Las configuraciones SSL (Capa de sockets seguros) contienen los atributos
necesarios para controlar el comportamiento de puntos finales SSL de servidor y cliente.
Puede
crear configuraciones SSL con nombres únicos dentro de ámbitos de gestión específicos en el árbol
de entrada o de salida de la topología de la configuración.
Esta tarea muestra cómo
definir configuraciones SSL incluida la calidad de protección y los valores del gestor
de confianza y de claves.
Antes de empezar
Debe determinar en qué ámbito necesita definir una configuración SSL,
por ejemplo, el ámbito de célula, grupo de nodos, nodo, servidor, clúster o punto final,
desde el ámbito menos específico al más específico.
Cuando define una configuración SSL
en el ámbito de nodo, por ejemplo, sólo los procesos de ese nodo pueden cargar
la configuración SSL; no obstante, los procesos del punto final de la célula
pueden utilizar una configuración SSL en el ámbito de célula, que es superior en la
topología.
También debe determinar qué ámbito va a asociar a la nueva
configuración SSL de acuerdo a los procesos a los que afecta la configuración. Por ejemplo, una configuración SSL de un dispositivo criptográfico de hardware puede requerir
un almacén de claves que sólo esté disponible en un nodo determinado o puede necesitar una
configuración SSL para una conexión con un host y puerto SSL en particular. Para obtener más información, consulte Selección de salida dinámica de las configuraciones SSL (Secure Sockets Layer).
Avoid trouble: El archivo security.xml está restringido.
Por lo tanto, si necesita realizar cambios en el archivo security.xml, verifique que su ID de usuario tenga autorización de rol de administrador. Si utiliza un ID de usuario con autorización de rol de operador, puede realizar una sincronización de nodos, pero no se sincronizará ningún cambio que efectúe en el archivo security.xml.
gotcha
Acerca de esta tarea
Complete los pasos siguientes en la consola administrativa:
Procedimiento
- Pulse Seguridad > Gestión de claves y certificados SSL
> Gestionar configuraciones de seguridad de punto final.
- Seleccione un enlace de configuración SSL en el árbol de entrada o de salida, en función
del proceso que esté configurando.
- Si ya se ha asociado el ámbito a una configuración y un alias,
se anotarán entre paréntesis el alias de configuración SSL y el alias de certificado.
- Si no se incluye la información entre paréntesis, entonces no se asociará el
ámbito. En su lugar, el ámbito heredará las propiedades de configuración del primer ámbito
por encima de éste que esté asociado a un alias de configuración SSL y de certificado.
Debe asociarse el ámbito de célula a una configuración SSL porque
está al principio de la topología y representa la configuración SSL por omisión de
la conexión de entrada o de salida.
- Pulse en Configuración SSL. Puede
visualizar y seleccionar cualquiera de las configuraciones SSL que se configuran en este
ámbito. También puede visualizar y seleccionar estas configuraciones en todos los ámbitos que sean
inferiores en la topología.
- Pulse en Nueva para mostrar el panel Configuraciones SSL. No puede seleccionar enlaces en Propiedades adicionales hasta que no escriba un nombre
de configuración y pulse en Aplicar.
- Especifique un nombre de configuración SSL. Este campo es necesario. El nombre de configuración es el alias de configuración SSL. Indique un nombre de alias exclusivo dentro de la
lista de alias de configuración SSL que ya se han creado en el ámbito seleccionado. La nueva configuración SSL utiliza este alias para otras tareas de configuración.
- Seleccione un nombre de almacén de confianza de la lista desplegable. El nombre de almacén de confianza hace referencia a un almacén de confianza determinado que contiene certificados de firmante que validan la confianza de los certificados enviados por las conexiones remotas durante el reconocimiento de comunicación de SSL. Si no hay ningún almacén de confianza en la lista, consulte el apartado Creación de una configuración de almacén de claves para un archivo de almacén de claves preexistente para crear un nuevo almacén de confianza, que es un almacén de claves cuyo rol es establecer la confianza durante la conexión.
- Seleccione un nombre de almacén de claves de la lista desplegable. Un almacén de claves contiene los certificados personales que
representan una identidad de firmante y la clave privada que
WebSphere
Application Server utiliza para cifrar y firmar datos.
