Para manejar una empresa comercial en Internet, es recomendable la adquisición de un certificado de servidor seguro de una autoridad de certificación (CA) externa como por ejemplo VeriSign. Si desea obtener una lista de CA soportadas, consulte Autoridades de certificación.
Si actúa como su propia CA, puede firmar sus propias peticiones de certificados o las de cualquier otra persona. Es una buena opción si sólo necesita los certificados dentro de su propia red de Web privada y no para el comercio de Internet externo. Los clientes deben tener navegadores, como por ejemplo Netscape Navigator o Microsoft Internet Explorer, que puedan recibir el certificado de CA y designarle como CA fiable.
Para actuar como su propia CA, puede utilizar los programas de utilidad de gestión de claves del servidor (IKEYMAN y CA de HTTP Server) o puede adquirir el software de autoridad de certificación en un proveedor de CA.
Nota: | Si tiene previsto administrar más de 250 certificados, tenga en cuenta la adquisición de software de un proveedor de CA. Este límite se basa en el número de peticiones de certificados que se pueden almacenar en la base de datos de claves de CA. Después de almacenar 250 peticiones de certificados, el rendimiento del programa de utilidad es muy lento. |
Antes de utilizar la CA de HTTP Server, es necesario instalar WebSphere Application Server como mecanismo servlet.
Si desea ver instrucciones de instalación, consulte WebSphere Application Server Getting Started V2. Se puede acceder a este libro y a más documentación de Application Server en el sitio Web de WebSphere Application Server.
Para que los certificados de cliente se bajen correctamente, deben incluirse las siguientes directivas AddType y tipos MIME en el archivo de configuración del servidor:
AddType .cer application/x-x509-user-cert 7bit 0.5 #Certificado de usuario AddType .der application/x-x509-ca-cert binary 1.0 #Certificado CA de navegador
Estos tipos MIME se incluyen en el archivo de configuración del servidor por omisión.
Antes de utilizar el programa de utilidad CA, cree las bases de datos de claves de CA, el certificado del servidor y el certificado de CA autofirmado mediante IKEYMAN. Para obtener direcciones, consulte Creación de un certificado autofirmado.
Nota: | Como Administrador, puede optar por que las peticiones de certificados de CA se procesen automáticamente después de ser enviadas. El proceso automático elimina la necesidad de procesar manualmente cada petición de certificado. Si desea el proceso automático, cree un archivo de almacenamiento para la contraseña de la base de datos de claves de CA cuando configure la base de datos de claves de CA mediante IKEYMAN. |
Después de crear la base de datos de claves de CA y el certificado de CA autofirmado, copie el archivo cakey.kdb en el directorio del programa de utilidad CA.
Opcionalmente se puede almacenar la contraseña de la base de datos de claves de CA en un archivo de almacenamiento. Si el archivo de almacenamiento está en el mismo directorio que el archivo de base de datos de claves de CA (cakey.kdb), todos los certificados que se envían para ser firmados por el programa de utilidad CA se aprobarán automáticamente. Si crea un archivo de almacenamiento (cakey.sth), copie dicho archivo al mismo directorio que el archivo cakey.kdb.
Se debe exportar el archivo cakey.kdb del servidor al programa de utilidad CA en un formado que clientes y servidores puedan utilizar. Si desea ver instrucciones detalladas, consulte Exportar la base de datos de claves de CA.
Para acceder al programa de utilidad CA de HTTP Server, vaya al URL:
http://nombre.servidor/CAServlet/Welcome.html
La tarea de CA consiste en verificar si se debe emitir un certificado para un cliente o servidor. Es necesario asegurarse de que la persona que efectúa la petición tenga un derecho legítimo para solicitar el certificado. Después de verificar la petición de una persona, se pueden crear certificados firmados mediante la CA de HTTP Server.
La entrada de este proceso es una petición de certificado de un cliente o servidor. La salida será un certificado firmado con su clave privada.
Después de procesar el certificado del cliente o servidor:
Después de completar estos pasos, el cliente o el servidor pueden utilizar su certificado firmado por CA para comunicarse de forma segura con otros servidores HTTP y navegadores de Web en la red de Web privada.
Utilice estos pasos para exportar la base de datos de claves de CA (cakey.kdb) en el servidor en un formato que navegadores y servidores puedan utilizar. No es necesario repetir estos pasos después de la configuración inicial de la autoridad de certificación.
