Ejemplo: Habilitación de la comprobación de revocación de certificado con el gestor de confianza IbmPKIX predeterminado
El gestor de confianza IbmPKIX está habilitado en WebSphere Application Server por omisión. El gestor de confianza de IbmPKIX permite realizar la comprobación de la revocación de certificado. La comprobación de revocación de certificado se habilita por medio de la consola administrativa o actualizando manualmente el archivo ssl.client.props.
El gestor de confianza IbmPKIX por omisión
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass=""
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey=""
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>
Habilitación de la comprobación de revocación de certificado con el gestor de confianza IbmPKIX por omisión
Puede ver y modificar las propiedades personalizadas del gestor de confianza IbmPKIX utilizando la consola administrativa:
- Pulse Seguridad > Gestión de claves y certificados SSL.
- En Elementos relacionados, pulse Gestores de confianza.
- Pulse IbmPKIX.
- En Propiedades adicionales, pulse Propiedades personalizadas.
Propiedades personalizadas de IbmPKIX
- com.ibm.jsse2.checkRevocation
- Esta propiedad configura la comprobación de revocación para la JVM (Java™ Virtual Machine). Esta propiedad se establece en false por omisión ya que los certificados de
WebSpherepor
omisión que se utilizan en las comunicaciones SSL no contienen puntos de distribución de
listas de revocación de certificados (CRL) o información de protocolo de estado de
certificado en línea (OCSP).Nota: Puesto que esta propiedad es una propiedad de la JVM, este valor está en vigor para todo el servidor de aplicaciones. Si la propiedad se ha definido en los gestores de confianza en ámbitos diferentes, el valor en vigor se utiliza del gestor de confianza IbmPKIX cuya ámbito sea el más específico. Por ejemplo, la propiedad para un gestor de confianza IbmPKIX definido en el nivel de nodo altera temporalmente la propiedad de un gestor de confianza IbmPKIX definido en el nivel de célula. Esta propiedad se ignora para el gestor de confianza IbmX509.
- predeterminado
- false
- com.ibm.security.enableCRLDP
- Esta propiedad configura la comprobación de puntos de distribución CRL para el gestor de confianza PKIX. Nota: Si habilita la comprobación de revocación de puntos de distribución CRL, el certificado que se utiliza para la capa de sockets segura (SSL) debe contener un punto de distribución válido y dicho punto de distribución debe ser accesible, o de lo contrario la comunicación SSL fallará y el servidor no funcionará correctamente.
- predeterminado
- false
Para certificados que no contienen ningún punto de distribución CRL interno, pueden utilizarse las propiedades siguientes de modo que se compare el estado de revocación con un servidor LDAP remoto que contenga el CRL.
- com.ibm.security.ldap.certstore.host
- Esta propiedad especifica el nombre del host de servidor LDAP que contiene
listas de certificados de confianza o listas de revocación de certificados. El
host de servidor LDAP de destino se utiliza para obtener listas de certificados
CA o listas de revocación de certificados cuando se valida un certificado y el
almacén de confianza local no contiene el certificado necesario. El almacén de
confianza debe contener los certificados necesarios si no se especifica ningún
servidor LDAP. En los casos en que se utiliza un servidor LDAP, los
certificados CA raíz también deben ubicarse en el almacén de confianza local, ya
que el servidor LDAP no es un almacén de certificados de confianza.Nota: Si se habilita esta propiedad además de la propiedad com.ibm.jsse2.checkRevocation, se habilita la verificación de la revocación. El servidor LDAP remoto debe contener una lista de revocación de certificados válida y debe ser posible acceder al servidor. Si el estado de revocación no puede determinarse, la comprobación y la comunicación SSL fallarán y el servidor no funcionará correctamente.
- predeterminado
- ninguno
- com.ibm.security.ldap.certstore.port
- Esta propiedad especifica el puerto de servidor LDAP. El valor 389 se utilizará de forma
predeterminada si no se especifica ningún puerto de servidor LDAP.
- predeterminado
- 389
- ocsp.enable
- ocsp.responder
- ocsp.responderCertSubjectName
- ocsp.responderCertIssuerName
- ocsp.responderCertSerialNumber
- com.ibm.security.enableCRLDP
- com.ibm.jsse2.checkRevocation
Las propiedades de OCSP y las propiedades de CRL afectan a la comprobación de la revocación de certificados. De manera predeterminada, primero se comprueban las propiedades de OCSP. Si no se produce ningún error validando el certificado con OCSP, la validación utiliza un punto de distribución CRL.
Cuando selecciona un gestor de confianza, sus propiedades asociadas se establecen automáticamente como propiedades de sistema de Java para que los proveedores IBMCertPath e IBMJSSE2 sepan que la comprobación CRL está habilitada o no. De forma similar, se sigue el mismo proceso para las propiedades de OCSP, que son propiedades de java.security.Security.
Consideraciones del cliente
#-------------------------------------------------------------------------
# Propiedades de comprobación de revocación por omisión
# Estas propiedades se utilizan para la comprobación de revocación de certificado con
# IBM PKIX TrustManager.
#
# Para habilitar la comprobación de ampliación de puntos de distribución CRL, utilice la propiedad de sistema
# com.ibm.security.enableCRLDP.
#
# La comprobación OCSP no está habilitada por omisión. Se habilita estableciendo la
# propiedad ocsp.enable en "true". El uso de las otras propiedades ocsp es opcional.
#
# Nota: La comprobación tanto OCSP como CRLDP sólo es efectiva si también se ha habilitado
# la comprobación de revocación estableciendo com.ibm.jsse2.checkRevocation en "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
Asimismo, para que la comprobación de revocación se procese satisfactoriamente en el cliente, es necesario desactivar la solicitud de intercambio de firmante. Para ello, modifique el valor de la propiedad com.ibm.ssl.enableSignerExchangePrompt en false, en el archivo ssl.client.props.