Arquivo de Configuração do Cliente ssl.client.props
Utilize o arquivo ssl.client.props para configurar o SSL (Secure Sockets Layer) para clientes. Em liberações anteriores de WebSphere Application Server, as propriedades SSL era especificadas nos arquivos sas.client.props ou soap.client.props ou como propriedades de sistema. Ao consolidar as configurações, o WebSphere Application Server permite que você gerencie a segurança de uma maneira que seja comparável ao gerenciamento de configuração do lado do servidor. É possível configurar o arquivo ssl.client.props com várias configurações de SSL.
Definindo a Configuração do SSL para Clientes
Tempos de execução de cliente são dependentes nas configurações WebSphere Application Server ssl.client.props.
Utilize o script setupCmdLine.bat na linha de comandos para especificar a propriedade do sistema
com.ibm.SSL.ConfigURL.
Utilize o script setupCmdLine.sh na linha de comandos para especificar a propriedade de sistema com.ibm.SSL.ConfigURL.
A propriedade
com.ibm.SSL.ConfigURL faz referência a uma URL de arquivo que aponta para
o arquivo ssl.client.props. É possível referenciar a variável
CLIENTSSL na linha de comandos de qualquer script que utiliza o arquivo
setupCmdLine.bat.
A propriedade
com.ibm.SSL.ConfigURL faz referência a uma URL de arquivo que aponta para
o arquivo ssl.client.props.
É possível referenciar a variável
CLIENTSSL na linha de comandos de qualquer script que utiliza o arquivo
setupCmdLine.sh.
Utilize o script setupCmdLine na linha de comandos para
especificar a propriedade com.ibm.SSL.ConfigURL. O script setupclient
também configura a variável CLIENTSSL. A propriedade com.ibm.SSL.ConfigURL
referencia uma URL de arquivo que aponta para o arquivo ssl.client.props.
É possível fazer referência à variável
CLIENTSSL na linha de comandos de qualquer script que utilize o arquivo
setupCmdLine.
com.ibm.ssl.alias=DefaultSSLSettings
com.ibm.ssl.alias=DefaultSSLSettings
No
arquivo ssl.client.props, é possível alterar a configuração
administrativa do SSL para impedir a modificação do arquivo
soap.client.props. ![[IBM i]](../images/iseries.gif)
![[z/OS]](../images/ngzos.gif)
-Djava.security.properties=profile_root/properties/java.security
Propriedades o Arquivo ssl.client.props
Esta seção descreve as propriedades do arquivo ssl.client.props padrão em detalhes, pelas seções dentro do arquivo. Saiba que se você especificar propriedades do sistema javax.net.ssl, elas substituirão as configurações no arquivo ssl.client.props.Propriedades globais:
As propriedades
globais do SSL são específicas do processo, o que inclui a ativação do
FIPS (Federal Information Processing Standard), o alias SSL padrão, a
propriedade user.root para especificar o local raiz dos caminhos para
chaves e truststores, e assim por diante.
As propriedades globais do SSL
são específicas do processo, o que inclui a ativação do FIPS (Federal
Information Processing Standard), o alias SSL padrão, a profile_root do
perfil para especificar o local raiz dos caminhos para chaves e
truststores, e assim por diante.
Propriedade | Default | Descrição |
---|---|---|
com.ibm.ssl.defaultAlias | DefaultSSLSettings | Especifica o alias padrão utilizado todas as vezes que um alias não é especificado pelo protocolo que chama a API JSSEHelper para recuperar uma configuração SSL. Essa propriedade é o arbitro final no lado do cliente para determinar qual configuração SSL utilizar. |
com.ibm.ssl.validationEnabled | false | Quando configurada como true, a propriedade valida cada configuração SSL assim que ela é carregada. Utilize essa propriedade para fins de depuração apenas, para impedir aumento de desempenho desnecessário durante a produção. |
com.ibm.ssl.performURLHostNameVerification | false | Quando configurado como true, essa propriedade reforça a
verificação do nome do host da URL. Quando as conexões da URL HTTP são
estabelecidas para servidores de destino, o nome comum (CN) do certificado
do servidor deve corresponder ao nome do host de destino. Sem uma
correspondência, o verificador do nome do host rejeita a conexão. O valor
padrão, false, omite essa verificação. Como uma propriedade global, ela
configura o verificador do nome de host padrão.
