[z/OS]

Utilización de conjuntos de claves SAF (System Authorization Facility) con JSSE (Java Secure Sockets Extension)

Los clientes de WebSphere Application Server para z/OS que se ejecutan en el servidor W50100x o posteriores, con JDK (Java™ Development Kit) 1.3 nivel SR20 o posteriores, pueden modificar sus sistemas WebSphere Application Server para utilizar SAF (System Authorization Facility) para JSSE (Java Secure Sockets Extension), así como SSL (Secure Sockets Layer), que elimina la necesidad de conservar certificados duplicados en HFS (Sistema de archivos jerárquico).

Antes de empezar

WebSphere Application Server para z/OS, que se ejecuta en niveles de mantenimiento anteriores a W502000, almacenaba la información de certificados digitales en dos lugares distintos debido a las siguientes restricciones de SDK (Software Development Kit):
  • JSSE ha utilizado certificados digitales almacenados en los archivos del sistema de archivo jerárquico.
  • SSL ha utilizado información del certificado digital almacenado en la base de datos SAF
Los sistemas personalizados en W502000 o posteriores utilizan el único repositorio de certificados digital SAF por omisión y no requieren las siguientes modificaciones.

Acerca de esta tarea

Los clientes de WebSphere Application Server para z/OS que se ejecutan en el servidor W50100x o posterior, con Java Development Kit 1.3 nivel SR20 o posterior, pueden modificar sus sistemas WebSphere Application Server para utilizar SAF para JSSE, así como SSL (lo que elimina la necesidad de conservar certificados duplicados en HFS). Las instrucciones siguientes describen cómo habilitar este soporte.
Nota: Los sistemas que se personalizan en niveles de mantenimiento o después de que W502000 utilice el repositorio único de certificados digitales (SAF) por omisión, no necesitan las modificaciones siguientes.

Para utilizar los certificados SAF con JSSE:

Procedimiento

  1. Actualice los valores del conector JMX (Java Management Extensions) para indicar los nombres del conjunto de claves SAF del nodo.
    1. Inicie sesión en la consola administrativa mediante una identidad con autorización de administrador.
    2. Pulse Servidores > Servidores de aplicaciones > nombre_servidor.
    3. En Infraestructura del servidor, pulse Administración > Servicios de administración.
    4. En Propiedades adicionales, pulse Conectores JMX.
    5. En el panel Conectores JMX, pulse SOAPConnector.
    6. En Propiedades adicionales, pulse Propiedades personalizadas.
    7. En la página Propiedades personalizadas, pulse sslConfig.
    8. En la página sslConfig, localice el campo Valor. Compruebe que este campo indique nombre_nodo/DefaultSSLSettings, donde nombre_nodo representa el nombre del nodo en el que reside el servidor de aplicaciones. Anote el nombre de nodo para el siguiente paso.
    9. Seleccione nombre_nodo/RACFJSSESettings en la lista que hay junto al campo Valor, donde nombre_nodo es el nombre de nodo que ha anotado anteriormente.
    10. Pulse Aceptar. Aparece la página Propiedades personalizadas con un mensaje que indica que se han realizado los cambios en la configuración local. No pulse Guardar, ya que son necesarios cambios adicionales.
  2. Pulse Servidores > Servidores de aplicaciones y repita los subpasos anteriores con todos los demás servidores de aplicaciones de la célula.
  3. Actualice los valores del conector JMX (Java Management Extensions) para indicar los nombres del conjunto de claves SAF del nodo del gestor de despliegue.
    1. Pulse Administración del sistema > Gestor de despliegue.
    2. En Propiedades adicionales, pulse Servicios de administración > Conectores JMX.
    3. En el panel Conectores JMX, pulse SOAPConnector.
    4. En Propiedades adicionales, pulse Propiedades personalizadas.
    5. En la página Propiedades personalizadas, pulse sslConfig.
    6. En la página sslConfig, localice el campo Valor. Este campo muestra dmnode/DefaultSSLSettings, donde dmnode representa el nombre del nodo del gestor de despliegue. Anote el nombre de nodo para el siguiente paso.
    7. Seleccione nodogd/RACFJSSESettings en la lista que aparece junto al campo Valor, donde nodogd representa el nombre de nodo del gestor de despliegue.
    8. Pulse Aceptar. Tras un breve periodo de tiempo aparece la página Propiedades personalizadas con un mensaje que indica que se han realizado los cambios en la configuración local. No pulse Guardar en este momento, ya que son necesarios cambios adicionales.
  4. Actualice los valores del conector JMX (Java Management Extensions) para indicar los nombres del conjunto de claves SAF del agente de nodo.
    1. Pulse Administración del sistema > Agentes de nodo > nombre_nodo. Anote el nombre de agente de nodo para el siguiente paso.
    2. En Propiedades adicionales, pulse Servicios de administración > Conectores JMX.
    3. En el panel Conectores JMX, pulse SOAPConnector.
    4. En Propiedades adicionales, pulse Propiedades personalizadas.
    5. En la página Propiedades personalizadas, pulse sslConfig.
    6. En la página sslConfig, localice el campo Valor. Este campo muestra nombre_nodo/DefaultSOAPSSLSettings, donde nombre_nodo es el nombre del nodo donde reside el agente de nodo. Anote el nombre de nodo para el siguiente paso.
    7. Seleccione nombrenodo/RACFJSSESettings en la lista que aparece junto al campo Valor, donde nombrenodo es el nombre de nodo que ha anotado previamente.
    8. Pulse Aceptar. Aparece la página Propiedades personalizadas con un mensaje que indica que se han realizado los cambios en la configuración local. No pulse Guardar en este momento, ya que son necesarios cambios adicionales.
  5. Pulse Administración del sistema > Agentes de nodo y repita los subpasos anteriores con todos los demás servidores de agentes de nodos de la célula.
  6. Pulse Guardar cuando vea el mensaje Se han realizado cambios en la configuración local. Pulse Guardar para aplicar los cambios en la configuración maestra.
  7. En la página Guardar, pulse Sincronizar cambios con nodos y pulse Guardar. Una vez guardados los cambios, la consola administrativa vuelve a la página de presentación.
  8. Actualice el archivo soap.client.props del directorio raíz_perfil/properties para indicar los nombres de los conjuntos de claves SAF adecuados para la configuración. El script wsadmin.sh utiliza el archivo soap.client.props y se ubica en el archivo (user.install.root)/properties del servidor de aplicaciones o gestor de despliegue. El objetivo del archivo soap.client.props es especificar los valores utilizados por clientes SOAP como, por ejemplo, wsadmin.sh. En una célula configurada antes del nivel de mantenimiento W502000 de WebSphere Application Server para z/OS, el archivo soap.client.props indica los nombres de los almacenes de claves Java utilizados por JSSE. Una vez que la célula esté utilizando los conjuntos de claves SAF para la administración JSSE, verifique que éstos se estén utilizando para los clientes SOAP.

    El script wsadmin.sh utiliza el archivo soap.client.props.

    Es necesario que los cambios en los conjuntos de claves SAF de cliente de wsadmin se actualicen en el archivo soap.client.props y la creación de un conjunto de claves para administradores. Especifique los siguientes valores:
    com.ibm.ssl.protocol=SSL
    com.ibm.ssl.keyStoreType=JCERACFKS
    com.ibm.ssl.keyStore=safkeyring:///suNombreconjuntoclaves
    com.ibm.ssl.keyStorePassword=contraseña
    com.ibm.ssl.trustStoreType=JCERACFKS
    com.ibm.ssl.trustStore=safkeyring:///suNombreconjuntoclaves
    com.ibm.ssl.trustStorePassword=contraseña
    =

    El valor de contraseña especificado no representa una contraseña real, ya que puede utilizar cualquier serie. Sustituya la serie suNombreConjuntoclaves por el conjunto de claves SAF administrativo. El nombre del conjunto de claves que utilizan todos los administradores de WebSphere y el ID de usuario de la tarea administrativa iniciada (valor predeterminado WSADMSH) deben coincidir. Adicionalmente, se debe crear un conjunto de claves para cada usuario que utilice el archivo wsadmin.sh con el conector SOAP al utilizar los conjuntos de claves SAF y esté habilitada la seguridad. (Se crea un conjunto de claves por el proceso de personalización para el ID de usuario administrativo inicial, como por ejemplo WSADMIN.)

    Encontrará una descripción de cómo crear conjuntos de claves para los usuarios administrativos en SAF en el apartado Consideraciones sobre SSL para los administradores de WebSphere Application Server.

  9. Recicle la célula.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_racfjssekeyringzos
File name: tsec_racfjssekeyringzos.html