Puede configurar la Seguridad de la capa de transporte (TLS) añadiendo un almacén de claves, un almacén de
confianza y eligiendo el alias de certificado para su configuración.
Antes de empezar
Puede configurar TLS con la versión 1.0.0.4 o una versión posterior.
- Debe estar utilizando WebSphere eXtreme
Scale Client Versión 7.1 Fix 1 o posterior.
- Para seguir estos pasos debe tener asignado el permiso de administración
de dispositivos.
- Debe tener un almacén de claves, un almacén de confianza y las contraseñas asociadas que desee añadir a la
configuración del dispositivo.
- Para evitar avisos del navegador al acceder a la interfaz de usuario desde dispositivos diferentes, puede incluir
un comodín en el Nombre común (CN) del certificado en el almacén de claves. Cada dispositivo utiliza el mismo
certificado para la configuración de TLS, tal como especifica el alias de certificado. Por ejemplo, puede utilizar
*.mycompany.com en lugar de myhost.mycompany.com para que el certificado
sea válido para todos los host del dominio mycompany.
Acerca de esta tarea
Los valores de TLS se aplican a la interfaz de usuario y las cuadrículas de datos.
Los valores se aplican a todos los dispositivos del colectivo.
Procedimiento
- Vaya al panel Valores. Para gestionar sus
opciones de seguridad, vaya al panel Valores mediante
uno de los métodos siguientes:
- En la barra de menús de la interfaz de usuario
WebSphere DataPower XC10 Appliance, pulse
.
- Desde la página Bienvenido, pulse el enlace
Personalizar valores de la sección Paso 1: Configurar
el dispositivo.
- Expanda Seguridad de la capa de transporte (TLS).
- Suba la información nueva de almacén de claves y almacén de confianza. Después de subir un almacén de claves o un almacén de confianza debe actualizar la contraseña asociada. Si está
utilizando el almacén de confianza, la contraseña es xc10pass.
- Si ha subido un almacén de claves, seleccione el alias de certificado para que lo utilice el colectivo.
- Especifique el tipo de transporte. Si desea soportar los protocolos
TCP/IP y TLS, seleccione TLS soportado.
Si desea que las conexiones pasen necesariamente por el protocolo TLS, seleccione TLS necesario.
- Para requerir que el cliente envíe un certificado de confianza para habilitar la comunicación, seleccione
Habilitar la autenticación de certificado de cliente.
- Pulse Someter valores de TLS para guardar los cambios en su configuración.
Resultados
El almacén de confianza configurado está activo. Es necesario reiniciar el colectivo para completar los cambios
de configuración de TLS.
Cuando el colectivo se está reiniciando sólo es posible acceder a un conjunto limitado de
partes de la interfaz de usuario. Si hay partes de la interfaz de usuario a las que no puede acceder, espere al momento
adecuado y vuelva a someter la petición. El panel Tareas visualiza automáticamente un estado satisfactorio para mostrar
que algunos cambios de TLS se han realizado.
Podrá reiniciar el navegador, finalizar la sesión y volver a
iniciarla en la interfaz de usuario o confiar en certificados nuevos de una solicitud del navegador.
Si la
interfaz de usuario no está disponible cuando la autenticación de cliente está habilitada, verifique que tiene un
certificado de cliente de confianza importado en el navegador. Si no hay un certificado de cliente de confianza no está
importado en el navegador, no puede acceder a la interfaz de usuario. Después de iniciar la sesión satisfactoriamente
en la interfaz de usuario, la tarea indica el éxito de la configuración de TLS.
Para descargar el almacén de
confianza activo en cualquier momento, pulse Descargar el almacén de confianza activo.
La descarga del almacén de confianza activo resulta útil si está añadiendo entradas de confianza para la autenticación
de cliente. Después de la descarga puede verificar que está cambiando el almacén de confianza más reciente. Si está
subiendo un almacén de confianza nuevo, el almacén de confianza está disponible para descarga después de someter los
valores nuevos. El nombre de archivo del almacén de confianza descargado no es el mismo que el nombre de archivo
original utilizado cuando se subió el almacén de confianza.
Qué hacer a continuación
- Si está configurando una cuadrícula de datos con WebSphere Application
Server y tiene el valor
TLS necesario, o desea que WebSphere Application
Server utilice TLS, también debe habilitar la
seguridad global. Para obtener más información sobre cómo configurar la seguridad global, consulte
Valores
de seguridad globales. También debe añadir el certificado público del dispositivo a los almacenes de confianza
de WebSphere Application
Server. Utilice una de las opciones siguientes:
- Si está utilizando el almacén de confianza del dispositivo predeterminado: ejecute el script
addXC10PublicCert.py en el directorio WAS_HOME/bin, en el gestor de despliegue
para añadir el certificado público del dispositivo a los almacenes de confianza predeterminados de
WebSphere Application
Server.
- Si está utilizando claves personalizadas para el dispositivo: ejecute el script
addXC10PublicCert.py del directorio WAS_HOME/bin, en el gestor de despliegue
con la opción de línea de mandatos -certPath para insertar el certificado público en los almacenes
de confianza predeterminados de WebSphere Application
Server. El valor de la opción de línea de
mandatos de -certPath es la ubicación de disco del certificado público que corresponde al alias
que está configurado para el almacén de claves en el dispositivo
Si genera pares de claves nuevos para el
dispositivo y está utilizando la gestión de sesiones HTTP, independientemente de los valores de TLS, debe mover el
certificado público de dispositivo nuevo a los almacenes de confianza de WebSphere Application
Server
para que la administración de la gestión de sesiones HTTP de
WebSphere DataPower XC10 Appliance funcione.
- Puede utilizar una entidad emisora de certificados (CA) privada para firmar el certificado asociado al alias de
certificado que elija para su configuración de TLS. Podrá importar el certificado de la CA en el navegador y confiar en
cualquier colectivo con un certificado firmado por la CA privada sin que haya ninguna solicitud al respecto. La
utilización de una CA privada sólo es apropiada generalmente para el acceso en una intranet privada.