- Si cambia el nombre de almacén de claves, pulse Obtener alias de certificado para
renovar la lista de certificados entre los que puede seleccionar un alias por omisión. WebSphere Application
Server utiliza un alias de servidor para conexiones de entrada y un
alias de cliente para conexiones de salida.
- Si no hay ningún almacén de claves en la lista, consulte el apartado Creación de una configuración de almacén de claves para un archivo de almacén de claves preexistente para crear un nuevo almacén de claves.
- Seleccione un alias de certificado de servidor por omisión para conexiones de entrada. Seleccione el valor por omisión únicamente si no ha especificado un alias de configuración SSL
en otro lugar y no ha seleccionado un alias de certificado. Un árbol de configuración gestionado centralmente
puede alterar temporalmente el alias por omisión. Para obtener más información, consulte Gestión central de las configuraciones SSL.
- Seleccione un alias de certificado de cliente por omisión para conexiones de salida. Seleccione el valor por omisión únicamente si la configuración SSL del servidor especifica una autenticación de
clientes SSL.
- Revise el ámbito de gestión identificado de la configuración SSL. Haga que el ámbito de gestión de este campo sea idéntico al enlace que ha seleccionado en el paso 2. Si desea cambiar el ámbito, debe pulsar en otro enlace del árbol de la topología
y continuar en el Paso 3.
- Pulse en Aplicar si tiene previsto configurar Propiedades adicionales. Si no es así, vaya al Paso 24.
- Pulse en Valores QoP (Calidad de protección). Los valores QoP definen el nivel del cifrado SSL, la
integridad del firmante y la autenticidad del certificado.
- Seleccione un valor de autenticación de clientes para establecer una configuración SSL
para conexiones de entrada y clientes para enviar sus certificados, si lo desea.
- Si selecciona Ninguno, el servidor no solicitará que el cliente envíe un
certificado durante el reconocimiento de conexión.
- Si selecciona Soportado, el servidor solicita que el cliente envíe
un certificado. No obstante, si el cliente no tiene certificado, es posible
que el reconocimiento de conexión se efectúe del mismo modo correctamente.
- Si selecciona Necesario, el servidor solicita que el cliente envíe
un certificado. No obstante, si el cliente no tiene certificado, no se reconocerá
la conexión.
Importante: El certificado de firmante que representa al cliente
debe encontrarse en el almacén de confianza seleccionado para la configuración SSL.
De forma predeterminada,
los servidores dentro de la misma célula confían entre sí porque utilizan el almacén de confianza
común, trust.p12, que se ubica en el directorio cell del repositorio de configuración. No obstante, si utiliza almacenes de claves y de confianza que ha creado, realice un intercambio
de firmante antes de seleccionar Soportado o Necesario.
- Seleccione un protocolo para el reconocimiento de conexión SSL.
- El protocolo por omisión, SSL_TLS, admite protocolos cliente TLSv1
y SSLv3.
- El protocolo TLSv1 admite TLS y TLSv1. La conexión de servidor SSL debe admitir
este protocolo para que continúe el reconocimiento de conexión.
- SSLv2
- SSLv3
- El protocolo SSLv3 admite SSL y SSLv3. La conexión de servidor SSL debe admitir
este protocolo para que continúe el reconocimiento de conexión.
- TLS es TLSv1
- TLSv1
- SSL_TLSv2 es SSLv3 y TLSv1, TLSv1.1, TLSv1.2
- TLSv1.1
- TLSv1.2
Importante: No utilice el protocolo SSLv2 para la conexión de servidor SSL. Utilícelo sólo
cuando sea necesario en el cliente.
- Seleccione una de las opciones siguientes:
- Un proveedor JSSE
(Java™ Secure Socket Extension)
predefinido. Se recomienda utilizar el proveedor IBMJSSE2 en todas las plataformas que dan soporte al mismo. Se requiere para que lo utilice el canal SSL de la infraestructura de canales. Cuando se habilita FIPS (Federal Information Processing
Standard), se utiliza IBMJSSE2 junto con el proveedor criptográfico IBMJCEFIPS.
- Un proveedor de JSSE personalizado. Especifique un nombre de proveedor en el campo Proveedor personalizado.
