Uso de certificados de señal RSA
La señal Rivest Shamir Adleman (RSA) utiliza certificados de forma similar a como los utiliza la capa de sockets segura (SSL). No obstante, la confianza establecida para SSL y RSA es distinta, y los certificados RSA no deben utilizar certificados SSL y viceversa. Los certificados SSL los pueden utilizar los clientes puros y cuando se utilizan para el mecanismo de RSA permitirían al cliente enviar una señal RSA al servidor. El mecanismo de autenticación de la señal RSA es puramente para solicitudes entre servidores y no deben utilizarlo los clientes puros. El modo de evitar esta situación es controlar los certificados utilizados por RSA de manera que nunca se distribuyan a los clientes. Existe un certificado raíz diferente para RSA que impide que se establezca la confianza con clientes que sólo necesiten certificados SSL.
Certificado raíz RSA
Para cada perfil existe un certificado raíz almacenado en el almacén de claves rsatoken-root-key.p12. La única finalidad de este certificado raíz RSA es firmar el certificado personal RSA que se almacena en el almacén de claves rsatoken-key.p12. El certificado raíz RSA tiene un tiempo de vida predeterminado de 15 años. El firmante del certificado raíz RSA se comparte con otros procesos para establecer la confianza.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12
Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
MD5: FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
La finalidad del certificado personal RSA es firmar y cifrar información en la señal RSA. El certificado personal RSA tiene un tiempo de vida por omisión de un año, ya The RSAque se utiliza para firmar y cifrar datos que se transmiten a través del cable. La renovación del la realiza el supervisor de caducidad de certificado, que se utiliza para cualquier otro certificado del sistema, incluyendo los certificados SSL.
La confianza de señal RSA se establece cuando el rsatoken-trust.p12 del proceso de destino contiene el firmante del certificado raíz del proceso cliente que envía la señal. En el interior de la señal RSA se encuentra el certificado público del cliente, el cual debe validarse en el destino antes de que se utilice para descifrar datos. La validación del certificado público del cliente se realiza utilizando las API CertPath, que utilizan rsatoken-trust.p12 como el origen de certificados utilizados durante la validación.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
MD5: AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
MD5: 66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************
Puede utilizar las herramientas de gestión de certificados de WebSphere Application Server para crear un nuevo certificado personal y, a continuación, sustituir el certificado personal RSA en el rsa-key.p12 y la clave pública del rsa-trust.p12 por este certificado personal recién creado. Si sustituye el certificado personal RSA antes de la federación con un agente administrativo o un gestor de trabajos, el intercambio de certificados se realiza automáticamente. Si modifica el certificado después de la federación, será necesario asegurarse de que el archivo rsa-trust.p12 en el agente administrativo o gestor de trabajos se actualiza con el firmante del nuevo certificado para establecer la confianza.