Você pode incluir um certificado de signatário para um arquivo
trust.p12 do servidor, permitindo que o servidor se comunique com
segurança com outro servidor.
Isso pode ser feito utilizando o comando
retrieveSigners para incluir um signatário em um arquivo
trust.p12 do servidor depois de fazer alterações no arquivo
ssl.client.props.
Antes de Iniciar
O servidor que estará se comunicando como um cliente deve ser
identificado antes que a confiança servidor a servidor possa ser estabelecida. Você fará alteração no arquivo
ssl.client.props e executará o comando
retrieveSigners no servidor que está se comunicando como um cliente. Se ambos os servidores estiverem agindo como um cliente, essas etapas serão necessárias
para ambos os servidores.
Sobre Esta Tarefa
O arquivo
ssl.client.props é configurado, por padrão, para
configurar a comunicação SSL (Secure Socket Layer) para clientes.
Isso faz com que o
comportamento padrão do comando
retrieveSigners funcione no arquivo
trust.p12 do cliente e o arquivo
key.p12 no diretório
profile_root/etc.
Você pode incluir um certificado de signatário para um arquivo
trust.p12 do servidor, permitindo que o servidor atue como um cliente comunicando-se com outro servidor.
Utilizar o comando
retrieveSigners para incluir um signatário em um arquivo
trust.p12 do servidor requer algumas alterações no arquivo
ssl.client.props.
Procedimento
- Abra o arquivo ssl.client.props. O arquivo ssl.client.props está localizado no diretório
profile_root/properties.
- Remova o comentário da seção ssl.client.props que é iniciado com a
propriedade com.ibm.ssl.alias=AnotherSSLSettings.
- Remova o comentário da seção ssl.client.props que é iniciado com a
propriedade com.ibm.ssl.trustStoreName=AnotherTrustStore.
- Digite o local do armazenamento de confiança ao qual o signatário deve estar incluído. Se você estiver utilizando o armazenamento de confiança do servidor para um
gerenciador de implementação, ele estará localizado em
profile_root/config/cells/cell name/trust.p12. Se você estiver utilizando o armazenamento de confiança para um
servidor de aplicativos, ele estará localizado em profile_root/config/cells/cell
name/nodes/node name/trust.p12.
- Atualize as demais propriedades nesta seção com os valores associados ao
armazenamento de confiança sendo utilizado. Uma descrição das propriedades pode ser localizada no
arquivo de configuração do cliente ssl.client.props.
- Opcional: Remova o comentário e atualize a seção que é iniciada com a propriedade
com.ibm.ssl.trustStoreName=AnotherKeyStore. A maioria dos cenários requer apenas um signatário para ser incluído no
armazenamento de confiança. Esse exemplo inclui apenas um signatário no armazenamento de
confiança, mas você também pode incluir um signatário no armazenamento de chaves,
atualizando as propriedades conforme fez para o armazenamento de confiança nas etapas
de 3 a 5.
- Salve as alterações feitas em ssl.client.props.
- Execute o comando retrieveSigners. Para
obter informações adicionais, consulte a página sobre o comando retrieveSigners.
retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879
Saída do exemplo: CWPKI0308I: Adding signer alias "default_1" to local keystore
"AnotherTrustStore" with the following SHA digest:
F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06
Resultados
Depois que as etapas forem concluídas com êxito,
o servidor que atua como um
cliente recebe o certificado de assinatura do outro servidor.
Isso permite que o servidor
estabeleça uma conexão SSL ao outro servidor.
Exemplo
O exemplo mostra a seção modificada do arquivo
ssl.client.props que assume que o arquivo
trust.p12 do servidor esteja sendo utilizado. Qualquer armazenamento de confiança existente pode ser utilizado se as propriedades
forem fornecidas para esse armazenamento de confiança.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=
# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true
# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true
O que Fazer Depois
Depois que o signatário tiver sido incluído, edite o arquivo
ssl.client.props para comentar as seções que deveriam ser utilizadas
para incluir o certificado do signatário.