianza apuntan a un almacén de claves con un tipo JCERACFKS. Este tipo utiliza claves y certificados almacenados y gestionados por un producto de seguridad z/OScomo RACF. Si desea más información, consulte el apartado "Almacenes de claves de z/OS" del tema "Configuraciones de almacén de claves".
  • Si indica la opción Utilizar la seguridad de WebSphere Application Server, que es la segunda opción o la opción No habilitar la seguridad, que es la tercera opción, los valores predeterminados para las propiedades de configuración del almacén de claves y del almacén de confianza apuntan a un almacén de claves con un archivo PKCS12. Si desea más información sobre los almacenes de claves basados en archivos, consulte el apartado "Almacenes de claves basados en archivos (JCEKS, JKS y PKCS12)" del tema "Configuraciones del almacén de claves".

Configuraciones del almacén de claves:

Las configuraciones SSL hacen referencia a las configuraciones de almacén de claves cuya finalidad es identificar la ubicación de los certificados. Los certificados representan la identidad de los clientes que utilizan la configuración SSL. Puede especificar configuraciones del almacén de claves con otras propiedades de configuración SSL. No obstante, se recomienda especificar las configuraciones del almacén de claves en esta sección del archivo ssl.client.props después de que la propiedad com.ibm.ssl.keyStoreName identifique el inicio de una configuración nueva del almacén de claves. Después de definir por completo la configuración del almacén de claves, la propiedad com.ibm.ssl.keyStoreName puede hacer referencia a la configuración del almacén de claves en cualquier punto del archivo.
[AIX Solaris HP-UX Linux Windows][IBM i]
Tabla 4. Propiedades de configuración de almacén de claves. En esta tabla se listan las propiedades de configuración del almacén de claves.
Propiedad Valor predeterminado Descripción
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Esta propiedad especifica el nombre del almacén de claves como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a este nombre más adelante en el archivo ssl.client.props para evitar la duplicación.
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 Esta propiedad especifica la ubicación del almacén de claves en el formato necesario de la propiedad com.ibm.ssl.keyStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo de almacén de claves. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL (Dynamic Link Library).
Avoid trouble Avoid trouble: Si está utilizando una tarjeta de criptografía 4764, el nombre de archivo de almacén de claves para la configuración del cliente debe especificarse como el archivo 4764.cfg en una estructura de directorios de su elección, y el com.ibm.ssl.keyStoreType correspondiente debe establecerse en PKCS11. El archivo 4764.cfg NO se proporciona con WebSphere Application Server.gotcha
com.ibm.ssl.keyStorePassword WebAS Esta propiedad es la contraseña predeterminada, que es el nombre de célula para el perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de claves y, a continuación, cambiar esta referencia. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de claves de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de claves utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultKeyStore y si la propiedad fileBased es true. Suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos.
com.ibm.ssl.keyStoreType PKCS12 Esta propiedad es el tipo del almacén de claves. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de claves válido al que dé soporte la JVM de la lista de proveedores.
com.ibm.ssl.keyStoreProvider IBMJCE La propiedad IBM® Java Cryptography Extension es el proveedor del almacén de claves para el tipo de almacén de claves. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.keyStoreFileBased true Esta propiedad indica al tiempo de ejecución que el almacén de claves está basado en archivos, lo que significa que está situado en el sistema de archivos.
com.ibm.ssl.keyStoreReadOnly false Esta propiedad indica al tiempo de ejecución de WebSphere Application Server si el almacén de claves se puede modificar durante el tiempo de ejecución.

[z/OS]En la siguiente tabla, los valores de la columna "Valores predeterminados con un producto de seguridad z/OS" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar un producto de seguridad z/OS en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la primera opción en el panel de selección de seguridad administrativa. Los valores de la columna "Valores predeterminados con seguridad WebSphere Application Server" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar WebSphere Application Server en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la segunda opción en el panel de selección de seguridad administrativa.

[z/OS]
Tabla 5. Propiedades de configuración de almacén de claves. En esta tabla se listan las propiedades de configuración del almacén de claves.
Propiedad Valores predeterminados para un producto de seguridad z/OS Valores predeterminados de la seguridad de WebSphere Application Server Descripción
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore Esta propiedad especifica el nombre del almacén de claves como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a este nombre más adelante en el archivo ssl.client.props para evitar la duplicación.
com.ibm.ssl.keyStore

safreyring:///su_conjunto_de_claves

Este valor se establece en el panel Personalización de SSL de la Herramienta de gestión de perfiles de z/OS.

${user.root}/etc/key.p12 Esta propiedad especifica la ubicación del almacén de claves en el formato necesario de la propiedad com.ibm.ssl.keyStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo de almacén de claves. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL (Dynamic Link Library).
com.ibm.ssl.keyStorePassword password WebAS Esta propiedad es la contraseña predeterminada, que es el nombre de célula para el perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de claves y, a continuación, cambiar esta referencia. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de claves de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de claves utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultKeyStore y si la propiedad fileBased es true. Suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos.
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 Esta propiedad es el tipo del almacén de claves. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de claves válido al que dé soporte la JVM de la lista de proveedores. El tipo puede ser JCERACFKS, JCECCARACFKS o JCECCAKS para los dispositivos criptográficos.
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE La propiedad IBM Java Cryptography Extension es el proveedor del almacén de claves para el tipo de almacén de claves. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.keyStoreFileBased false true Esta propiedad indica al tiempo de ejecución que el almacén de claves está basado en archivos, lo que significa que está situado en el sistema de archivos.
com.ibm.ssl.keyStoreReadOnly true false Esta propiedad indica al tiempo de ejecución de WebSphere Application Server si el almacén de claves se puede modificar durante el tiempo de ejecución. Por ejemplo, no puede modificar los almacenes de claves de sólo lectura mediante la consola administrativa o los scripts. Los conjuntos de claves SAF, que utiliza WebSphere Application Server para z/OS, son siempre de solo lectura.

Configuraciones del almacén de confianza:

Las configuraciones SSL hacen referencia a las configuraciones de almacén de confianza, cuya finalidad es contener los certificados de firmante para servidores de confianza de este cliente. Puede especificar estas propiedades con otras propiedades de configuración SSL. No obstante, se recomienda especificar las configuraciones del almacén de confianza en esta sección del archivo ssl.client.props después de que la propiedad com.ibm.ssl.trustStoreName identifique el inicio de una configuración nueva del almacén de confianza. Después de definir por completo la configuración del almacén de confianza, la propiedad com.ibm.ssl.trustStoreName puede hacer referencia a la configuración del almacén de confianza en cualquier punto del archivo.

Un almacén de confianza es un almacén de claves que utiliza JSEE para la evaluación de confianza. Un almacén de confianza contiene los firmantes que requiere WebSphere Application Server para asignar confianza a la conexión remota durante el reconocimiento de conexión. Si configura la propiedad com.ibm.ssl.trustStoreName=ClientDefaultKeyStore, puede hacer referencia al almacén de claves como el almacén de confianza. No es necesaria una configuración adicional para el almacén de confianza porque todos los firmantes generados mediante intercambios de firmantes se importan al almacén de claves en el que los invoca el tiempo de ejecución.

[z/OS]En la siguiente tabla, los valores de la columna "Valores predeterminados con un producto de seguridad z/OS" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar un producto de seguridad z/OS en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la primera opción en el panel de selección de seguridad administrativa. Los valores de la columna "Valores predeterminados con seguridad WebSphere Application Server" corresponden a los valores predeterminados que se utilizan cuando se indica la opción Utilizar WebSphere Application Server en el panel de selección de seguridad administrativa de la Herramienta de gestión de perfiles de z/OS. Esta opción es la segunda opción en el panel de selección de seguridad administrativa.

