Criando uma Configuração de Secure Sockets Layer

As configurações SSL (Secure Sockets Layer) contêm os atributos necessários para controlar o comportamento de nós de extremidade SSL do cliente e do servidor. Configurações SSL são criadas com nomes exclusivos nos escopos de gerenciamento específicos na árvore de entrada e saída na topologia de configuração. Essa tarefa mostra como definir configurações SSL, incluindo a qualidade de proteção e as configurações do gerenciador de confiança e de chaves.

Antes de Iniciar

Você deve decidir em qual escopo precisa definir uma configuração SSL, por exemplo, o escopo da célula, do grupo de nós, do nó, do servidor, do cluster ou do terminal, do menos específico para o escopo mais específico. Ao definir uma configuração SSL no escopo do nó, por exemplo, somente os processos do nó podem carregar a configuração SSL; no entanto, quaisquer processos no terminal da célula podem utilizar uma configuração SSL no escopo da célula, que é mais alto na topologia.

Você também deve decidir qual escopo associar à nova configuração SSL de acordo com os processos que a configuração afeta. Por exemplo, uma configuração SSL para um dispositivo criptográfico de hardware pode requerer um armazenamento de chaves que está disponível somente em um nó específico ou é possível precisar de uma configuração SSL para uma conexão para um host e porta SSL específicos. Para obter informações adicionais, consulte Dynamic outbound selection of Secure Sockets Layer configurations.

Evitar Problemas Evitar Problemas: O arquivo security.xml é restrito. Portanto, se você precisar fazer alterações no arquivo security.xml, verifique se o ID do usuário possui autorização de função de administrador. Se você estiver usando um ID do usuário com autorização de função de operador, poderá executar uma sincronização de nós, mas as alterações feitas no arquivo security.xml não serão sincronizadas.gotcha

Sobre Esta Tarefa

Conclua as seguintes etapas no console administrativo:

Procedimento

  1. Clique em Segurança > Certificado SSL e gerenciamento de chave > Gerenciar configurações de segurança do terminal.
  2. Selecione um link de configuração SSL na árvore de Entrada ou Saída, dependendo do processo que você está configurando.
    • Se o escopo já estiver associado a uma configuração ou alias, o alias de configuração e o alias de certificado SSL são colocados entre parênteses.
    • Se as informações entre parênteses não forem incluídas, então, o escopo não está associado. Em vez disso, o escopo herda as propriedades de configuração do primeiro escopo acima dele associado a um alias de configuração e certificado SSL.
    O escopo da célula deve ser associado a uma configuração SSL, pois está no início da topologia e representa a configuração SSL padrão para a conexão de entrada ou saída.
  3. Clique em Configurações SSL. É possível visualizar e selecionar qualquer uma das configurações SSL configuradas nesse escopo. Você também pode visualizar e selecionar essa configuração em cada escopo maia abaixo na topologia.
  4. Clique em Novo para exibir o painel de configuração SSL. Não é possível selecionar links para Propriedades Adicionais até digitar um nome de configuração e clicar em Aplicar.
  5. Digite um nome de configuração SSL. Esse campo é obrigatório. O nome de configuração é o alias de configuração SSL. Faça o nome do alias exclusivo na lista de aliases de configuração SSL já criados no escopo selecionado. A nova configuração SSL utiliza esse alias para outras tarefas de configuração.
  6. Selecione um nome de armazenamento de confiança na lista drop-down. Um nome de armazenamento de confiança refere-se a um armazenamento de confiança específico que contém certificados signatários que validam a confiança de certificados enviados pelas conexões remotas durante um protocolo de reconhecimento SSL. Se não houver nenhum armazenamento de confiança na lista, consulte Creating a keystore configuration for a preexisting keystore file para criar um novo armazenamento de confiança, que é um armazenamento de chaves cuja função é estabelecer confiança durante a conexão.
  7. Selecione um nome de armazenamento de chave na lista drop-down. Um armazenamento de chaves contém os certificados pessoais que representam uma identidade de signatário e a chave privada que o WebSphere Application Server utiliza para criptografar e assinar dados.
    • Se você alterar o nome do armazenamento de chaves, clique em Obter Aliases de Certificado para atualizar a lista de certificados a partir da qual é possível escolher um alias padrão. O WebSphere Application Server utiliza um alias de servidor para conexões de entrada e um alias de cliente para conexões de saída.
    • Se não houver nenhum armazenamento de chaves na lista, consulte Creating a keystore configuration for a preexisting keystore file para criar um novo armazenamento de chaves.
  8. Escolha o alias do certificado de servidor padrão para conexões de entrada. Selecione o padrão somente quando você não tiver especificado um alias de configuração SSL em outro lugar e não tiver selecionado um alias de certificado. Uma árvore de configuração SSL gerenciada centralmente pode substituir o alias padrão. Para obter informações adicionais, consulte Central management of SSL configurations.
  9. Escolha um alias de certificado cliente padrão para as conexões de saída. Selecione o padrão somente quando a configuração SSL do servidor especifica uma autenticação de cliente SSL.
  10. Revise o escopo do gerenciamento identificado para a configuração SSL. Torne o escopo de gerenciamento nesse campo idêntico ao link selecionado na etapa 2. Se quiser alterar o escopo, você deve clicar em um link diferente na árvore de topologia e continuar na etapa 3.
  11. Clique em Aplicar se você tem a intenção de configurar Propriedades Adicionais. Caso contrário, vá para a Etapa 24.
  12. Clique em Configurações de Qualidade de proteção (QoP). As configurações de QoP definem a força da criptografia SSL, a integridade do signatário e a autenticidade do certificado.
  13. Selecione uma configuração de autenticação de cliente para estabelecer uma configuração SSL para conexões de entrada e clientes para enviar seus certificados, se apropriado.
    • Se você selecionar Nenhum, o servidor não solicita que um cliente envie um certificado durante o protocolo de reconhecimento.
    • Se você selecionar Suportado, o servidor solicita que um cliente envie um certificado. No entanto, se o cliente não tiver um certificado, o protocolo de reconhecimento ainda pode ser bem-sucedido.
    • Se você selecionar Obrigatório, o servidor solicita que um cliente envie um certificado. No entanto, se o cliente não tiver um certificado, o protocolo de reconhecimento falha.
    Importante: O certificado signatário que representa o cliente deve estar no armazenamento de confiança selecionado para a configuração SSL. Por padrão, os servidores na mesma célula confiam um no outro, pois utilizam o armazenamento de confiança comum, trust.p12, localizado no diretório da célula do repositório de configuração. No entanto, se utilizar armazenamentos de chaves e armazenamentos de confiança que você criou, execute uma troca de signatário antes de selecionar Suportado ou Obrigatório.
  14. Selecione um protocolo para o protocolo de reconhecimento SSL.
    • O protocolo padrão, SSL_TLS, suporta os protocolos de clientes TLSv1 e SSLv3.
    • O protocolo TLSv1 suporta TLS e TLSv1. A conexão do servidor SSL deve suportar esse protocolo para o protocolo de reconhecimento prosseguir.
    • SSLv2
    • SSLv3
