Aislamiento de clústeres, servidores de aplicaciones o nodos de SSL (Secure Sockets Layer)
SSL (Secure Sockets Layer) le permite garantizar que cualquier cliente que intente conectarse con un servidor durante el reconocimiento de comunicación primero realice la autenticación de servidor. Mediante configuraciones de SSL en los ámbitos de nodo, servidor de aplicaciones y clúster, puede aislar la comunicación entre servidores que no deba permitirse que se comuniquen entre sí a través de puertos seguros.
Antes de intentar aislar las comunicaciones controladas por WebSphere Application Server, debe tener unos buenos conocimientos de la topología de despliegue y del entorno de aplicaciones. Para aislar un nodo, un servidor de aplicaciones o un clúster, debe poder controlar los firmantes contenidos en los almacenes de confianza que están asociados con la configuración SSL. Cuando el cliente no contiene el firmante de servidor, no puede establecer una conexión con el servidor. De forma predeterminada, WebSphere utiliza certificados encadenados y cada nodo tiene un firmante de certificados raíz exclusivo. Puesto que el nodo comparte el mismo firmante raíz, todos los elementos del servidor de dicho nodo pueden conectarse entre sí ya que comparten el mismo firmante raíz. Sin embargo, si utiliza certificados autofirmados, el servidor que haya creado el certificado personal controla al firmante, aunque será necesario gestionar los certificados autofirmados. Si obtiene certificados de una autoridad certificadora (CA), debe obtener varios firmantes de CA porque todos los servidores pueden conectarse entre si comparten el mismo firmante.
La autenticación por sí sola del extremo del servidor de una conexión no ofrece una protección adecuada cuando se necesite aislar un servidor. Cualquier cliente puede obtener un certificado de firmante para el servidor y añadirlo a su almacén de confianza. La autenticación de cliente SSL también debe estar habilitada entre los servidores para que el servidor pueda controlar las conexiones decidiendo en qué certificados de cliente puede confiar. Para obtener más información, consulte Habilitación de la autenticación de cliente SSL (Secure Sockets Layer) para un punto final de entrada específico, que también se aplica a la habilitación de la autenticación de cliente SSL a nivel de célula.
El aislamiento también requiere que se utilicen configuraciones SSL gestionadas centralmente para todos los puntos finales de la célula o la mayoría de ellos. Las configuraciones gestionadas centralmente pueden tener un ámbito, a diferencia de la selección de configuración directa o de punto final, y le permiten crear configuraciones SSL, almacenes de claves y almacenes de confianza en un determinado ámbito. Debido a la jerarquía de herencia de las células de WebSphere Application Server, si sólo selecciona las propiedades que necesita para una configuración SSL, todas estas propiedades se definen en el ámbito seleccionado o uno inferior. Por ejemplo, si realiza la configuración en el ámbito de nodo, ésta se aplica a los ámbitos de servidor de aplicaciones y de punto final individual a continuación del ámbito de nodo. Para obtener más información, consulte Asociación de configuraciones SSL (Secure Sockets Layer) centralmente con ámbitos de entrada y salida, Selección directa de un alias de configuración SSL desde una configuración de punto final, y Asociación de una configuración SSL (Secure Sockets Layer) dinámicamente con un protocolo de salida y un punto final seguro remoto
Cuando configure los almacenes de claves, que contienen las claves criptográficas, debe trabajar en el mismo ámbito en el que define la configuración SSL y no en un ámbito superior. Por ejemplo, si crea un almacén de claves que contiene un certificado cuyo nombre de host forma parte del nombre distinguido (DN), almacene este almacén de claves en el directorio de nodos del repositorio de configuración. Si decide crear un certificado para el servidor de aplicaciones, almacene ese almacén de claves en el servidor de aplicaciones del directorio de servidor de aplicaciones.
Cuando configure los almacenes de confianza, que controlan las decisiones de confianza del servidor, debe considerar hasta que punto desea aislar los servidores de aplicaciones. No puede aislar los servidores de aplicaciones de los agentes de nodo o del gestor de despliegue. No obstante, puede configurar los puntos finales de conector SOAP con el mismo certificado personal o compartir la confianza. La persistencia de denominación necesita conexiones IIOP cuando éstos pasan a través del gestor de despliegue. Como los servidores de aplicaciones siempre se conectan a los agentes de nodo cuando se inicia el servidor, el protocolo IIOP requiere que WebSphere Application Server establezca la confianza entre los servidores de aplicaciones y los agentes de nodo.
Establecimiento del aislamiento SSL de nodo
De forma predeterminada, la instalación de WebSphere Application Server utiliza un único certificado encadenado para cada nodo de modo que pueda aislar los nodos con facilidad. Un almacén de confianza común, que está ubicado en el directorio de célula del repositorio de configuración, contiene todos los firmantes de cada nodo que esté federado en la célula. Después de la federación, cada proceso de célula confía en todos los demás procesos de célula ya que todas las configuraciones SSL hacer referencia al almacén de confianza común.
- El gestor de despliegue debe iniciar conexiones con cualquier proceso
- El agente de nodo debe iniciar las conexiones con el gestor de despliegue y sus propios servidores de aplicaciones
- Los servidores de aplicaciones deben iniciar la conexiones con los servidores de aplicaciones del mismo nodo, con su propio agente de nodo y con el gestor de despliegue

