Arquivo de Configuração do Cliente ssl.client.props

Utilize o arquivo ssl.client.props para configurar o SSL (Secure Sockets Layer) para clientes. Em liberações anteriores de WebSphere Application Server, as propriedades SSL era especificadas nos arquivos sas.client.props ou soap.client.props ou como propriedades de sistema. Ao consolidar as configurações, o WebSphere Application Server permite que você gerencie a segurança de uma maneira que seja comparável ao gerenciamento de configuração do lado do servidor. É possível configurar o arquivo ssl.client.props com várias configurações de SSL.

Definindo a Configuração do SSL para Clientes

Tempos de execução de cliente são dependentes nas configurações WebSphere Application Server ssl.client.props.

[AIX Solaris HP-UX Linux Windows]Utilize o script setupCmdLine.bat na linha de comandos para especificar a propriedade do sistema com.ibm.SSL.ConfigURL.

[z/OS]Utilize o script setupCmdLine.sh na linha de comandos para especificar a propriedade de sistema com.ibm.SSL.ConfigURL.

[AIX Solaris HP-UX Linux Windows]A propriedade com.ibm.SSL.ConfigURL faz referência a uma URL de arquivo que aponta para o arquivo ssl.client.props. É possível referenciar a variável CLIENTSSL na linha de comandos de qualquer script que utiliza o arquivo setupCmdLine.bat.

[z/OS]A propriedade com.ibm.SSL.ConfigURL faz referência a uma URL de arquivo que aponta para o arquivo ssl.client.props. É possível referenciar a variável CLIENTSSL na linha de comandos de qualquer script que utiliza o arquivo setupCmdLine.sh.

[IBM i]Utilize o script setupCmdLine na linha de comandos para especificar a propriedade com.ibm.SSL.ConfigURL. O script setupclient também configura a variável CLIENTSSL. A propriedade com.ibm.SSL.ConfigURL referencia uma URL de arquivo que aponta para o arquivo ssl.client.props. É possível fazer referência à variável CLIENTSSL na linha de comandos de qualquer script que utilize o arquivo setupCmdLine.

Ao especificar a propriedade do sistema com.ibm.SSL.ConfigURL, a configuração do SSL está disponível a todos os protocolos que utilizam SSL. As configurações do SSL, referidas no arquivo ssl.client.props, também possui aliases que podem servir para referência. No código de amostra a seguir do arquivo sas.client.props, todas as propriedades SSL são substituídas por uma propriedade que aponta para uma configuração SSL no arquivo ssl.client.props:
com.ibm.ssl.alias=DefaultSSLSettings
O código de amostra a seguir mostra uma propriedade no arquivo soap.client.props que é similar à propriedade com.ibm.SSL.ConfigURL. Essa propriedade faz referência a uma configuração SSL diferente no lado do cliente:
com.ibm.ssl.alias=DefaultSSLSettings
No arquivo ssl.client.props, é possível alterar a configuração administrativa do SSL para impedir a modificação do arquivo soap.client.props.
Dica: O suporte às propriedades SSL ainda é especificado nos arquivos sas.client.props e soap.client.props. Contudo, considere mover as configurações do SSL para o arquivo ssl.client.props, porque esse arquivo agora é o novo modelo de configuração do cliente SSL.
[IBM i][z/OS]Quando estiver configurando um cliente que não chama setupCmdLine.sh para se conectar a um servidor de aplicativos usando a segurança, você deve certificar-se de que a seguinte propriedade customizada esteja definida na configuração do cliente:
-Djava.security.properties=profile_root/properties/java.security 

Propriedades o Arquivo ssl.client.props

Esta seção descreve as propriedades do arquivo ssl.client.props padrão em detalhes, pelas seções dentro do arquivo. Saiba que se você especificar propriedades do sistema javax.net.ssl, elas substituirão as configurações no arquivo ssl.client.props.

Propriedades globais:

[AIX Solaris HP-UX Linux Windows][z/OS]As propriedades globais do SSL são específicas do processo, o que inclui a ativação do FIPS (Federal Information Processing Standard), o alias SSL padrão, a propriedade user.root para especificar o local raiz dos caminhos para chaves e truststores, e assim por diante.