Qualquer objeto
javax.net.ssl.HttpsURLConnection pode ser escolhido para ativar a
verificação do nome do host dessa instância específica, chamando o método
setHostnameVerifier com sua própria instância HostnameVerifier.![]() |
com.ibm.security.useFIPS | false | Quando definidos para true, os algoritmos compatíveis com FIPS são utilizados para SSL e outros aplicativos específicos ao JCE (Java™ Cryptography Extension). Essa propriedade não é normalmente ativada a menos que a propriedade seja exigida por esse ambiente operacional. |
com.ibm.websphere.security.FIPSLevel | false | Especifica o nível do padrão de segurança para uso. Os valores válidos incluem 140-2, SP800-131 e transição. A propriedade com.ibm.security.useFIPS deve ser configurada para true para ativar o conjunto B. A propriedade deve ser inserida no arquivo ssl.client.props na seção de propriedades globais, preferivelmente após com.ibm.security.useFIPS. |
com.ibm.websphere.security.suiteB | false | Especifica o nível de padrão de segurança do Conjunto B para ativar. Os valores válidos incluem 128 e 192. Para ativar a propriedade com.ibm.security.useFIPS, ela deve ser configurada como true. A propriedade deve ser inserida no arquivo ssl.client.props na seção de propriedades globais, de preferência depois de com.ibm.security.useFIPS. |
![]() |
![]() |
![]() |
Propriedades de criação de certificados:
Utilize as propriedades de criação de certificado para especificar os valores de certificado auto-assinados padrão para os principais atributos de um certificado. É possível definir o nome distinto (DN), data de expiração, tamanho de chave e alias guardados no armazenamento de chaves.Propriedade | Padrão | Descrição |
---|---|---|
com.ibm.ssl.defaultCertReqAlias | default_alias | Essa propriedade especifica o alias padrão a ser utilizada para fazer referência ao certificado auto-assinado criado no armazenamento de chaves. Se já houver um alias com esse nome, o alias padrão receberá o sufixo _#, onde o sinal de sustenido (#) é um inteiro que inicia com 1 e será incrementado até que um alias exclusivo seja localizado. |
com.ibm.ssl.defaultCertReqSubjectDN | cn=${hostname}, o=IBM,c=US | Essa propriedade utiliza o DN (nome distinto) da propriedade definida para o certificado quando esse é criado. A variável ${hostname} é expandida para o nome do host no qual reside. É possível utilizar DNs corretamente formados, conforme especificado pelo certificado X.509. |
com.ibm.ssl.defaultCertReqDays | 365 | Essa propriedade especifica o período de validade do certificado, que pode ser inferior a 1 dia e grande até o número máximo de dias que um certificado pode ser configurado, que é de aproximadamente 15 anos. |
com.ibm.ssl.defaultCertReqKeySize | 1024 | Essa propriedade é o tamanho da chave padrão. Os valores válidos dependem dos arquivos de política de segurança da JVM (Java Virtual Machine) que estão instalados. Por padrão, as JVMs do produto enviadas com o arquivo de política de exportação limitam o tamanho da chave em 1024. Para obter um tamanho de chave grande, como 2048, poderá fazer download dos arquivos de políticas restritas a partir do website. |
Verificação de revogação de certificados:
Para ativar a verificação de revogação de certificado, é possível definir uma combinação de propriedades OCSP (Online Certificate Status Protocol). Essas propriedades não são utilizadas, a menos que você defina a propriedade com.ibm.ssl.trustManager para IbmPKIX. Além disso, para processar a verificação de revogação com êxito no cliente, você deve desativar o prompt de troca de signatário. Para desativar o prompt de troca de signatário, altere a propriedade com.ibm.ssl.enableSignerExchangePrompt para false. Para obter mais informações, consulte a documentação em Ativando a verificação de revogação de certificado com o gerenciador de confiança IbmPKIX padrão.Propriedades de configuração de SSL:
Utilize a seção propriedades da configuração do SSL para definir várias configurações do SSL. Para uma nova especificação de configuração do SSL, configure a propriedade com.ibm.ssl.alias porque o analisador inicia uma nova configuração SSL com esse nome de alias. A configuração do SSL é referida pela utilização da propriedade alias de outro arquivo, por exemplo, sas.client.props ou soap.client.props, por meio da propriedade alias padrão. As propriedades especificadas na tabela a seguir permitem criar um javax.net.ssl.SSLContext, entre outros objetos SSL.Propriedade | Padrão | Descrição |