[AIX Solaris HP-UX Linux Windows][IBM i]
Tabla 6. Propiedades de configuración de almacén de confianza. En esta tabla se listan las propiedades de configuración de almacén de confianza.
Propiedad Valor predeterminado Descripción
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Esta propiedad especifica el nombre del almacén de confianza como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a la misma más adelante en el archivo ssl.client.props para evitar la duplicación.
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 Esta propiedad especifica la ubicación del almacén de confianza en el formato necesario por el tipo de almacén de confianza al que hace referencia la propiedad com.ibm.ssl.trustStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo del almacén de confianza. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL.
Avoid trouble Avoid trouble: Si está utilizando una tarjeta criptográfica 4764, el nombre del archivo de almacén de claves para la configuración del cliente debe especificarse como archivo 4764.cfg en una estructura de directorios de su elección, y el valor correspondiente de com.ibm.ssl.keyStoreType debe establecerse en PKCS11. El archivo 4764.cfg NO se proporciona con WebSphere Application Server.gotcha
com.ibm.ssl.trustStorePassword WebAS Esta propiedad especifica la contraseña predeterminada, que es el nombre de célula del perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de confianza y, a continuación, cambiar la referencia a esta propiedad. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de confianza de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de confianza utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultTrustStore y si la propiedad fileBased es true. Se le recomienda que suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos.
com.ibm.ssl.trustStoreType PKCS12 Esta propiedad es el tipo del almacén de confianza. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de confianza válido al que dé soporte la JVM de la lista de proveedores.
com.ibm.ssl.trustStoreProvider IBMJCE Esta propiedad es el proveedor del almacén de confianza del tipo de almacén de confianza. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.trustStoreFileBased true Esta propiedad indica al tiempo de ejecución que el almacén de confianza está basado en archivos, lo que significa que está situado en el sistema de archivos.
com.ibm.ssl.trustStoreReadOnly false Esta propiedad indica al tiempo de ejecución para WebSphere Application Server si el almacén de confianza se puede modificar durante el tiempo de ejecución.
[z/OS]
Tabla 7. Propiedades de configuración de almacén de confianza. En esta tabla se enumeran las propiedades de configuración del almacén de confianza.
Propiedad Valores predeterminados con un producto de seguridad z/OS Valores predeterminados con la seguridad de WebSphere Application Server Descripción
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore Esta propiedad especifica el nombre del almacén de confianza como hace referencia al mismo el tiempo de ejecución. Otras configuraciones SSL pueden hacer referencia a la misma más adelante en el archivo ssl.client.props para evitar la duplicación.
com.ibm.ssl.trustStore

safreyring:///su_conjunto_de_claves

Este valor se establece en el panel Personalización de SSL de la Herramienta de gestión de perfiles de z/OS.

${user.root}/etc/trust.p12 Esta propiedad especifica la ubicación del almacén de confianza en el formato necesario por el tipo de almacén de confianza al que hace referencia la propiedad com.ibm.ssl.trustStoreType. Generalmente, esta propiedad hace referencia a un nombre de archivo del almacén de confianza. No obstante, para los tipos de símbolos criptográficos, esta propiedad hace referencia a un archivo DLL.
com.ibm.ssl.trustStorePassword password WebAS Esta propiedad especifica la contraseña predeterminada, que es el nombre de célula del perfil cuando se ha creado. La contraseña se codifica generalmente utilizando un algoritmo {xor}. Puede utilizar iKeyman para cambiar la contraseña en el almacén de confianza y, a continuación, cambiar la referencia a esta propiedad. Si desconoce la contraseña y si se crea el certificado automáticamente, cambie la contraseña en esta propiedad, a continuación, suprima el almacén de confianza de la ubicación en la que reside. Reinicie el cliente para volver a crear el almacén de confianza utilizando la nueva contraseña, pero sólo si el nombre del almacén de claves acaba con DefaultTrustStore y si la propiedad fileBased es true. Se le recomienda que suprima el almacén de claves y el almacén de confianza al mismo tiempo, de modo que se produzca un intercambio de firmante cuando se vuelvan a crear los dos juntos.
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 Esta propiedad es el tipo del almacén de confianza. Utilice el valor predeterminado, PKCS12, debido a su interoperatividad con otras aplicaciones. Puede especificar esta propiedad como cualquier tipo de almacén de confianza válido al que dé soporte la JVM de la lista de proveedores. El tipo puede ser JCERACFKS, JCECCARACFKS o JCECCAKS para los dispositivos criptográficos.
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE Esta propiedad es el proveedor del almacén de confianza del tipo de almacén de confianza. Generalmente, el proveedor es IBMJCE o IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.trustStoreFileBased false true Esta propiedad indica al tiempo de ejecución que el almacén de confianza está basado en archivos, lo que significa que está situado en el sistema de archivos.
com.ibm.ssl.trustStoreReadOnly true false Esta propiedad indica al tiempo de ejecución para WebSphere Application Server si el almacén de confianza se puede modificar durante el tiempo de ejecución. Por ejemplo, no puede modificar los almacenes de confianza de sólo lectura mediante la consola administrativa o los scripts. Los conjuntos de claves SAF, que utiliza WebSphere Application Server para z/OS, son siempre de solo lectura.

Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
File name: rsec_sslclientpropsfile.html