Protección de conexiones de cliente JMS y adaptador de recursos JMS

Existen dos enfoques para configurar SSL (Secure Sockets Layer) para Cliente ligero para JMS con WebSphere Application Server y Resource Adapter para JMS con WebSphere Application Server. El enfoque de configuración global afecta a todas las conexiones de salida autónoma del proceso y el enfoque privado sólo se aplica a conexiones del cliente o del adaptador de recursos del proceso.

Acerca de esta tarea

Cliente ligero para JMS con WebSphere Application Server y Resource Adapter para JMS con WebSphere Application Server utilizan la JSSE (Java™ Secure Socket Extension) estándar que proporcionan todos los JRE soportados para realizar conexiones SSL (Secure Sockets Layer). Para obtener información sobre JSSE, consulte la documentación de JSSE.

El enfoque de configuración global utiliza propiedades globales de JRE y afecta a todas las conexiones SSL de salida que la aplicación inicia. Para un JRE configurado para utilizar las conexiones SSL para conectarse a WebSphere Application Server, normalmente es necesario haber definido las siguientes propiedades del sistema javax.net.ssl:
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs= 
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov

Puede utilizar el enfoque de configuración privado para especificar los valores de seguridad que son específicos a las conexiones Cliente ligero para JMS con WebSphere Application Server o Resource Adapter para JMS con WebSphere Application Server. Puede configurar la propiedad del sistema com.ibm.ws.sib.client.ssl.properties para especificar la ubicación de un archivo de propiedades SSL de IBM. Si esta propiedad del sistema no está configurada, se realiza un intento para cargar el archivo de propiedades de la classpath.

El cliente obtiene el valor que utiliza para cualquier propiedad SSL específica tal como se indica a continuación:
  • Si la propiedad tiene un valor definido en el archivo de propiedades que contiene las propiedades SSL de IBM, el cliente utiliza este valor.
  • Si no hay ningún valor para la propiedad en el archivo de propiedades, y hay una propiedad adecuada en las propiedades del sistema del JRE asociado, el cliente utiliza este valor.
  • Si no hay ninguna propiedad javax.net.ssl adecuada, el cliente utiliza el valor predeterminado.
La tabla siguiente resume las claves de propiedades SSL de IBM que se pueden configurar dentro del archivo de propiedades SSL de IBM y las claves de propiedad del sistema javax.net.ssl.* correspondiente y los valores predeterminados.
Tabla 1. Valores de propiedades SSL de IBM y sus correspondientes propiedades globales de JRE y valores predeterminados. La primera columna de la tabla lista las claves de propiedades SSL de IBM y la segunda columna lista las claves de propiedades globales JRE correspondientes. La tercera columna proporciona los valores predeterminados de las propiedades.
Propiedad SSL de IBM Propiedad global de JRE Valor por omisión
com.ibm.ssl.keyStoreType javax.net.ssl.keyStoreType JKS
com.ibm.ssl.keyStore javax.net.ssl.keyStore Ninguno
com.ibm.ssl.keyManager javax.net.ssl.keyStoreProvider IbmX509
com.ibm.ssl.trustManager javax.net.ssl.trustStoreProvider IbmX509
com.ibm.ssl.keyStorePassword javax.net.ssl.keyStorePassword Ninguno
com.ibm.ssl.protocol Ninguno SSL
com.ibm.ssl.contextProvider Ninguno IBMJSSE2
com.ibm.ws.sib.jsseProvider Ninguno com.ibm.jsse2.IBMJSSEProvider2
com.ibm.ssl.trustStore javax.net.ssl.trustStore Ninguno
com.ibm.ssl.trustStoreType javax.net.ssl.trustStoreType JKS
com.ibm.ssl.trustStorePassword javax.net.ssl.trustStorePassword Ninguno
Por ejemplo, puede crear un archivo ssl.properties que contenga los siguientes valores y propiedades:
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS

Puede utilizar la herramienta PropFilePasswordEncoder en el directorio bin de WebSphere Application Server para cifrar contraseñas almacenadas en archivos de propiedades de texto sin formato. Para obtener más información, consulte Cifrado de contraseñas en archivos.

Notas:
  1. Las conexiones SSL procedentes de los JRE de Sun que utilizan Cliente ligero para JMS con WebSphere Application Server no pueden utilizar la clave PKCS12 y los almacenes de confianza predeterminados de WebSphere Application Server. Si está ejecutan el cliente de forma segura desde los JRE de Sun, en primer lugar, debe extraer los certificados del almacén de confianza utilizando un kit de desarrollo de software (SDK) de IBM. A continuación, puede importar estos certificados en un almacén de claves que JRE de Sun pueda reconocer correctamente como, por ejemplo, un almacén de claves JKS.
  2. El producto IBM JRE que se entrega con WebSphere Application Server no da soporte a las conexiones SSL, se debe utilizar un JRE instalado no WebSphere Application Server.

Procedimiento

  1. Obtenga los archivos de claves y de almacén de confianza necesarios.
  2. Establezca las propiedades del sistema javax.net.ssl necesarias para el enfoque de configuración global.
  3. Para el enfoque de configuración global, utilice la propiedad del sistema com.ibm.ws.sib.client.ssl.properties para especificar el archivo desde el que se cargan las propiedades SSL, tal como se muestra en el siguiente ejemplo:
    -Dcom.ibm.ws.sib.client.ssl.properties=c:/ssl.properties

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjj_thirdparty_ssl
File name: tjj_thirdparty_ssl.html