---|---|---|
com.ibm.ssl.alias | DefaultSSLSettings | Essa propriedade é o nome dessa configuração SSL e deve ser a primeira propriedade de uma configuração SSL, uma vez que faz referência a tal configuração. Se alterar o nome depois de fazer referência a ele em algum lugar da configuração, o tempo de execução retornará à propriedade com.ibm.ssl.defaultAlias padrão todas as vezes que a referência não for localizada. O erro o arquivo confiável é nulo ou o arquivo de chaves é nulo pode ser exibido ao iniciar um aplicativo utilizando uma referência ao SSL que deixou de ser válida. |
com.ibm.ssl.protocol | SSL_TLS | Essa propriedade é o protocolo de reconhecimento SSL utilizado para essa configuração SSL. Esta propriedade tenta o Transport Layer Security (TLS) primeiro, mas aceita qualquer protocolo de handshake remoto, incluindo SSLv3 e TLSv1. Os valores válidos para esta propriedade inclui SSL_TLS, SSL, SSLv2 (apenas do lado do cliente), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 e TLSv1.2. |
com.ibm.ssl.securityLevel | FORTE | Essa propriedade especifica o grupo de criptografia utilizado para o
protocolo de reconhecimento SSL. A seleção típica é
STRONG, que especifica 128 bits ou códigos superiores. A seleção MEDIUM fornece
criptografias de 40 bits. A seleção WEAK fornece códigos que não executam
a criptografia, mas executa assinatura para integração de dados.
Se especificar
sua própria seleção de lista de criptografia, remova o indicador de
comentário da propriedade com.ibm.ssl.enabledCipherSuites. Nota: O uso das propriedades do sistema
javax.net.ssl faz com que esse valor seja sempre HIGH.
|
com.ibm.ssl.trustManager | IbmX509 | Essa propriedade especifica o gerenciador confiável padrão que deve ser utilizado para validar o certificado enviado pelo servidor de destino. Esse gerenciador confiável não executa a verificação de CRL (Certificate Revocation List). É possível escolher alterar esse valor para IbmPKIX para a verificação CRL, utilizando as listas de distribuição CRL do certificado, que é uma maneira padrão para executar a verificação CRL. Ao executar a verificação CRL customizada, implemente um gerenciador confiável customizado e especifique o gerenciador confiável na propriedade com.ibm.ssl.customTrustManagers. A opção IbmPKIX pode afetar o desempenho porque essa opção requer o IBMCertPath para validação confiável. Utilize IbmX509 a menos que a verificação CRL seja necessária. Se estiver utilizando as propriedades OCSP (Online Certificate Status Protocol), defina esse valor da propriedade para IbmPKIX. |
com.ibm.ssl.keyManager | IbmX509 | Essa propriedade especifica o gerenciador de chave padrão a ser utilizado para escolher o alias cliente do armazenamento de chave especificado. Esse gerenciador de chaves utiliza a propriedade com.ibm.ssl.keyStoreClientAlias para especificar o alias do armazenamento de chave. Se essa propriedade não for especificada, a opção é delegada para JSSE (Java Secure Socket Extension). JSSE normalmente escolhe o primeiro alias que encontra. |
com.ibm.ssl.contextProvider | IBMJSSE2 | Essa propriedade é utilizada para escolher o provedor JSSE para a criação do contexto SSL. É recomendável usar por padrão o IBMJSSE2 ao usar uma JVM (Java virtual machine). O plug-in cliente pode utilizar o provedor SunJSSE ao utilizar uma Sun JVM. |
com.ibm.ssl.enableSignerExchangePrompt | true | Essa propriedade determina se o aviso de troca de signatário deverá ser exibido quando um signatário não estiver presente no truststore cliente. O prompt exibe informações sobre o certificado remoto para que o WebSphere Application Server possa decidir se o assinante deve ser confiado ou não. É muito importante validar a assinatura de certificado. Essa assinatura é a única informação confiável que pode garantir que o certificado não foi modificado a partir do certificado do servidor original. No caso de cenários automatizados, desative essa propriedade para impedir exceções de protocolo de reconhecimento SSL. Execute o script retrieveSigners que configura a troca de signatário SSL, para fazer download dos signatários do servidor antes de executar o cliente. Se estiver utilizando as propriedades OCSP (Online Certificate Status Protocol), defina esse valor da propriedade para false. |