Cuando se asocia una configuración SSL con este almacén de claves y almacén de confianza, se rompe el enlace con el almacén de confianza que tiene ámbito de célula. Para aislar el nodo completamente, repita este proceso para cada nodo de la célula. Las configuraciones SSL de WebSphere Application Server alteran temporalmente el ámbito de célula y utilizan el ámbito de nodo en su lugar para que todos los proceso de este ámbito utilicen la configuración SSL y el alias de certificado que haya seleccionado en este ámbito. La confianza administrativa se establece adecuadamente al garantizar que el firmante de nodoA esté en el almacén de confianza común y el firmante de célula en el almacén de confianza de nodoA. La misma lógica se aplica también al nodo B. Para obtener más información, consulte Asociación de configuraciones SSL (Secure Sockets Layer) centralmente con ámbitos de entrada y salida.
Establecimiento del aislamiento SSL de servidor de aplicaciones
- Un proceso de servidor de aplicaciones puede necesitar comunicarse con el agente de nodo y el gestor de despliegue
- El aislamiento de procesos de servidor de aplicaciones entre sí puede inhabilitar las posibilidades de inicio de sesión único para la propagación horizontal

La configuración dinámica permite que servidor1 del Nodo A sólo se comunique con servidor1 del Nodo B a través de IIOP. La regla de salida dinámica es IIOP,nodeBhostname,*. Para obtener más información, consulte Asociación de una configuración SSL (Secure Sockets Layer) dinámicamente con un protocolo de salida y un punto final seguro remoto
Establecimiento del aislamiento SSL de clúster
Puede configurar los servidores de aplicaciones en clústeres en lugar de establecer centralmente el ámbito en el nodo o dinámicamente en el servidor para establecer el aislamiento SSL de clúster. Mientras que los servidores en clúster pueden comunicarse entre sí, los servidores de aplicaciones situados fuera del clúster no puede comunicarse con el clúster, de modo que aíslan los servidores en clúster. Por ejemplo, es posible que necesite separar las aplicaciones de distintos departamentos a la vez que mantiene un nivel básico de confianza entre los servidores en clúster. La utilización del método de configuración SSL de salida dinámica anteriormente descrita para los servidores anteriores, puede ampliar fácilmente el clúster aislado según sea necesario.

IIOP,nodeAhostname,9403|IIOP,nodeAhostname,9404|IIOP,nodeBhostname,9403|IIOP,nodeBhostname,9404
Debe crear otra configuración SSL en el ámbito de clúster1 que contenga
un nuevo archivo trust.p12 con el firmante de clúster2. En consecuencia,
las solicitudes IIOP de salida van a los puertos nodeAhostname 9403 y 9404
o los puertos nodeBhostname 9403 y 9404. Los números de puerto SSL de
IIOP de estos dos procesos de servidor de aplicaciones de clúster2
identifican los puertos.
- El archivo trust.p12 de clúster1 contiene firmantes que permiten las comunicaciones consigo mismo (firmante de clúster1), entre ambos agentes de nodo (firmante de nodoA y firmante de nodoB) y con el gestor de despliegue (firmante de célula).
- El archivo trust.p12 de clúster2 contiene firmantes que permiten las comunicaciones consigo mismo (firmante de clúster2), entre ambos agentes de nodo (firmante de nodoA y firmante de nodoB) y con el gestor de despliegue (firmante de célula).
- El Agente de nodo A y Agente de nodo B puede comunicarse consigo mismo, el gestor de despliegue y ambos clústeres.
Aunque se presenta una visión general de los métodos de aislamiento desde una perspectiva SSL, también debe garantizar que los puertos que no sean SSL estén cerrados o las aplicaciones requerirán la restricción de confidencialidad del gestor de despliegue. Por ejemplo, puede establecer el panel de transporte de entrada CSIv2 para solicitar SSL e inhabilitar los puertos de canal que no están protegidos de la configuración de puertos de servidor.
Asimismo, debe habilitar la autenticación de cliente SSL para SSL para que se apliquen los requisitos de aislamiento en ambos extremos de una conexión. Sin una autenticación de cliente SSL mutua, un cliente puede obtener fácilmente un firmante para el servidor de forma programada y así omitir el objetivo del aislamiento. Con la autenticación de cliente SSL, el servidor requeriría el firmante de cliente para que la conexión se realizase satisfactoriamente. Para el protocolo HTTP/S, el cliente es generalmente un navegador, un servicio web o una conexión URL. Para el protocolo IIOP/S, el cliente es generalmente otro servidor de aplicaciones o un cliente Java™. WebSphere Application Server debe conocer a los clientes para determinar si es posible la habilitación de la autenticación de cliente SSL. Ninguna aplicación disponible a través de un protocolo público debe habilitar la autenticación de cliente SSL porque el cliente puede generar un error al obtener un certificado para autenticarse en el servidor.