    • O protocolo SSLv3 suporta SSL e SSLv3. A conexão do servidor SSL deve suportar esse protocolo para o protocolo de reconhecimento prosseguir.
    • TLS é TLSv1
    • TLSv1
    • SSL_TLSv2 é SSLv3 e TLSv1, TLSv1.1, TLSv1.2
    • TLSv1.1
    • TLSv1.2
    Importante: Não utilize o protocolo SSLv2 para a conexão do servidor SSL. Utilize-o somente quando necessário do lado cliente.
  15. Selecione uma das seguintes opções:
    • Um provedor JSSE (Java™ Secure Socket Extension) predefinido. O provedor IBMJSSE2 é recomendado para utilização em todas as plataformas que o suportam. É requerido para utilização pelo canal SSL da estrutura de canais. Quando FIPS (Federal Information Processing Standard) está ativado, IBMJSSE2 é utilizado em combinação com o provedor IBMJCEFIPS crypto.
    • Um provedor JSSE customizado. Digite um nome de provedor no campo Provedor Customizado.
  16. Selecione entre os seguintes grupos de conjuntos de criptografia:
    • Forte: O WebSphere Application Server pode executar algoritmos de sigilo de 128 bits para criptografia e suportar algoritmos de assinatura de integridade. No entanto, um conjunto de criptografia forte pode afetar o desempenho da conexão.
    • Médio: O WebSphere Application Server pode executar algoritmos de criptografia de 40 bits para criptografia e suportar algoritmos de assinatura de integridade.
    • Fraco: O WebSphere Application Server pode suportar algoritmos de assinatura de integridade, mas não pode executar criptografia. Selecione essa opção com cuidado, pois senhas e outras informações sigilosas que cruzam a rede ficam visíveis para um sniffer de IP (Internet Protocol).
    • Customizado: É possível selecionar criptografia específica. A qualquer tempo que você alterar as criptografias listadas em um grupo de conjuntos de criptografia específico, o nome do grupo muda para Customizado.
  17. Clique em Atualizar Criptografias Selecionadas para visualizar uma lista de criptografias disponíveis para cada nível de criptografia.
  18. Clique em OK para retornar ao novo painel de configuração SSL.
  19. Clique em Gerenciadores de confiança e de chaves.
  20. Selecione um gerenciador de confiança padrão para a decisão de confiança do protocolo de reconhecimento SSL principal.
    • Escolha IbmPKIX quando precisar verificar o CRL (Certificate Revocation List) utilizando os pontos de distribuição da CRL nos certificados, ou o OCSP (online certificate status protocol).
    • Escolha IbmX509 quando não precisar de verificação CRL, mas precisar de desempenho aprimorado. É possível configurar um gerenciador de confiança customizado para executar a verificação CRL, se necessária.
  21. Defina um gerenciador de confiança customizado, se apropriado. É possível definir um gerenciador de confiança customizado que é executado com o gerenciador de confiança padrão selecionado. O gerenciador de confiança customizado deve implementar a interface JSSE javax.net.ssl.X509TrustManager e, como opção, a interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo para obter informações específicas do produto.
    1. Clique em Segurança > Gerenciamento de certificado e chave SSL > Gerenciar configurações de segurança do terminal > SSL_configuration > Gerenciadores de confiança e de chaves > Gerenciadores de confiança > Novo.
    2. Digite um nome de gerenciador de confiança exclusivo.
    3. Selecione a opção Customizada.
    4. Digite um nome de classe.
    5. Clicar em OK. Ao retornar ao painel Gerenciadores de Confiança e de Chaves, o novo gerenciador de confiança customizado é exibido no campo Gerenciadores de Confiança Ordenados Adicionais. Use as caixas de listagem para incluir e remover gerenciadores de confiança customizados.
  22. Selecione um gerenciador de chaves para a configuração SSL. Por padrão, IbmX509 é o único gerenciador de chaves, a menos que você crie um gerenciador de chaves customizado.
    Importante: Se você optar por implementar seu próprio gerenciador de chaves, é possível afetar o comportamento de seleção do alias, pois o gerenciador de chaves é responsável por selecionar o alias do certificado do armazenamento de chaves. O gerenciador de chaves customizado pode não interpretar a configuração SSL, como faz o gerenciador de chaves IbmX509 do WebSphere Application Server. Para definir um gerenciador de chaves customizado, clique em Segurança > Comunicações seguras > Configurações SSL > SSL_configuration > Gerenciadores de confiança e de chaves > Gerenciadores de chaves > Novo.
  23. Clique em OK para salvar as configurações do gerenciador de confiança e chave e retornar ao painel da nova configuração SSL.
  24. Clique em Salvar para salvar a nova configuração SSL.

Resultados

Importante: É possível substituir o gerenciador de confiança padrão ao configurar pelo menos um gerenciador de confiança customizado e configurar a propriedade com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined para true. Clique em Propriedade Customizada no painel Configuração SSL. No entanto, se você alterar o padrão, você deixa todas as decisões de confiança para o gerenciador de confiança customizado, o que não é recomendável para ambientes de produção. Nos ambientes de teste, utilize um gerenciador de confiança fictício para evitar validação de certificado. Lembre-se de que esses ambientes não são seguros.

O que Fazer Depois

Neste release do WebSphere Application Server, é possível associar configurações SSL aos protocolos usando um dos métodos a seguir:

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfiguration
Nome do arquivo: tsec_sslconfiguration.html