com.ibm.ssl.keyStoreClientAlias | default | Essa propriedade é utilizada para fazer referência a um alias a partir do armazenamento de chave especificado quando o destino não solicita a autenticação do cliente. Quando o WebSphere Application Server cria certificado autoassinado para a configuração SSL, essa propriedade determina o alias e substitui a propriedade global com.ibm.ssl.defaultCertReqAlias. |
com.ibm.ssl.customTrustManagers | Sem indicador de comentário, por padrão | Essa propriedade permite especificar um ou mais gerenciadores confiáveis customizados, separados por vírgulas. Esses gerenciadores confiáveis podem estar na forma de algorithm|provider ou classname. Por exemplo, IbmX509|IBMJSSE2 está no formato algorithm|provider e a interface com.acme.myCustomTrustManager está no formato classname. A classe deve implementar a interface javax.net.ssl.X509TrustManager. Opcionalmente, a classe pode implementar a interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo. Esses gerenciadores confiáveis executam em adição ao gerenciador confiável padrão especificado pela interface com.ibm.ssl.trustManager. Esses gerenciadores confiáveis não substituem o gerenciador confiável padrão. |
com.ibm.ssl.customKeyManager | Sem indicador de comentário, por padrão | Essa propriedade permite ter um, e apenas um, gerenciador de chaves customizado. O gerenciador de chaves substitui o gerenciador de chaves padrão especificado na propriedade com.ibm.ssl.keyManager. A forma do gerenciador de chaves é algorithm|provider ou classname. Consulte os exemplos de formato da propriedade com.ibm.ssl.customTrustManagers. A classe deve implementar a interface javax.net.ssl.X509KeyManager. Opcionalmente, a classe pode implementar a interface com.ibm.wsspi.ssl.KeyManagerExtendedInfo. Esse gerenciador de chave é responsável pela seleção do aliás. |
com.ibm.ssl.dynamicSelectionInfo | Sem indicador de comentário, por padrão | Essa propriedade permite associação dinâmica com a configuração SSL. A
sintaxe de uma associação dinâmica é outbound_protocol,
target_host ou target_port. Para seleções múltiplas, utilize a barra
vertical ( | ) como delimitador. É possível substituir qualquer um desses
valores por um asterisco (*) para indicar um valor curinga. Os valores
outbound_protocol válidos incluem: IIOP, HTTP, LDAP,
SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS e ADMIN_SOAP. Quando você
deseja que os critérios de seleção dinâmica escolham a configuração SSL,
remova o indicador de comentário da propriedade padrão e inclua as
informações da conexão. Por exemplo, inclua o seguinte em uma linha
|
com.ibm.ssl.enabledCipherSuites | Sem indicador de comentário, por padrão | Essa propriedade permite especificar uma lista de conjunto de criptografia customizada e substitui a seleção de grupo na propriedade com.ibm.ssl.securityLevel. A lista válida de criptografia varia de acordo com o provedor e os arquivos de política JVM aplicados. Para conjuntos de criptografia, utilize um espaço como delimitador. |
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Essa propriedade faz referência a um nome de configuração de armazenamento de chave. Se ainda não tiver definido o armazenamento de chave, o resto das propriedades do armazenamento de chave deve seguir essa propriedade. Depois de definir o armazenamento de chave, é possível especificar a propriedade para fazer referência à configuração de armazenamento de chave especificada anteriormente. As novas configurações de armazenamento de chave no arquivo ssl.client.props têm um nome exclusivo. |
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Essa propriedade faz referência a um nome de configuração de arquivo. Se ainda não tiver definido o armazenamento de chave, o resto das propriedades do armazenamento de chave deve seguir essa propriedade. Depois de definir o armazenamento de confiança, é possível especificar a propriedade para fazer referência à configuração do armazenamento de confiança especificado anteriormente. Novas configurações de truststore no arquivo ssl.client.props devem ter um nome exclusivo. |
![[z/OS]](../images/ngzos.gif)
- Se você indicar a opção Utilizar um produto de segurança do z/OS, que é a primeira opção, os valores padrão para as propriedades de configuração de keystore e truststore apontam para um keystore com um tipo JCERACFKS. Esse tipo utiliza chaves e certificados armazenados e gerenciados por um produto de segurança do z/OS, como RACF. Para obter mais informações, consulte a seção "Armazenamentos de Chaves do z/OS" no tópico "Configurações de Armazenamento de Chaves".