[IBM i]As propriedades globais do SSL são específicas do processo, o que inclui a ativação do FIPS (Federal Information Processing Standard), o alias SSL padrão, a profile_root do perfil para especificar o local raiz dos caminhos para chaves e truststores, e assim por diante.

Tabela 1. Propriedades o Arquivo ssl.client.props. Essa tabela descreve as propriedades do arquivo ssl.client.props.
Propriedade Default Descrição
com.ibm.ssl.defaultAlias DefaultSSLSettings Especifica o alias padrão utilizado todas as vezes que um alias não é especificado pelo protocolo que chama a API JSSEHelper para recuperar uma configuração SSL. Essa propriedade é o arbitro final no lado do cliente para determinar qual configuração SSL utilizar.
com.ibm.ssl.validationEnabled false Quando configurada como true, a propriedade valida cada configuração SSL assim que ela é carregada. Utilize essa propriedade para fins de depuração apenas, para impedir aumento de desempenho desnecessário durante a produção.
com.ibm.ssl.performURLHostNameVerification false Quando configurado como true, essa propriedade reforça a verificação do nome do host da URL. Quando as conexões da URL HTTP são estabelecidas para servidores de destino, o nome comum (CN) do certificado do servidor deve corresponder ao nome do host de destino. Sem uma correspondência, o verificador do nome do host rejeita a conexão. O valor padrão, false, omite essa verificação. Como uma propriedade global, ela configura o verificador do nome de host padrão. Qualquer objeto javax.net.ssl.HttpsURLConnection pode ser escolhido para ativar a verificação do nome do host dessa instância específica, chamando o método setHostnameVerifier com sua própria instância HostnameVerifier.
Evitar Problemas Evitar Problemas: Esta propriedade não se aplica a canais SSL.gotcha
com.ibm.security.useFIPS false Quando definidos para true, os algoritmos compatíveis com FIPS são utilizados para SSL e outros aplicativos específicos ao JCE (Java™ Cryptography Extension). Essa propriedade não é normalmente ativada a menos que a propriedade seja exigida por esse ambiente operacional.
com.ibm.websphere.security.FIPSLevel false Especifica o nível do padrão de segurança para uso. Os valores válidos incluem 140-2, SP800-131 e transição. A propriedade com.ibm.security.useFIPS deve ser configurada para true para ativar o conjunto B. A propriedade deve ser inserida no arquivo ssl.client.props na seção de propriedades globais, preferivelmente após com.ibm.security.useFIPS.
com.ibm.websphere.security.suiteB false Especifica o nível de padrão de segurança do Conjunto B para ativar. Os valores válidos incluem 128 e 192. Para ativar a propriedade com.ibm.security.useFIPS, ela deve ser configurada como true. A propriedade deve ser inserida no arquivo ssl.client.props na seção de propriedades globais, de preferência depois de com.ibm.security.useFIPS.
[z/OS]user.root [z/OS]${WASROOT} [z/OS]Essa propriedade pode ser utilizada pelas propriedades de localização da chave e dos truststores como uma propriedade única para especificar o caminho raiz para eles. ${WASROOT} é o diretório raiz do perfil atual. Normalmente, essa propriedade é a raiz do perfil. Contudo, é possível modificar essa propriedade para qualquer diretório raiz na máquina local com a autoridade de leitura apropriada e a autoridade em potencial para gravar nesse diretório.

Propriedades de criação de certificados:

Utilize as propriedades de criação de certificado para especificar os valores de certificado auto-assinados padrão para os principais atributos de um certificado. É possível definir o nome distinto (DN), data de expiração, tamanho de chave e alias guardados no armazenamento de chaves.
Tabela 2. Propriedades de Criação de Certificado. Esta tabela descreve as propriedades de criação de certificado.
Propriedade Padrão Descrição
com.ibm.ssl.defaultCertReqAlias default_alias Essa propriedade especifica o alias padrão a ser utilizada para fazer referência ao certificado auto-assinado criado no armazenamento de chaves. Se já houver um alias com esse nome, o alias padrão receberá o sufixo _#, onde o sinal de sustenido (#) é um inteiro que inicia com 1 e será incrementado até que um alias exclusivo seja localizado.
com.ibm.ssl.defaultCertReqSubjectDN cn=${hostname}, o=IBM,c=US Essa propriedade utiliza o DN (nome distinto) da propriedade definida para o certificado quando esse é criado. A variável ${hostname} é expandida para o nome do host no qual reside. É possível utilizar DNs corretamente formados, conforme especificado pelo certificado X.509.
com.ibm.ssl.defaultCertReqDays 365 Essa propriedade especifica o período de validade do certificado, que pode ser inferior a 1 dia e grande até o número máximo de dias que um certificado pode ser configurado, que é de aproximadamente 15 anos.
com.ibm.ssl.defaultCertReqKeySize 1024 Essa propriedade é o tamanho da chave padrão. Os valores válidos dependem dos arquivos de política de segurança da JVM (Java Virtual Machine) que estão instalados. Por padrão, as JVMs do produto enviadas com o arquivo de política de exportação limitam o tamanho da chave em 1024. Para obter um tamanho de chave grande, como 2048, poderá fazer download dos arquivos de políticas restritas a partir do website.

Verificação de revogação de certificados:

Para ativar a verificação de revogação de certificado, é possível definir uma combinação de propriedades OCSP (Online Certificate Status Protocol). Essas propriedades não são utilizadas, a menos que você defina a propriedade com.ibm.ssl.trustManager para IbmPKIX. Além disso, para processar a verificação de revogação com êxito no cliente, você deve desativar o prompt de troca de signatário. Para desativar o prompt de troca de signatário, altere a propriedade com.ibm.ssl.enableSignerExchangePrompt para false. Para obter mais informações, consulte a documentação em Ativando a verificação de revogação de certificado com o gerenciador de confiança IbmPKIX padrão.

Propriedades de configuração de SSL:

Utilize a seção propriedades da configuração do SSL para definir várias configurações do SSL. Para uma nova especificação de configuração do SSL, configure a propriedade com.ibm.ssl.alias porque o analisador inicia uma nova configuração SSL com esse nome de alias. A configuração do SSL é referida pela utilização da propriedade alias de outro arquivo, por exemplo, sas.client.props ou soap.client.props, por meio da propriedade alias padrão. As propriedades especificadas na tabela a seguir permitem criar um javax.net.ssl.SSLContext, entre outros objetos SSL.
Tabela 3. Propriedades de Configuração de SSL. Esta tabela lista as propriedades de configuração do SSL.
Propriedade Padrão Descrição
com.ibm.ssl.alias DefaultSSLSettings Essa propriedade é o nome dessa configuração SSL e deve ser a primeira propriedade de uma configuração SSL, uma vez que faz referência a tal configuração. Se alterar o nome depois de fazer referência a ele em algum lugar da configuração, o tempo de execução retornará à propriedade com.ibm.ssl.defaultAlias padrão todas as vezes que a referência não for localizada. O erro o arquivo confiável é nulo ou o arquivo de chaves é nulo pode ser exibido ao iniciar um aplicativo utilizando uma referência ao SSL que deixou de ser válida.
com.ibm.ssl.protocol SSL_TLS Essa propriedade é o protocolo de reconhecimento SSL utilizado para essa configuração SSL. Esta propriedade tenta o Transport Layer Security (TLS) primeiro, mas aceita qualquer protocolo de handshake remoto, incluindo SSLv3 e TLSv1. Os valores válidos para esta propriedade inclui SSL_TLS, SSL, SSLv2 (apenas do lado do cliente), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 e TLSv1.2.
com.ibm.ssl.securityLevel FORTE Essa propriedade especifica o grupo de criptografia utilizado para o protocolo de reconhecimento SSL. A seleção típica é STRONG, que especifica 128 bits ou códigos superiores. A seleção MEDIUM fornece criptografias de 40 bits. A seleção WEAK fornece códigos que não executam a criptografia, mas executa assinatura para integração de dados. Se especificar sua própria seleção de lista de criptografia, remova o indicador de comentário da propriedade com.ibm.ssl.enabledCipherSuites.
Nota: O uso das propriedades do sistema javax.net.ssl faz com que esse valor seja sempre HIGH.
com.ibm.ssl.trustManager IbmX509 Essa propriedade especifica o gerenciador confiável padrão que deve ser utilizado para validar o certificado enviado pelo servidor de destino. Esse gerenciador confiável não executa a verificação de CRL (Certificate Revocation List). É possível escolher alterar esse valor para IbmPKIX para a verificação CRL, utilizando as listas de distribuição CRL do certificado, que é uma maneira padrão para executar a verificação CRL. Ao executar a verificação CRL customizada, implemente um gerenciador confiável customizado e especifique o gerenciador confiável na propriedade com.ibm.ssl.customTrustManagers. A opção IbmPKIX pode afetar o desempenho porque essa opção requer o IBMCertPath para validação confiável. Utilize IbmX509 a menos que a verificação CRL seja necessária. Se estiver utilizando as propriedades OCSP (Online Certificate Status Protocol), defina esse valor da propriedade para IbmPKIX.
com.ibm.ssl.keyManager IbmX509 Essa propriedade especifica o gerenciador de chave padrão a ser utilizado para escolher o alias cliente do armazenamento de chave especificado. Esse gerenciador de chaves utiliza a propriedade com.ibm.ssl.keyStoreClientAlias para especificar o alias do armazenamento de chave. Se essa propriedade não for especificada, a opção é delegada para JSSE (Java Secure Socket Extension). JSSE normalmente escolhe o primeiro alias que encontra.
com.ibm.ssl.contextProvider IBMJSSE2 Essa propriedade é utilizada para escolher o provedor JSSE para a criação do contexto SSL. É recomendável usar por padrão o IBMJSSE2 ao usar uma JVM (Java virtual machine). O plug-in cliente pode utilizar o provedor SunJSSE ao utilizar uma Sun JVM.
com.ibm.ssl.enableSignerExchangePrompt true Essa propriedade determina se o aviso de troca de signatário deverá ser exibido quando um signatário não estiver presente no truststore cliente. O prompt exibe informações sobre o certificado remoto para que o WebSphere Application Server possa decidir se o assinante deve ser confiado ou não. É muito importante validar a assinatura de certificado. Essa assinatura é a única informação confiável que pode garantir que o certificado não foi modificado a partir do certificado do servidor original. No caso de cenários automatizados, desative essa propriedade para impedir exceções de protocolo de reconhecimento SSL. Execute o script retrieveSigners que configura a troca de signatário SSL, para fazer download dos signatários do servidor antes de executar o cliente. Se estiver utilizando as propriedades OCSP (Online Certificate Status Protocol), defina esse valor da propriedade para false.
com.ibm.ssl.keyStoreClientAlias default Essa propriedade é utilizada para fazer referência a um alias a partir do armazenamento de chave especificado quando o destino não solicita a autenticação do cliente. Quando o WebSphere Application Server cria certificado autoassinado para a configuração SSL, essa propriedade determina o alias e substitui a propriedade global com.ibm.ssl.defaultCertReqAlias.
com.ibm.ssl.customTrustManagers Sem indicador de comentário, por padrão Essa propriedade permite especificar um ou mais gerenciadores confiáveis customizados, separados por vírgulas. Esses gerenciadores confiáveis podem estar na forma de algorithm|provider ou classname. Por exemplo, IbmX509|IBMJSSE2 está no formato algorithm|provider e a interface com.acme.myCustomTrustManager está no formato classname. A classe deve implementar a interface javax.net.ssl.X509TrustManager. Opcionalmente, a classe pode implementar a interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo. Esses gerenciadores confiáveis executam em adição ao gerenciador confiável padrão especificado pela interface com.ibm.ssl.trustManager. Esses gerenciadores confiáveis não substituem o gerenciador confiável padrão.
com.ibm.ssl.customKeyManager Sem indicador de comentário, por padrão Essa propriedade permite ter um, e apenas um, gerenciador de chaves customizado. O gerenciador de chaves substitui o gerenciador de chaves padrão especificado na propriedade com.ibm.ssl.keyManager. A forma do gerenciador de chaves é algorithm|provider ou classname. Consulte os exemplos de formato da propriedade com.ibm.ssl.customTrustManagers. A classe deve implementar a interface javax.net.ssl.X509KeyManager. Opcionalmente, a classe pode implementar a interface com.ibm.wsspi.ssl.KeyManagerExtendedInfo. Esse gerenciador de chave é responsável pela seleção do aliás.
com.ibm.ssl.dynamicSelectionInfo Sem indicador de comentário, por padrão Essa propriedade permite associação dinâmica com a configuração SSL. A sintaxe de uma associação dinâmica é outbound_protocol, target_host ou target_port. Para seleções múltiplas, utilize a barra vertical ( | ) como delimitador. É possível substituir qualquer um desses valores por um asterisco (*) para indicar um valor curinga. Os valores outbound_protocol válidos incluem: IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS e ADMIN_SOAP. Quando você deseja que os critérios de seleção dinâmica escolham a configuração SSL, remova o indicador de comentário da propriedade padrão e inclua as informações da conexão. Por exemplo, inclua o seguinte em uma linha
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites Sem indicador de comentário, por padrão Essa propriedade permite especificar uma lista de conjunto de criptografia customizada e substitui a seleção de grupo na propriedade com.ibm.ssl.securityLevel. A lista válida de criptografia varia de acordo com o provedor e os arquivos de política JVM aplicados. Para conjuntos de criptografia, utilize um espaço como delimitador.
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Essa propriedade faz referência a um nome de configuração de armazenamento de chave. Se ainda não tiver definido o armazenamento de chave, o resto das propriedades do armazenamento de chave deve seguir essa propriedade. Depois de definir o armazenamento de chave, é possível especificar a propriedade para fazer referência à configuração de armazenamento de chave especificada anteriormente. As novas configurações de armazenamento de chave no arquivo ssl.client.props têm um nome exclusivo.
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Essa propriedade faz referência a um nome de configuração de arquivo. Se ainda não tiver definido o armazenamento de chave, o resto das propriedades do armazenamento de chave deve seguir essa propriedade. Depois de definir o armazenamento de confiança, é possível especificar a propriedade para fazer referência à configuração do armazenamento de confiança especificado anteriormente. Novas configurações de truststore no arquivo ssl.client.props devem ter um nome exclusivo.
[z/OS]Os valores padrão das propriedades de configuração de armazenamento de chaves e armazenamento de confiança dependem da configuração de segurança selecionada no painel Seleção de Segurança Administrativa da Ferramenta de Gerenciamento de Perfis do z/OS. As opções a seguir estão disponíveis no painel Seleção de Segurança Administrativa:
  • Se você indicar a opção Utilizar um produto de segurança do z/OS, que é a primeira opção, os valores padrão para as propriedades de configuração de keystore e truststore apontam para um keystore com um tipo JCERACFKS. Esse tipo utiliza chaves e certificados armazenados e gerenciados por um produto de segurança do z/OS, como RACF. Para obter mais informações, consulte a seção "Armazenamentos de Chaves do z/OS" no tópico "Configurações de Armazenamento de Chaves".
  • Se você indicar a opção Usar segurança do WebSphere Application Server, que é a segunda opção, ou a opção Não ativar segurança, que é a terceira opção, os valores padrão para propriedades de configuração keystore e truststore apontam para um keystore com um arquivo PKCS12. Para obter mais informações sobre os armazenamentos de chaves baseados em arquivo, consulte a seção "Armazenamentos de Chaves Baseados em Arquivo IBMJCE (JCEKS, JKS e PKCS12)" no tópico "Configurações de Armazenamento de Chaves".

Configurações de keystore:

As configurações SSL fazem referência às configurações de armazenamento de chaves cuja finalidade é identificar o local dos certificados. Os certificados representam a identidade dos clientes que utilizam a configuração SSL. É possível especificar configurações de armazenamento de chave com outras propriedades da configuração SSL. Contudo, é recomendável especificar as configurações de armazenamento de chave nessa seção do arquivo ssl.client.props depois que a propriedade com.ibm.ssl.keyStoreName identificar o início de uma nova configuração de armazenamento de chave. Depois de definir completamente a configuração do armazenamento de chave, a propriedade com.ibm.ssl.keyStoreName pode fazer referência a tal configuração em qualquer outro ponto no arquivo.
[AIX Solaris HP-UX Linux Windows][IBM i]
Tabela 4. Propriedades de Configuração do Keystore. Esta tabela lista as propriedades de configuração de keystore.
Propriedade Padrão Descrição
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Essa propriedade especifica o nome do armazenamento de chave conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência a esse nome mais abaixo no arquivo ssl.client.props para impedir duplicação.
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 Essa propriedade especifica o local do armazenamento de chave no formato requerido pela propriedade com.ibm.ssl.keyStoreType. Normalmente, a propriedade faz referência a um nome de arquivo de armazenamento de chave. Contudo, para tipos de token criptográfico, essa propriedade faz referência a um arquivo DLL (Dynamic Link Library).
Evitar Problemas Evitar Problemas: Se estiver usando um cartão de criptografia 4764, o nome do arquivo keystore para a configuração do cliente deverá ser especificado como o arquivo 4764.cfg em uma estrutura de diretório de sua opção, e o com.ibm.ssl.keyStoreType correspondente deverá ser configurado como PKCS11. O arquivo 4764.cfg NÃO é fornecido com o WebSphere Application Server.gotcha
com.ibm.ssl.keyStorePassword WebAS Essa propriedade é a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível utilizar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere essa referência. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de chave do local em que ele reside. Reinicie o cliente para recriar o armazenamento de chave, utilizando a nova senha apenas se o nome do armazenamento de chave terminar com DefaultKeyStore e a propriedade fileBased for true. Exclua simultaneamente o armazenamento de chave e o armazenamento de confiança, de modo que uma troca de signatário apropriada possa ocorrer quando ambos forem recriados conjuntamente.
com.ibm.ssl.keyStoreType PKCS12 Essa propriedade é o tipo de armazenamento de chave. Utilize o padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de chave válido suportado pela JVM na lista de provedores.
com.ibm.ssl.keyStoreProvider IBMJCE A propriedade IBM® Java Cryptography Extension é o provedor de armazenamento de chaves para o tipo de armazenamento de chaves. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.keyStoreFileBased true Essa propriedade indica ao tempo de execução que o armazenamento de chave é baseado em arquivo, significando que ele está localizado no sistema de arquivos.
com.ibm.ssl.keyStoreReadOnly false Essa propriedade indica para o tempo de execução do WebSphere Application Server se o keystore pode ser modificado durante o tempo de execução.

[z/OS]Na tabela a seguir, os valores na coluna "Valores-padrão para um produto de segurança do z/OS" correspondem aos valores-padrão que são usados quando a opção Usar um produto de segurança do z/OS é indicada no painel Seleção de Segurança Administrativa do z/OS Profile Management Tool. Essa opção é a primeira no painel Seleção de Segurança Administrativa. Os valores na coluna "Valores Padrão para a Segurança do WebSphere Application Server" que correspondem aos valores padrão que são usados com a opção Usar o WebSphere Application Server, são indicados no painel Seleção de Segurança Administrativa do z/OS Profile Management Tool. Essa opção é a segunda no painel Seleção de Segurança Administrativa.

[z/OS]
Tabela 5. Propriedades de Configuração do Keystore. Esta tabela lista as propriedades de configuração de keystore.
Propriedade Valores-padrão para um produto de segurança do z/OS Valores padrão para a segurança do WebSphere Application Server Descrição
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore Essa propriedade especifica o nome do armazenamento de chave conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência a esse nome mais abaixo no arquivo ssl.client.props para impedir duplicação.
com.ibm.ssl.keyStore

safreyring:///your_keyring

Esse valor é configurado no painel Customização de SSL do z/OS Profile Management Tool.

${user.root}/etc/key.p12 Essa propriedade especifica o local do armazenamento de chave no formato requerido pela propriedade com.ibm.ssl.keyStoreType. Normalmente, a propriedade faz referência a um nome de arquivo de armazenamento de chave. Contudo, para tipos de token criptográfico, essa propriedade faz referência a um arquivo DLL (Dynamic Link Library).
com.ibm.ssl.keyStorePassword senha WebAS Essa propriedade é a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível utilizar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere essa referência. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de chave do local em que ele reside. Reinicie o cliente para recriar o armazenamento de chave, utilizando a nova senha apenas se o nome do armazenamento de chave terminar com DefaultKeyStore e a propriedade fileBased for true. Exclua simultaneamente o armazenamento de chave e o armazenamento de confiança, de modo que uma troca de signatário apropriada possa ocorrer quando ambos forem recriados conjuntamente.
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 Essa propriedade é o tipo de armazenamento de chave. Utilize o padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de chave válido suportado pela JVM na lista de provedores. O tipo pode ser JCERACFKS, JCECCARACFKS, ou JCECCAKS para dispositivos criptográficos.
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE A propriedade IBM Java Cryptography Extension é o provedor de armazenamento de chaves para o tipo de armazenamento de chaves. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.keyStoreFileBased false true Essa propriedade indica ao tempo de execução que o armazenamento de chave é baseado em arquivo, significando que ele está localizado no sistema de arquivos.
com.ibm.ssl.keyStoreReadOnly true false Essa propriedade indica para o tempo de execução do WebSphere Application Server se o keystore pode ser modificado durante o tempo de execução. Por exemplo, não é possível modificar armazenamentos de chaves de leitura utilizando o Console Administrativo ou por meio de script. Os Anéis de Chave SAF, que são usados pelo WebSphere Application Server for z/OS, são sempre apenas leitura.

Configurações de Armazenamento Confiável:

As configurações SSL fazem referência às configurações do truststore, cuja finalidade é conter os certificados de signatários dos servidores são confiáveis para esse cliente. É possível especificar essas propriedades com outras propriedades da configuração SSL. Contudo, é recomendável especificar as configurações de truststore nessa seção do arquivo ssl.client.props depois que a propriedade com.ibm.ssl.trustStoreName identificar o início de uma nova configuração de truststore. Depois de definir completamente a configuração de armazenamento de confiança, a propriedade com.ibm.ssl.trustStoreName pode fazer referência à configuração em qualquer outro ponto no arquivo.

Uma truststore é um armazenamento de chave que o JSSE utiliza para avaliação de confiança. Um truststore contém assinantes que o WebSphere Application Server requer antes que ele possa confiar conexões remotas durante o handshake. Se configurar a propriedade com.ibm.ssl.trustStoreName=ClientDefaultKeyStore, é possível fazer referência ao armazenamento de chave como o armazenamento de confiança. Configuração adicional para o armazenamento de confiança não é mais necessário uma vez que todos os signatários gerados por meio de trocas de signatários são importados para o armazenamento de chave a partir do qual são chamados pelo tempo de execução.

[z/OS]Na tabela a seguir, os valores na coluna "Valores-padrão com um produto de segurança do z/OS " correspondem aos valores-padrão que são usados quando a opção Usar um produto de segurança do z/OS é indicada no painel Seleção de Segurança Administrativa do z/OS Profile Management Tool. Essa opção é a primeira no painel Seleção de Segurança Administrativa. Os valores na coluna "Valores Padrão com a Segurança do WebSphere Application Server" que correspondem aos valores padrão que são usados com a opção Usar o WebSphere Application Server, são indicados no painel Seleção de Segurança Administrativa do z/OS Profile Management Tool. Essa é a segunda opção no painel Seleção de Segurança Administrativa.

[AIX Solaris HP-UX Linux Windows][IBM i]
Tabela 6. Propriedades de Configuração do Truststore. Esta tabela lista as propriedades de configuração de truststore.
Propriedade Padrão Descrição
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Essa propriedade especifica o nome do armazenamento de confiança conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência mais abaixo no arquivo ssl.client.props para impedir duplicação.
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 Essa propriedade especifica o local do armazenamento de confiança no formato requerido pelo tipo de armazenamento de confiança no formato exigido pelo tipo de armazenamento de confiança referido pelo com.ibm.ssl.trustStoreType. Normalmente, essa propriedade faz referência a um nome de arquivo de truststore. Contudo, para tipos de token criptografados, essa propriedade faz referência a um arquivo DLL.
Evitar Problemas Evitar Problemas: Se estiver usando um cartão de criptografia 4764, o nome do arquivo keystore para a configuração do cliente deverá ser especificado como o arquivo 4764.cfg em uma estrutura de diretório de sua opção, e o com.ibm.ssl.keyStoreType correspondente deverá ser configurado como PKCS11. O arquivo 4764.cfg NÃO é fornecido com o WebSphere Application Server.gotcha
com.ibm.ssl.trustStorePassword WebAS Essa propriedade especifica a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível usar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere a referência nessa propriedade. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de confiança do local em que ele reside. Reinicie o cliente para recriar o armazenamento de confiança utilizando a nova senha, mas apenas se o nome do armazenamento de chave terminar com DefaultTrustStore e a propriedade fileBased for true. É recomendável excluir simultaneamente o armazenamento de chave e o armazenamento de confiança de modo que uma troca de signatários apropriada possa ocorrer quando ambos forem conjuntamente recriados.
com.ibm.ssl.trustStoreType PKCS12 Essa propriedade é o tipo de truststore. Utilize o tipo padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de confiança válido suportado pela JVM na lista de provedores.
com.ibm.ssl.trustStoreProvider IBMJCE Essa propriedade é o provedor do truststore para o tipo de truststore. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.trustStoreFileBased true Essa propriedade indica ao tempo de execução que o truststore é baseado em arquivo, significando que ele está localizado no sistema de arquivos.
com.ibm.ssl.trustStoreReadOnly false Essa propriedade indica para o tempo de execução do WebSphere Application Server se o truststore pode ser modificado durante o tempo de execução.
[z/OS]
Tabela 7. Propriedades de Configuração do Truststore. Esta tabela lista as propriedades de configuração do truststore.
Propriedade Valores Padrão com um Produto de Segurança z/OS Valores padrão com a segurança do WebSphere Application Server Descrição
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore Essa propriedade especifica o nome do armazenamento de confiança conforme ele é referido pelo tempo de execução. Outras configurações SSL podem fazer referência mais abaixo no arquivo ssl.client.props para impedir duplicação.
com.ibm.ssl.trustStore

safreyring:///your_keyring

Esse valor é configurado no painel Customização de SSL do z/OS Profile Management Tool.

${user.root}/etc/trust.p12 Essa propriedade especifica o local do armazenamento de confiança no formato requerido pelo tipo de armazenamento de confiança no formato exigido pelo tipo de armazenamento de confiança referido pelo com.ibm.ssl.trustStoreType. Normalmente, essa propriedade faz referência a um nome de arquivo de armazenamento de confiança. Contudo, para tipos de token criptografados, essa propriedade faz referência a um arquivo DLL.
com.ibm.ssl.trustStorePassword senha WebAS Essa propriedade especifica a senha padrão, que é o nome da célula para o perfil quando este é criado. A senha é normalmente codificada utilizando um algoritmo {xor}. É possível usar o iKeyman para alterar a senha no armazenamento de chave; em seguida, altere a referência nessa propriedade. Se não souber a senha e o certificado tiver sido criado para você, altere a senha nessa propriedade e exclua o armazenamento de confiança do local em que ele reside. Reinicie o cliente para recriar o armazenamento de confiança utilizando a nova senha, mas apenas se o nome do armazenamento de chave terminar com DefaultTrustStore e a propriedade fileBased for true. É recomendável excluir simultaneamente o armazenamento de chave e o armazenamento de confiança de modo que uma troca de signatários apropriada possa ocorrer quando ambos forem conjuntamente recriados.
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 Essa propriedade é o tipo de armazenamento de confiança. Utilize o tipo padrão, PKCS12, devido à sua interoperabilidade com outros aplicativos. É possível especificar essa propriedade como qualquer tipo de armazenamento de confiança válido suportado pela JVM na lista de provedores. O tipo pode ser JCERACFKS, JCECCARACFKS, ou JCECCAKS para dispositivos criptográficos.
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE Essa propriedade é o provedor do armazenamento de confiança para o tipo de armazenamento de confiança. O provedor é normalmente IBMJCE ou IBMPKCS11Impl para dispositivos criptográficos.
com.ibm.ssl.trustStoreFileBased false true Essa propriedade indica ao tempo de execução que o armazenamento de confiança é baseado em arquivo, significando que ele está localizado no sistema de arquivos.
com.ibm.ssl.trustStoreReadOnly true false Essa propriedade indica para o tempo de execução do WebSphere Application Server se o truststore pode ser modificado durante o tempo de execução. Por exemplo, não é possível modificar armazenamentos de confiança de leitura utilizando o Console Administrativo ou por meio de script. Os Anéis de Chave SAF, que são usados pelo WebSphere Application Server for z/OS, são sempre apenas leitura.

Ícone que indica o tipo de tópico Tópico de Referência



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
Nome do arquivo: rsec_sslclientpropsfile.html