É possível configurar a Segurança da Camada de Transporte (TLS) incluindo um keystore, um truststore e
escolhendo o alias de certificado para sua configuração.
Antes de Iniciar
É possível configurar o TLS com a Versão 1.0.0.4 ou posterior.
- Você deve estar usando o WebSphere eXtreme
Scale Client Versão 7.1 Fix 1 ou posterior.
- Você deve estar designado para a permissão de administração de Dispositivo para executar estas etapas.
- Você deve ter um keystore, um truststore e senhas associadas que deseja incluir na configuração do dispositivo.
- Para evitar avisos do navegador quando acessar a interface com o usuário a partir de dispositivos diferentes,
considere incluir um curinga no Nome Comum (CN) do certificado no keystore. Cada dispositivo usa o mesmo certificado para
configuração de TLS, conforme especificado pelo alias de certificado. Por exemplo, é possível usar
*.mycompany.com em vez de myhost.mycompany.com para tornar o certificado
válido para todos os hosts no domínio mycompany.
Sobre Esta Tarefa
As configurações de TLS se aplicam à interface com o usuário e às grades de dados.
As configurações são aplicadas em todos os dispositivos no coletivo.
Procedimento
- Acesse o painel Configurações. Para gerenciar suas opções de segurança, acesse o painel Configurações com um dos caminhos a
seguir:
- Na barra de menus na interface com o usuário do
WebSphere DataPower XC10 Appliance, clique em
.
- A partir da página de Boas-Vindas, clique no link Customizar configurações
na seção Etapa 1: Configurar o dispositivo.
- Expanda Segurança da Camada de Transporte (TLS).
- Faça upload das novas informações do keystore e do truststore. Após fazer upload de um keystore ou truststore, você deve atualizar a senha associada. Se estiver usando o
truststore padrão, a senha será xc10pass.
- Se transferiu o keystore por upload, selecione o alias de certificado para o coletivo usar.
- Especifique o tipo de transporte. Se desejar suportar protocolos TCP/IP e TLS, selecione TLS
Suportado.
Se desejar requerer conexões através do protocolo TLS, selecione TLS Necessário.
- Para requerer que o cliente envie um certificado confiável para ativar a comunicação, selecione Ativar
Autenticação por Certificado de Cliente.
- Clique em Enviar Configurações de TLS para salvar as mudanças em sua configuração.
Resultados
O truststore configurado está ativo. O coletivo deve reiniciar para concluir as mudanças na configuração de TLS.
As partes limitadas da interface com o usuário estão acessíveis quando o coletivo está reiniciando. Se não puder acessar
partes da interface com o usuário, aguarde um momento apropriado e envie a solicitação novamente. O painel Tarefas mostra
a conclusão para algumas mudanças de TLS automaticamente exibindo um status de sucesso.
Talvez seja necessário
reiniciar o navegador, efetuar logout e login novamente na interface com o usuário ou confiar em novos certificados a
partir de um prompt do navegador.
Se a interface com o usuário parecer estar indisponível quando a autenticação de
cliente for ativada, verifique se você possui um certificado de cliente confiável importado no navegador. Se um
certificado de cliente confiável não for importado no navegador, não será possível acessar a interface com o usuário. Após
efetuar logon com sucesso na interface com o usuário, a tarefa indicará o sucesso da configuração de TLS.
Para fazer
download do truststore ativo a qualquer momento, clique em Fazer Download do Truststore Ativo.
O download do truststore ativo é útil se estiver incluindo entradas confiáveis para autenticação de cliente. Após o
download, é possível verificar se você está alterando o truststore mais recente. Se estiver fazendo upload de um novo
truststore, o truststore se tornará disponível para download após o envio das novas configurações. O nome do arquivo do
truststore transferido por download não é igual ao nome do arquivo original que foi usado quando o truststore foi
transferido por upload.
O que Fazer Depois
- Se estiver configurando uma grade de dados com o WebSphere Application Server e a TLS for
necessária, ou desejar que o WebSphere Application Server use TLS, você também deverá ativar a segurança
global. Para obter informações adicionais sobre como configurar a segurança global, consulte
Configurações
de Segurança Global. Você também deve incluir o certificado público do dispositivo nos truststores do
WebSphere Application Server. Use uma das opções a seguir:
- Se estiver usando o truststore do dispositivo padrão: Execute o script addXC10PublicCert.py
a partir do diretório WAS_HOME/bin no gerenciador de implementação para incluir o certificado público
do dispositivo nos truststores padrão do WebSphere Application Server.
- Se estiver usando chaves customizadas para o dispositivo: Execute o script
addXC10PublicCert.py a partir do diretório WAS_HOME/bin no gerenciador de
implementação com a opção de linha de comandos -certPath para inserir o certificado público do
dispositivo nos truststores padrão do WebSphere Application Server. O valor da opção de linha de
comandos -certPath é o local do disco do certificado público que corresponde ao alias que é
configurado para o keystore no dispositivo
Se gerar novos pares de chaves para o dispositivo e estiver usando
gerenciamento de sessões HTTP, independentemente das configurações de TLS, você deverá mover o novo certificado público do
dispositivo para os truststores do WebSphere Application Server para que a administração de
gerenciamento de sessões HTTP do WebSphere DataPower XC10 Appliance funcione.
- Talvez você deseje usar uma autoridade de certificação (CA) privada para assinar o certificado que está associado ao
alias de certificado escolhido para sua configuração do TLS. É possível, então, importar o certificado de CA para o
navegador e confiar em qualquer coletivo com um certificado assinado pela CA privada sem que seja solicitado. O uso de uma
CA privada geralmente é apropriado apenas para acesso em uma intranet privada.