- Se você indicar a opção Usar segurança do WebSphere Application Server, que é a segunda opção, ou a opção Não ativar segurança, que é a terceira opção, os valores padrão para propriedades de configuração keystore e truststore apontam para um keystore com um arquivo PKCS12. Para obter mais informações sobre os armazenamentos de chaves baseados em arquivo, consulte a seção "Armazenamentos de Chaves Baseados em Arquivo IBMJCE (JCEKS, JKS e PKCS12)" no tópico "Configurações de Armazenamento de Chaves".
Configurações de keystore:
As configurações SSL fazem referência às configurações de armazenamento de chaves cuja finalidade é identificar o local dos certificados. Os certificados representam a identidade dos clientes que utilizam a configuração SSL. É possível especificar configurações de armazenamento de chave com outras propriedades da configuração SSL. Contudo, é recomendável especificar as configurações de armazenamento de chave nessa seção do arquivo ssl.client.props depois que a propriedade com.ibm.ssl.keyStoreName identificar o início de uma nova configuração de armazenamento de chave. Depois de definir completamente a configuração do armazenamento de chave, a propriedade com.ibm.ssl.keyStoreName pode fazer referência a tal configuração em qualquer outro ponto no arquivo.![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Propriedade | Padrão | Descrição |
---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | Essa propriedade especifica o nome do armazenamento de chave conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência a esse nome mais abaixo no arquivo ssl.client.props para impedir duplicação. |
com.ibm.ssl.keyStore | ${user.root}/etc/key.p12 | Essa propriedade especifica o local do armazenamento de chave no formato
requerido pela propriedade com.ibm.ssl.keyStoreType. Normalmente, a propriedade faz referência a um nome de arquivo de
armazenamento de chave.
Contudo, para tipos de token criptográfico, essa
propriedade faz referência a um arquivo DLL (Dynamic Link Library).![]() |
com.ibm.ssl.keyStorePassword | WebAS | Essa propriedade é a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível utilizar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere essa referência. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de chave do local em que ele reside. Reinicie o cliente para recriar o armazenamento de chave, utilizando a nova senha apenas se o nome do armazenamento de chave terminar com DefaultKeyStore e a propriedade fileBased for true. Exclua simultaneamente o armazenamento de chave e o armazenamento de confiança, de modo que uma troca de signatário apropriada possa ocorrer quando ambos forem recriados conjuntamente. |
com.ibm.ssl.keyStoreType | PKCS12 | Essa propriedade é o tipo de armazenamento de chave. Utilize o padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de chave válido suportado pela JVM na lista de provedores. |
com.ibm.ssl.keyStoreProvider | IBMJCE | A propriedade IBM® Java Cryptography Extension é o provedor de armazenamento de chaves para o tipo de armazenamento de chaves. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.keyStoreFileBased | true | Essa propriedade indica ao tempo de execução que o armazenamento de chave é baseado em arquivo, significando que ele está localizado no sistema de arquivos. |
com.ibm.ssl.keyStoreReadOnly | false | Essa propriedade indica para o tempo de execução do WebSphere Application Server se o keystore pode ser modificado durante o tempo de execução. |
Na tabela a seguir, os valores na
coluna "Valores-padrão para um produto de segurança do z/OS" correspondem
aos valores-padrão que são usados quando a opção Usar um produto de segurança do z/OS é indicada no painel Seleção de Segurança Administrativa
do z/OS Profile Management Tool. Essa opção é a primeira no painel Seleção de Segurança
Administrativa. Os valores na coluna "Valores Padrão para a Segurança do
WebSphere Application Server" que correspondem aos valores padrão que são usados com a opção
Usar o WebSphere Application Server, são indicados no
painel Seleção de Segurança Administrativa do
z/OS Profile
Management Tool. Essa opção é a segunda no painel Seleção de Segurança
Administrativa.
