Configurações de SSL

As configurações de SSL (Secure Sockets Layer) contêm atributos que permitem o controle de comportamento dos terminais SSL de cliente e servidor. É possível designar as configurações de SSL para que tenham escopos de gerenciamento específicos. O escopo herdado por uma configuração de SSL depende de ela ser criada utilizando uma célula, um nó, um servidor ou um link de terminal na topologia da configuração.

Ao criar uma configuração de SSL, é possível definir os seguintes atributos de conexão SSL:

É possível gerenciar uma configuração de SSL utilizando um dos seguintes métodos:
  • Seleção central de gerenciamento
  • Seleção direta de referência
  • Seleção dinâmica de conexão de saída
  • Seleção Programática
Utilizando o console administrativo, é possível gerenciar todas as configurações SSL do WebSphere Application Server. No console administrativo, clique em Segurança

Certificados SSL e Gerenciamento de Chave > Gerenciar Configurações de Segurança do Terminal > Entrada | Saída > SSL_configuration. É possível visualizar uma configuração de SSL no nível em que foi criada e no escopo herdado abaixo desse ponto na topologia. Para que a célula inteira visualize uma configuração de SSL, você deve criar a configuração no nível de célula na topologia.

A configuração de SSL no arquivo security.xml

Os atributos que definem uma entrada do repertório da configuração de SSL para um escopo de gerenciamento específico estão armazenados no arquivo security.xml. O escopo determina o ponto em que outros níveis na topologia da célula podem ver a configuração, conforme mostrado no seguinte exemplo:
<repertoire xmi:id="SSLConfig_1" alias="NodeDefaultSSLSettings" 
managementScope="ManagementScope_1" type="JSSE">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="false" 
clientAuthenticationSupported="false" securityLevel="HIGH" enabledCiphers="" 
jsseProvider="IBMJSSE2" sslProtocol="SSL_TLSv2" keyStore="KeyStore_1" 
trustStore="KeyStore_2" trustManager="TrustManager_1" keyManager="KeyManager_1" 
clientKeyAlias="default" serverKeyAlias="default"/>
</repertoire>
Os atributos de configuração de SSL das amostra de código anterior são descritos na Tabela 1.
Tabela 1. Atributos de security.xml. Esta tabela lista os atributos do arquivo security.xml.
Atributo security.xml Description Default Propriedade SSL associada
xmi:id O atributo xml:id representa o identificador exclusivo para esta entrada XML e determina como a configuração SSL está vinculada a outros objetos XML, como SSLConfigGroup. Este valor definido pelo sistema deve ser exclusivo. O serviço de configuração administrativa define o valor padrão. Nenhuma. Este valor é utilizado apenas para associações XML.
alias O atributo alias define o nome da configuração de SSL. A seleção direta utiliza este atributo e o nó não é prefixado para o alias. Em vez disso, o escopo de gerenciamento trata de assegurar que o nome seja exclusivo no escopo.

O padrão é CellDefaultSSLSettings.

com.ibm.ssl.alias
managementScope O atributo managementScope define o escopo de gerenciamento da configuração de SSL e determina sua visibilidade no tempo de execução.

O escopo padrão é a célula.

O atributo managementScope não é mapeado para uma propriedade SSL. No entanto, ele confirma se a configuração de SSL está associada a um processo.
da mensagem O atributo type define a opção de configuração JSSE (Java™ Secure Socket Extension) ou SSSL (System Secure Sockets Layer). JSSE é o tipo de configuração SSL para a maioria das comunicações seguras no WebSphere Application Server.

[z/OS]JSSE e SSSL são ambos, opções válidas. O daemon do z/OS ainda utiliza SSSL neste release.

O padrão é JSSE. com.ibm.ssl.sslType
clientAuthentication O atributo clientAuthentication determina se a autenticação de cliente SSL é requerida. O padrão é falso. com.ibm.ssl.clientAuthentication
clientAuthenticationSupported O atributo clientAuthenticationSupported determina se a autenticação de cliente SSL é suportada. O cliente não precisará fornecer um certificado cliente se não tiver um certificado cliente.
Atenção:
Ao definir o atributo clientAuthentication como true, o valor definido para o atributo clientAuthenticationSupported é substituído.
O padrão é falso. com.ibm.ssl.client.AuthenticationSupported
securityLevel O atributo securityLevel determina o grupo do conjunto de criptografia. Os valores válidos incluem STRONG (códigos de 128 bits), MEDIUM (códigos de 40 bits), WEAK (para todos os códigos sem criptografia) e CUSTOM (se o grupo de conjuntos de criptografia for customizado). Quando você configura o atributo enabledCiphers com uma lista de cifras específicas, o sistema ignora este atributo. O padrão é STRONG. com.ibm.ssl.securityLevel
enabledCiphers O atributo enabledCiphers pode ser configurado para especificar uma lista exclusiva de conjuntos de criptografia. Separe cada conjunto de criptografia na lista com um espaço. O padrão é o atributo securityLevel para a seleção do conjunto de criptografia. com.ibm.ssl.enabledCipherSuites
jsseProvider O atributo jsseProvider define um provedor JSSE específico. O padrão é IBMJSSE2. com.ibm.ssl.contextProvider
sslProtocol O atributo sslProtocol define o protocolo de reconhecimento de SSL. As opções válidas incluem:
  • SSL_TLS - que é SSLv3 e TLSv1
  • SSL - que é SSLv3
  • SSLv2
  • SSLv3
  • TLS - que é TLSv1
  • TLSv1
  • SSL_TLSv2 - que é SSLv3 e TLSv1, TLSv1.1, TLSv1.2
  • TLSv1.1
  • TLSv1.2

O comando listSSLProtocols fornece mais informações sobre quais protocolos são válidos em configurações particulares, como FIPS 140-2 ou SP800-131.

The default is SSL_TLSv2. com.ibm.ssl.protocol
keyStore O atributo keyStore define o armazenamento de chaves e os atributos da instância do armazenamento de chaves utilizada pela configuração do SSL para a seleção da chave.

O padrão é CellDefaultKeyStore.

Para obter informações adicionais, consulte Configurações do Armazenamento de Chaves.
trustStore O atributo trustStore define o armazenamento de chaves utilizado pela configuração de SSL para verificação da assinatura do certificado.

O padrão é CellDefaultTrustStore.

Um trustStore é um termo lógico JSSE. Significa um armazenamento de chaves que contém certificados signatários. Os certificados signatários validam os certificados que são enviados ao WebSphere Application Server durante um estabelecimento de comunicação SSL.
keyManager O atributo keyManager define o gerenciador de chaves que o WebSphere Application Server utiliza para selecionar chaves em um armazenamento de chaves. Um gerenciador de chaves do JSSE controla a interface javax.net.ssl.X509KeyManager. Um gerenciador de chaves customizado controla as interfaces javax.net.ssl.X509KeyManager e com.ibm.wsspi.ssl.KeyManagerExtendedInfo. A interface com.ibm.wsspi.ssl.KeyManagerExtendedInfo fornece mais informações do WebSphere Application Server. O padrão é IbmX509. com.ibm.ssl.keyManager define um gerenciador de chaves reconhecido e aceita os formatos algorithm e algorithm|provider, por exemplo, IbmX509 e IbmX509|IBMJSSE2. com.ibm.ssl.customKeyManager define um gerenciador de chaves customizado e tem precedência sobre outras propriedades do keyManager. Esta classe deve implementar javax.net.ssl.X509KeyManager e pode implementar com.ibm.wsspi.ssl.KeyManagerExtendedInfo. Para obter informações adicionais, consulte csec_sslx509certIDkeyman.html
trustManager O trustManager determina qual gerenciador de confiança ou lista de gerenciadores de confiança usar para determinar se deve confiar no lado do período da conexão. Um gerenciador de chaves do JSSE implementa a interface javax.net.ssl.X509TrustManager. Um gerenciador de confiança customizado poderá também implementar a interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo para obter mais informações do ambiente do WebSphere Application Server. O padrão é IbmPKIX, que pode ser configurado para verificação da lista de revogação de certificado (CRL), quando o certificado contiver um ponto de distribuição de CRL. A outra opção é IbmX509. com.ibm.ssl.trustManager define um gerenciador de confiança reconhecido, requerido para a maioria das situações do protocolo de reconhecimento. com.ibm.ssl.trustManager executa verificação de expiração de certificados e validação de assinatura. É possível definir com.ibm.ssl.customTrustManagers com gerenciadores de confiança customizados adicionais chamados durante um protocolo de reconhecimento SSL. Separe gerenciadores de confiança adicionais com o caractere de barra vertical (|). Para obter informações adicionais, consulte csec_sslx509certtrustdecisions.html
Nota: Por padrão, as cifras de curva elíptica são ativadas ao usar os atributos securityLevel para cifras. Se não forem desejadas, poderão ser desativadas usando uma lista de cifras customizadas com o atributo enabledCiphers ou configurar a propriedade customizada de segurança com.ibm.websphere.ssl.include.ECCiphers como false, para que não sejam mostradas quando securityLevel for utilizado.
Nota: O WebSphere não permite que os conjuntos de cifras RC4 na lista de cifras HIGH mantenham o servidor mais seguro por padrão. É possível que uma cifra RC4 estivesse sendo usada por padrão em handshakes SSL antes dessa mudança. Com a remoção das cifras RC4, é provável que uma cifra AES seja usada em seu lugar. Os usuários podem se deparar com uma diminuição no desempenho com o uso de cifras AES mais seguras.

As configurações de SSL do cliente são gerenciadas usando o arquivo ssl.client.props properties. O arquivo ssl.client.props está localizado no diretório ${USER_INSTALL_ROOT}/properties de cada perfil. Para obter informações adicionais sobre a configuração desse arquivo, consulte Arquivo de Configuração do Cliente ssl.client.props. Especificar quaisquer propriedades de sistema javax.net.ssl substituirá a propriedade correspondente no arquivo ssl.client.props.


Ícone que indica o tipo de tópico Tópico de Conceito



Ícone de registro de data e hora Última atualização: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslconfigs
Nome do arquivo: csec_sslconfigs.html