Una configuración SSL (Capa de sockets seguros)
hace referencia a muchos otros objetos de configuración. Para ayudarle a realizar selecciones válidas para la nueva configuración SSL antes de
crearla, vea la información sobre los objetos de configuración existentes. La información sobre los objetos existentes también es útil al crear una configuración
SSL de ámbito de nodo utilizando el mandato createSSLConfig del objeto AdminTask.
Antes de empezar
Antes de iniciar esta tarea, la
herramienta wsadmin debe estar ejecutándose.
Para obtener más información, consulte el artículo Inicio del cliente de scripts wsadmin.
Avoid trouble: El archivo security.xml está restringido.
Por lo tanto, si necesita realizar cambios en el archivo security.xml, verifique que su ID de usuario tenga autorización de rol de administrador. Si utiliza un ID de usuario con autorización de rol de operador, puede realizar una sincronización de nodos, pero no se sincronizará ningún cambio que efectúe en el archivo security.xml.
gotcha
Acerca de esta tarea
Para utilizar la información de esta tarea de forma efectiva, familiarícese
con las instrucciones en el tema Creación de configuraciones de Capa de sockets seguros.
Realice la tarea siguiente para crear una configuración SSL
(Capa de sockets seguros) en el ámbito de nodo:
Procedimiento
- Liste los objetos de configuración existentes. Realice cualquiera de las
acciones siguientes:
- Liste algunos de los objetos de configuración que puede necesitar al crear una
nueva configuración SSL.
Por ejemplo, desea ver qué ámbitos de gestión
ya se han definido. Si el que necesita no existe, será necesario que lo cree.
Utilizando Jacl:
$AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
Utilizando Jython:
AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Esto muestra un ámbito de célula existente y un ámbito de nodo existente que puede
utilizar. Si desea crear un ámbito diferente, utilice el mandato
createManagementScope del objeto
AdminTask para definir uno diferente. Los parámetros de ámbito válidos
son "cell", "nodegroup", "node", "server", "cluster" y "endpoint".
Para obtener más información, consulte el artículo Gestión central de configuraciones SSL.
- Liste los almacenes de claves que existen en la configuración incluidos los
almacenes de claves y los almacenes de confianza.
Utilizando Jacl:
$AdminTask listKeyStores -all true
Utilizando Jython:
AdminTask.listKeyStores('-all true')
Salida de ejemplo:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
El ejemplo anterior
sólo lista los almacenes de claves para el ámbito de gestión predeterminado que también se
conoce como ámbito de célula. Para obtener almacenes de claves para otros ámbitos,
especifique el parámetro
scopeName, por ejemplo:
Utilizando Jacl:
$AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
Utilizando Jython:
$AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Salida de ejemplo:
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
- Liste gestores de confianza o de claves específicos. Asegúrese de visualizar el nombre de
objeto para los gestores de confianza. Necesitará el nombre de objeto para la configuración
SSL porque puede especificar varias instancias de gestor de confianza.
Utilizando Jacl:
$AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
Utilizando Jython:
AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
Salida de ejemplo:
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
- Cree la configuración SSL de ámbito de nodo en modalidad interactiva. Ahora que tenemos la información en la que necesitamos realizar una selección,
tenemos que decidir si estos objetos son suficientes o si necesitamos crear otros nuevos. De momento, volveremos a utilizar los que ya tenemos en la configuración y dejaremos
la creación de instancias nuevas para los documentos de tarea específicos de esos
objetos.
Utilizando Jacl:
$AdminTask createSSLConfig -interactive
Utilizando Jython:
AdminTask.createSSLConfig ('[-interactive]')
Salida de ejemplo:
Crear una configuración SSL.
*Alias de configuración SSL (alias): BIRKT40Node02SSLConfig
Nombre del ámbito de gestión (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Alias de la clave del cliente (clientKeyAlias): default
Alias de la clave del servidor (serverKeyAlias): default
Tipo de SSL (type): [JSSE]
Autenticación de cliente (clientAuthentication): [false]
Nivel de seguridad de la configuración SSL (securityLevel): [HIGH]
Cifrados habilitados para configuración SSL (enabledCiphers):
Proveedor JSSE (jsseProvider): [IBMJSSE2]
Soporte de autenticación de cliente (clientAuthenticationSupported): [false]
Protocolo SSL (sslProtocol): [SSL_TLS]
Nombres de objetos del gestor de confianza (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
*Nombre del almacén de confianza (trustStoreName): NodeDefaultTrustStore
Ámbito del almacén de confianza (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
*Nombre del almacén de claves (keyStoreName): NodeDefaultKeyStore
Nombre del ámbito del almacén de claves (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Nombre del gestor de claves (keyManagerName): IbmX509
Nombre del ámbito del gestor de claves (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Crear configuración SSL
F (Finalizar)
C (Cancelar)
Seleccione [F, C]: [F] F
WASX7278I: Línea de mandatos generada: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
(cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default
-trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName
NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName
NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName
IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
- Guarde los cambios de configuración. Para obtener más información, consulte el artículo
Cómo guardar los cambios de configuración con la herramienta wsadmin.
- En un entorno sólo de despliegue de red, sincronice el nodo. Para obtener más información, consulte el artículo Sincronización de nodos con la herramienta wsadmin.
Resultados
El nombre del objeto de la configuración de SSL que ha creado, por ejemplo,
(cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), aparece en el archivo
security.xml.
Salida del archivo
security.xml
de ejemplo:
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE"
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default"
clientAuthentication="false" securityLevel="HIGH" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1"
keyManager="KeyManager_1134610924357"/>
</repertoire>
Qué hacer a continuación
Una vez que ha creado el objeto de configuración SSL, el siguiente paso es utilizarlo. Existen varias formas diferentes de asociar las configuraciones SSL
con los protocolos, por ejemplo:
- Establezca la configuración SSL en la hebra mediante programación.
- Asocie la configuración SSL con un protocolo de salida o un host y puerto de destino.
- Asocie directamente la configuración SSL utilizando el alias.
- Gestione de forma central las configuraciones SSL asociándolas con grupos
o zonas de configuración SSL
para que se utilicen basándose en el grupo en el que existe el punto final.