- Seleccione entre los siguientes grupos de suites de cifrado:
- Alto: Permite que
WebSphere
Application Server realice algoritmos de confidencialidad de 128 bits
para el cifrado y admita algoritmos de firma de integridad. No obstante, un
suite de cifrado de nivel alto puede afectar al rendimiento de la conexión.
- Medio: Permite que
WebSphere
Application Server realice algoritmos de cifrado de 40 bits para el
cifrado y admita algoritmos de firma de integridad.
- Débil:
Permite que WebSphere Application Server admita
algoritmos de firma de integridad pero no realizar el cifrado.
Seleccione esta opción con cuidado porque las contraseñas
u otra información confidencial que pasa por la red podrían estar
visibles en un capturador IP (Protocolo Internet).
- Personalizado: Permite seleccionar cifrados determinados. En el momento en que cambie
los cifrados listados de un grupo de suites de cifrado determinado, cambiará el nombre de grupo a Personalizado.
- Pulse en Actualizar cifrados seleccionados para mostrar una lista de los cifrados
disponibles para cada nivel de cifrado.
- Pulse Aceptar para volver al nuevo panel de configuración SSL.
- Pulse Gestores de confianza y de claves.
- Seleccione un gestor de confianza para la decisión de confianza del reconocimiento de conexión SSL primaria.
- Seleccione IbmPKIX si necesita una comprobación de CRL
(lista de revocación de certificados) con puntos de distribución CRL en
los certificados o el OCSP (Online Certificate Status Protocol).
- Seleccione IbmX509 si no requiere una comprobación de CRL pero necesita un aumento
del rendimiento. Puede configurar un gestor de confianza personalizado para realizar la comprobación de CRL, si es necesario.
- Defina un gestor de confianza personalizado, si lo desea. Puede definir un gestor
de confianza personalizado que se ejecuta con el gestor de confianza por omisión seleccionado. El gestor de confianza personalizado debe implementar la interfaz javax.net.ssl.X509TrustManager JSSE
y, de manera opcional, la interfaz com.ibm.wsspi.ssl.TrustManagerExtendedInfo para obtener
información específica del producto.
- Pulse Seguridad > Gestión de claves y certificados SSL > Gestionar
configuraciones de seguridad de punto final > configuración_SSL > Gestores de confianza y de claves >Gestores de confianza > Nuevo.
- Escriba un nombre de gestor de confianza exclusivo.
- Seleccione la opción Personalizado.
- Escriba un nombre de clase.
- Pulse Aceptar. Cuando vuelva al panel Gestores de confianza y de claves, se mostrará el nuevo gestor de confianza personalizado en el campo Gestores de confianza solicitados adicionales. Utilice los recuadros de lista para añadir y eliminar
gestores de confianza personalizados.
- Seleccione un gestor de claves para la configuración SSL. De forma predeterminada, IbmX509 es el único gestor de claves, a no ser que cree un gestor de claves personalizado.
Importante: Si determina implementar su propio gestor de claves, podría afectar
al comportamiento de la selección de alias porque el gestor de claves se encarga de
seleccionar el alias de certificado del almacén de claves. Es posible
que el gestor de claves personalizado no interprete la configuración SSL
de mismo modo que el gestor de claves IbmX509 de WebSphere Application Server. Para definir un gestor de claves personalizado, pulse Seguridad
> Comunicaciones seguras > Configuraciones SSL > configuración_SSL >
Gestores de confianza y de claves > Gestores de claves > Nuevo.
- Pulse Aceptar para guardar los valores del gestor de confianza y de claves y volver al nuevo panel de
configuración SSL.
- Pulse Guardar para guardar la nueva configuración SSL.
Resultados
Importante: Puede alterar temporalmente el gestor de confianza
cuando configura al menos un gestor de confianza personalizado y establece la propiedad
com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined en true. Pulse Propiedad personalizada en el panel de configuración SSL. No obstante, si cambia el valor por omisión,
dejará todas las decisiones de confianza al gestor de confianza personalizado, que no se
recomienda para entornos de producción. En entornos de prueba, utilice
un gestor de confianza ficticio para impedir la validación de certificados. Recuerde que estos entornos no son seguros.
Qué hacer a continuación
En este release de
WebSphere
Application Server, puede asociar configuraciones SSL con protocolos
mediante uno de los siguientes métodos: