Gestión central de las configuraciones SSL

De forma predeterminada, las configuraciones SSL (Secure Sockets Layer) para los servidores se gestionan desde una ubicación central de la vista de la topología de la consola administrativa. Puede asociar una configuración SSL y un alias de certificado con un ámbito de gestión específico. Este método es el más eficaz para manipular y modificar las configuraciones cuando cambia la topología de servidor.

En releases anteriores, las configuraciones SSL se gestionan para cada proceso. Tiene que mantener valores individuales para cada configuración SSL de la topología. En este release de WebSphere Application Server, el control de gestión de las configuraciones SSL ofrece más opciones y flexibilidad adicional. Puede hacer cambios más generales para toda la topología utilizando el ámbito de célula y cambios más precisos utilizando un nombre de punto final determinado para un proceso de servidor de aplicaciones específico. Como las asociaciones de configuración SSL manifiestan un comportamiento de herencia, puede simplificar el número de asociaciones haciendo referencia sólo al ámbito de gestión de nivel más alto que necesite una configuración exclusiva.

La vista de la topología proporciona el mecanismo de ámbito. La configuración SSL hereda su ámbito, que puede verse como su visualización en la topología. El ámbito abarca el nivel en el que se ha creado la configuración y todos los siguientes niveles a los que apunta. Por ejemplo, al crear una configuración SSL en un nodo específico, la configuración puede ser visualizada por ese agente de nodo y por todos los servidores de aplicaciones que forman parte de ese nodo. Cualquier servidor de aplicaciones o nodo que no forme parte de este determinado nodo no puede ver esta configuración SSL.

El entorno de seguridad influye en cuestiones tales como la exclusividad de las configuraciones SSL, así como la ubicación de las configuraciones SSL y alias de certificado en la topología. También puede configurar distintos alias de certificado y configuraciones SSL para las conexiones de entrada frente a las conexiones de salida.

Para configurar las topologías de entrada y salida, que debe realizarse de forma separada en la consola administrativa, pulse Seguridad > Certificados SSL y gestión de claves > Gestionar configuraciones de seguridad de punto final > Entrada | Salida.

Configuración SSL gestionada centralmente por omisión

Resulta más fácil gestionar las configuraciones SSL centralmente en la vista de la topología de la consola administrativa, pero también puede utilizar los scripts de wsadmin en AdminTasks para gestionar las configuraciones SSL.

El elemento de configuración del archivo security.xml puede utilizarse para gestionar las asociaciones de configuración SSL. El objeto de configuración sslConfigGroup es el mecanismo que se utiliza para asociar una dirección de conexión y ámbito de gestión con una configuración SSL y alias de certificado específicos. El atributo de célula sslConfigGroups tiene una configuración con ámbito de célula de entrada y de salida predefinida que heredan todos los puntos finales de la célula. Como las normas de prioridad deben guiarle al seleccionar las configuraciones SSL, consulte Comunicaciones seguras utilizando SSL (Secure Sockets Layer - Capa de sockets seguros) antes de modificar las configuraciones mediante scripts wsadmin.
<sslConfigGroups xmi:id="SSLConfigGroup_1" 
name="myhostCell01" direction="inbound" certificateAlias="default" 
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01" 
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1" 
scopeName="(cell):myhostCell01" scopeType="cell"/>

En el código de ejemplo anterior, el atributo sslConfigGroups hace referencia al ámbito de gestión de célula. Para este ejemplo, si se había pensado en un ámbito distinto, la siguiente lista muestra el orden de prioridad para la selección de los ámbitos de gestión, desde el orden de prioridad mayor hasta el menor. Cada vez que se define un ámbito de punto final, éste utiliza la configuración SSL y el alias de certificado especificados.

Ámbito de punto final
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX" 
scopeType="endpoint"/>
Ámbito de servidor
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1" scopeType="server"/>
Ámbito de clúster
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(cluster):myCluster" scopeType="cluster"/>
Ámbito de nodo
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01" scopeType="node"/>
Ámbito de grupo de nodos
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
Ámbito de célula
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01"
scopeType="cell"/>

Icon that indicates the type of topic Concept topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcentralmanconfigs
File name: csec_sslcentralmanconfigs.html