Uso de certificados de señal RSA

La señal Rivest Shamir Adleman (RSA) utiliza certificados de forma similar a como los utiliza la capa de sockets segura (SSL). No obstante, la confianza establecida para SSL y RSA es distinta, y los certificados RSA no deben utilizar certificados SSL y viceversa. Los certificados SSL los pueden utilizar los clientes puros y cuando se utilizan para el mecanismo de RSA permitirían al cliente enviar una señal RSA al servidor. El mecanismo de autenticación de la señal RSA es puramente para solicitudes entre servidores y no deben utilizarlo los clientes puros. El modo de evitar esta situación es controlar los certificados utilizados por RSA de manera que nunca se distribuyan a los clientes. Existe un certificado raíz diferente para RSA que impide que se establezca la confianza con clientes que sólo necesiten certificados SSL.

Certificado raíz RSA

Para cada perfil existe un certificado raíz almacenado en el almacén de claves rsatoken-root-key.p12. La única finalidad de este certificado raíz RSA es firmar el certificado personal RSA que se almacena en el almacén de claves rsatoken-key.p12. El certificado raíz RSA tiene un tiempo de vida predeterminado de 15 años. El firmante del certificado raíz RSA se comparte con otros procesos para establecer la confianza.

El programa de utilidad keytool está disponible utilizando el Intérprete de QShell. Utilizando el programa de utilidad keytool puede enumerar el contenido de estos almacenes de claves y mostrar la keyEntry (certificado personal). El siguiente ejemplo ilustra cómo conseguirlo para rsatoken-root-key.p12 (certificado raíz RSA) y rsatoken-key.p12 (certificado personal RSA).
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12

Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12

Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
         MD5:  FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
         SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87

La finalidad del certificado personal RSA es firmar y cifrar información en la señal RSA. El certificado personal RSA tiene un tiempo de vida por omisión de un año, ya The RSAque se utiliza para firmar y cifrar datos que se transmiten a través del cable. La renovación del la realiza el supervisor de caducidad de certificado, que se utiliza para cualquier otro certificado del sistema, incluyendo los certificados SSL.

La confianza de señal RSA se establece cuando el rsatoken-trust.p12 del proceso de destino contiene el firmante del certificado raíz del proceso cliente que envía la señal. En el interior de la señal RSA se encuentra el certificado público del cliente, el cual debe validarse en el destino antes de que se utilice para descifrar datos. La validación del certificado público del cliente se realiza utilizando las API CertPath, que utilizan rsatoken-trust.p12 como el origen de certificados utilizados durante la validación.

En el siguiente ejemplo se muestra el uso del programa de utilidad keytool para enumerar el almacén de claves rsatoken-trust.p12.
Nota: Este almacén de confianza contiene tres entradas trustedCertEntry (certificado público). El certificado público raíz del agente administrativo, un certificado público raíz de un gestor de trabajos en el que se registra y un certificado público raíz de un perfil base en el que se registra.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12

Alias name: root
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
         MD5:  7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
         SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
         MD5:  AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
         SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry

Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
         MD5:  66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
         SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************

Puede utilizar las herramientas de gestión de certificados de WebSphere Application Server para crear un nuevo certificado personal y, a continuación, sustituir el certificado personal RSA en el rsa-key.p12 y la clave pública del rsa-trust.p12 por este certificado personal recién creado. Si sustituye el certificado personal RSA antes de la federación con un agente administrativo o un gestor de trabajos, el intercambio de certificados se realiza automáticamente. Si modifica el certificado después de la federación, será necesario asegurarse de que el archivo rsa-trust.p12 en el agente administrativo o gestor de trabajos se actualiza con el firmante del nuevo certificado para establecer la confianza.


Icon that indicates the type of topic Reference topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7rsa_token_cert_use
File name: rsec_7rsa_token_cert_use.html