![[z/OS]](../images/ngzos.gif)
Propriedade | Valores-padrão para um produto de segurança do z/OS | Valores padrão para a segurança do WebSphere Application Server | Descrição |
---|---|---|---|
com.ibm.ssl.keyStoreName | ClientDefaultKeyStore | ClientDefaultKeyStore | Essa propriedade especifica o nome do armazenamento de chave conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência a esse nome mais abaixo no arquivo ssl.client.props para impedir duplicação. |
com.ibm.ssl.keyStore | safreyring:///your_keyring Esse valor é configurado no painel Customização de SSL do z/OS Profile Management Tool. |
${user.root}/etc/key.p12 | Essa propriedade especifica o local do armazenamento de chave no formato requerido pela propriedade com.ibm.ssl.keyStoreType. Normalmente, a propriedade faz referência a um nome de arquivo de armazenamento de chave. Contudo, para tipos de token criptográfico, essa propriedade faz referência a um arquivo DLL (Dynamic Link Library). |
com.ibm.ssl.keyStorePassword | senha | WebAS | Essa propriedade é a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível utilizar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere essa referência. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de chave do local em que ele reside. Reinicie o cliente para recriar o armazenamento de chave, utilizando a nova senha apenas se o nome do armazenamento de chave terminar com DefaultKeyStore e a propriedade fileBased for true. Exclua simultaneamente o armazenamento de chave e o armazenamento de confiança, de modo que uma troca de signatário apropriada possa ocorrer quando ambos forem recriados conjuntamente. |
com.ibm.ssl.keyStoreType | JCERACFKS | PKCS12 | Essa propriedade é o tipo de armazenamento de chave. Utilize o padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de chave válido suportado pela JVM na lista de provedores. O tipo pode ser JCERACFKS, JCECCARACFKS, ou JCECCAKS para dispositivos criptográficos. |
com.ibm.ssl.keyStoreProvider | IBMJCE | IBMJCE | A propriedade IBM Java Cryptography Extension é o provedor de armazenamento de chaves para o tipo de armazenamento de chaves. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.keyStoreFileBased | false | true | Essa propriedade indica ao tempo de execução que o armazenamento de chave é baseado em arquivo, significando que ele está localizado no sistema de arquivos. |
com.ibm.ssl.keyStoreReadOnly | true | false | Essa propriedade indica para o tempo de execução do WebSphere Application Server se o keystore pode ser modificado durante o tempo de execução. Por exemplo, não é possível modificar armazenamentos de chaves de leitura utilizando o Console Administrativo ou por meio de script. Os Anéis de Chave SAF, que são usados pelo WebSphere Application Server for z/OS, são sempre apenas leitura. |
Configurações de Armazenamento Confiável:
As configurações SSL fazem referência às configurações do truststore, cuja finalidade é conter os certificados de signatários dos servidores são confiáveis para esse cliente. É possível especificar essas propriedades com outras propriedades da configuração SSL. Contudo, é recomendável especificar as configurações de truststore nessa seção do arquivo ssl.client.props depois que a propriedade com.ibm.ssl.trustStoreName identificar o início de uma nova configuração de truststore. Depois de definir completamente a configuração de armazenamento de confiança, a propriedade com.ibm.ssl.trustStoreName pode fazer referência à configuração em qualquer outro ponto no arquivo.
Uma truststore é um armazenamento de chave que o JSSE utiliza para avaliação de confiança. Um truststore contém assinantes que o WebSphere Application Server requer antes que ele possa confiar conexões remotas durante o handshake. Se configurar a propriedade com.ibm.ssl.trustStoreName=ClientDefaultKeyStore, é possível fazer referência ao armazenamento de chave como o armazenamento de confiança. Configuração adicional para o armazenamento de confiança não é mais necessário uma vez que todos os signatários gerados por meio de trocas de signatários são importados para o armazenamento de chave a partir do qual são chamados pelo tempo de execução.
Na tabela a seguir,
os valores na coluna "Valores-padrão com um produto de segurança do z/OS
" correspondem aos valores-padrão que são usados quando a opção
Usar um produto de segurança do z/OS é indicada
no painel Seleção de Segurança Administrativa do z/OS Profile
Management Tool. Essa opção é a primeira no painel Seleção de Segurança
Administrativa. Os valores na coluna "Valores Padrão com a Segurança do
WebSphere Application Server" que correspondem aos valores padrão que são usados com a opção
Usar o WebSphere Application Server, são indicados no
painel Seleção de Segurança Administrativa do z/OS Profile
Management Tool. Essa é a segunda opção no painel Seleção de Segurança
Administrativa.
![[AIX Solaris HP-UX Linux Windows]](../images/dist.gif)
![[IBM i]](../images/iseries.gif)
Propriedade | Padrão | Descrição |
---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | Essa propriedade especifica o nome do armazenamento de confiança conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência mais abaixo no arquivo ssl.client.props para impedir duplicação. |
com.ibm.ssl.trustStore | ${user.root}/etc/trust.p12 | Essa propriedade especifica o local do armazenamento de confiança no formato requerido
pelo tipo de armazenamento de confiança no formato exigido pelo tipo de armazenamento de confiança
referido pelo com.ibm.ssl.trustStoreType.
