Usando o Comando retrieveSigners em SSL para Ativar o Servidor para Confiança de Servidor

Você pode incluir um certificado de signatário para um arquivo trust.p12 do servidor, permitindo que o servidor se comunique com segurança com outro servidor. Isso pode ser feito utilizando o comando retrieveSigners para incluir um signatário em um arquivo trust.p12 do servidor depois de fazer alterações no arquivo ssl.client.props.

Antes de Iniciar

O servidor que estará se comunicando como um cliente deve ser identificado antes que a confiança servidor a servidor possa ser estabelecida. Você fará alteração no arquivo ssl.client.props e executará o comando retrieveSigners no servidor que está se comunicando como um cliente. Se ambos os servidores estiverem agindo como um cliente, essas etapas serão necessárias para ambos os servidores.

Sobre Esta Tarefa

O arquivo ssl.client.props é configurado, por padrão, para configurar a comunicação SSL (Secure Socket Layer) para clientes. Isso faz com que o comportamento padrão do comando retrieveSigners funcione no arquivo trust.p12 do cliente e o arquivo key.p12 no diretório profile_root/etc. Você pode incluir um certificado de signatário para um arquivo trust.p12 do servidor, permitindo que o servidor atue como um cliente comunicando-se com outro servidor. Utilizar o comando retrieveSigners para incluir um signatário em um arquivo trust.p12 do servidor requer algumas alterações no arquivo ssl.client.props.

Procedimento

  1. Abra o arquivo ssl.client.props. O arquivo ssl.client.props está localizado no diretório profile_root/properties.
  2. Remova o comentário da seção ssl.client.props que é iniciado com a propriedade com.ibm.ssl.alias=AnotherSSLSettings.
  3. Remova o comentário da seção ssl.client.props que é iniciado com a propriedade com.ibm.ssl.trustStoreName=AnotherTrustStore.
  4. Digite o local do armazenamento de confiança ao qual o signatário deve estar incluído. Se você estiver utilizando o armazenamento de confiança do servidor para um gerenciador de implementação, ele estará localizado em profile_root/config/cells/cell name/trust.p12. Se você estiver utilizando o armazenamento de confiança para um servidor de aplicativos, ele estará localizado em profile_root/config/cells/cell name/nodes/node name/trust.p12.
  5. Atualize as demais propriedades nesta seção com os valores associados ao armazenamento de confiança sendo utilizado. Uma descrição das propriedades pode ser localizada no arquivo de configuração do cliente ssl.client.props.
  6. Opcional: Remova o comentário e atualize a seção que é iniciada com a propriedade com.ibm.ssl.trustStoreName=AnotherKeyStore. A maioria dos cenários requer apenas um signatário para ser incluído no armazenamento de confiança. Esse exemplo inclui apenas um signatário no armazenamento de confiança, mas você também pode incluir um signatário no armazenamento de chaves, atualizando as propriedades conforme fez para o armazenamento de confiança nas etapas de 3 a 5.
  7. Salve as alterações feitas em ssl.client.props.
  8. Execute o comando retrieveSigners. Para obter informações adicionais, consulte a página sobre o comando retrieveSigners.
    retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879

    Saída do exemplo:
    CWPKI0308I: Adding signer alias "default_1" to local keystore
                         "AnotherTrustStore" with the following SHA digest:
                         F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06

Resultados

Depois que as etapas forem concluídas com êxito, o servidor que atua como um cliente recebe o certificado de assinatura do outro servidor. Isso permite que o servidor estabeleça uma conexão SSL ao outro servidor.

Exemplo

O exemplo mostra a seção modificada do arquivo ssl.client.props que assume que o arquivo trust.p12 do servidor esteja sendo utilizado. Qualquer armazenamento de confiança existente pode ser utilizado se as propriedades forem fornecidas para esse armazenamento de confiança.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=

# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true

# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true

O que Fazer Depois

Depois que o signatário tiver sido incluído, edite o arquivo ssl.client.props para comentar as seções que deveriam ser utilizadas para incluir o certificado do signatário.

Ícone que indica o tipo de tópico Tópico de Tarefa



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_retrievesigners_servertrust
Nome do arquivo: tsec_retrievesigners_servertrust.html