Normalmente, essa propriedade
faz referência a um nome de arquivo de truststore. Contudo, para tipos de
token criptografados, essa propriedade faz referência a um arquivo DLL.![]() |
com.ibm.ssl.trustStorePassword | WebAS | Essa propriedade especifica a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível usar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere a referência nessa propriedade. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de confiança do local em que ele reside. Reinicie o cliente para recriar o armazenamento de confiança utilizando a nova senha, mas apenas se o nome do armazenamento de chave terminar com DefaultTrustStore e a propriedade fileBased for true. É recomendável excluir simultaneamente o armazenamento de chave e o armazenamento de confiança de modo que uma troca de signatários apropriada possa ocorrer quando ambos forem conjuntamente recriados. |
com.ibm.ssl.trustStoreType | PKCS12 | Essa propriedade é o tipo de truststore. Utilize o tipo padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de confiança válido suportado pela JVM na lista de provedores. |
com.ibm.ssl.trustStoreProvider | IBMJCE | Essa propriedade é o provedor do truststore para o tipo de truststore. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.trustStoreFileBased | true | Essa propriedade indica ao tempo de execução que o truststore é baseado em arquivo, significando que ele está localizado no sistema de arquivos. |
com.ibm.ssl.trustStoreReadOnly | false | Essa propriedade indica para o tempo de execução do WebSphere Application Server se o truststore pode ser modificado durante o tempo de execução. |
![[z/OS]](../images/ngzos.gif)
Propriedade | Valores Padrão com um Produto de Segurança z/OS | Valores padrão com a segurança do WebSphere Application Server | Descrição |
---|---|---|---|
com.ibm.ssl.trustStoreName | ClientDefaultTrustStore | ClientDefaultTrustStore | Essa propriedade especifica o nome do armazenamento de confiança conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência mais abaixo no arquivo ssl.client.props para impedir duplicação. |
com.ibm.ssl.trustStore | safreyring:///your_keyring Esse valor é configurado no painel Customização de SSL do z/OS Profile Management Tool. |
${user.root}/etc/trust.p12 | Essa propriedade especifica o local do armazenamento de confiança no formato requerido pelo tipo de armazenamento de confiança no formato exigido pelo tipo de armazenamento de confiança referido pelo com.ibm.ssl.trustStoreType. Normalmente, essa propriedade faz referência a um nome de arquivo de armazenamento de confiança. Contudo, para tipos de token criptografados, essa propriedade faz referência a um arquivo DLL. |
com.ibm.ssl.trustStorePassword | senha | WebAS | Essa propriedade especifica a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível usar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere a referência nessa propriedade. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de confiança do local em que ele reside. Reinicie o cliente para recriar o armazenamento de confiança utilizando a nova senha, mas apenas se o nome do armazenamento de chave terminar com DefaultTrustStore e a propriedade fileBased for true. É recomendável excluir simultaneamente o armazenamento de chave e o armazenamento de confiança de modo que uma troca de signatários apropriada possa ocorrer quando ambos forem conjuntamente recriados. |
com.ibm.ssl.trustStoreType | JCERACFKS | PKCS12 | Essa propriedade é o tipo de armazenamento de confiança. Utilize o tipo padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de confiança válido suportado pela JVM na lista de provedores. O tipo pode ser JCERACFKS, JCECCARACFKS, ou JCECCAKS para dispositivos criptográficos. |
com.ibm.ssl.trustStoreProvider | IBMJCE | IBMJCE | Essa propriedade é o provedor do armazenamento de confiança para o tipo de armazenamento de confiança. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos. |
com.ibm.ssl.trustStoreFileBased | false | true | Essa propriedade indica ao tempo de execução que o armazenamento de confiança é baseado em arquivo, significando que ele está localizado no sistema de arquivos. |
com.ibm.ssl.trustStoreReadOnly | true | false | Essa propriedade indica para o tempo de execução do WebSphere Application Server se o truststore pode ser modificado durante o tempo de execução. Por exemplo, não é possível modificar armazenamentos de confiança de leitura utilizando o Console Administrativo ou por meio de script. Os Anéis de Chave SAF, que são usados pelo WebSphere Application Server for z/OS, são sempre apenas leitura. |