Nota: | Es necesario crear el archivo cakey.kdb mediante IKEYMAN para utilizar el programa de utilidad CA. Para obtener direcciones, consulte Creación de un certificado autofirmado. |
Para exportar el archivo de base de datos de CA para navegadores y servidores:
http://nombre.servidor/CAServlet/Welcome.html
Notas:
Para procesar peticiones de certificados de navegadores y servidores:
http://nombre.servidor/CAServlet/Welcome.html
Si hay peticiones en espera:
Se pueden efectuar acciones en una o varias peticiones.
Si desea ver instrucciones más detalladas, pulse Help.
Para poder aceptar un certificado de navegador firmado por la CA de HTTP Server, es necesario primero bajar el certificado de CA que identifica a la CA de HTTP Server como autoridad de certificación fiable ante el navegador.
Para bajar un certificado de CA:
http://nombre.servidor/CAServlet/Welcome.html
Después de bajar el certificado de CA, designe el certificado como fiable para el navegador y marque el certificado como valor por omisión en la base de datos de claves de operaciones. Cuando el certificado de CA se haya designado como CA fiable para el navegador, no será necesario realizar de nuevo este procedimiento.
Utilice los pasos siguientes para solicitar un certificado de navegador por parte de la CA de la red privada:
http://nombre.servidor/CAServlet/Welcome.html
Dependiendo de la configuración del Administrador, la petición se aprobará automáticamente o después de que el Administrador la haya revisado. Si se produce la aprobación automática, no obtendrá ningún mensaje que confirme que se ha aprobado la petición. Puede ir directamente a Recibir un certificado de navegador aprobado y completar dicho procedimiento.
Si el Administrador ha configurado la aprobación manual, recibirá un mensaje confirmando que se ha aceptado la petición de certificado. Pregunte al Administrador cuándo se procesará la aprobación. Los certificados aprobados se envían al directorio de base de datos de CA de HTTP Server.
Para recibir un certificado de navegador aprobado, es necesario bajar el certificado de CA (cakey.der). Si desea obtener instrucciones, consulte Bajar un certificado de CA a un navegador de Web.
Siga los pasos siguientes para recibir un certificado de navegador firmado por CA:
http://nombre.servidor/CAServlet/Welcome.html
Nota: | Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado el nombre común incorrectamente. Si ha olvidado el nombre común que ha entrado, consulte con el Administrador. |
Nota: | Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado la contraseña incorrectamente. Si ha olvidado la contraseña, consulte con el Administrador. |
Si no se encuentra, consulte con el Administrador de CA para saber cuándo se procesará el certificado.
Para procesar cualquier certificado firmado de CA de HTTP Server en otro servidor webWeb, primero deberá almacenar el certificado de CA de HTTP Server en la base de datos de claves de operaciones del servidor webWeb de destino.
Para bajar un certificado de CA para otro servidor:
http://nombre.servidor/CAServlet/Welcome.html
Utilice los pasos siguientes para solicitar un certificado de servidor de la CA de la red privada:
http://nombre.servidor/CAServlet/Welcome.html
Utilice este formulario para enviar una petición de certificado de servidor a la CA de la red privada de modo que este HTTP Server sea fiable para los navegadores y otros HTTP Server de la red. Si hay otros servidores de Web en la red, se puede realizar esta tarea de parte de los servidores de Web remotos.
PREGUNTA: ¿CÓMO SE EXAMINA ESTE ARCHIVO EN LA ESTACIÓN DE TRABAJO?Cuando visualice el archivo *.arm en la pantalla, copie el contenido de este archivo al área común. Luego vaya al servidor webWeb y pegue este archivo a la sección del formulario que dice: Please copy your certificate requests into the following area. Debe pegar el archivo de petición de certificado de operaciones (*.arm) en este espacio. Este es el archivo que se envía a la CA de HTTP Server para ser firmado.
Si el administrador de CA ha configurado la aprobación manual, deberá recibir un mensaje en el navegador que confirme que se ha aceptado la petición de certificado.
Para recibir un certificado de servidor aprobado, deberá bajar el certificado de CA (cakey.txt). Si desea obtener instrucciones, consulte Bajar un certificado de CA para otro servidor.
Utilice los pasos siguientes para recibir un certificado de servidor firmado por CA:
http://nombre.servidor/CAServlet/Welcome.html
Nota: | Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado el nombre de servidor incorrectamente. Si ha olvidado el nombre de servidor que ha entrado, consulte con el Administrador. |
Nota: | Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado la contraseña incorrectamente. Si ha olvidado la contraseña, consulte con el Administrador. |
Si no se encuentra, consulte con el Administrador de CA para saber cuándo se procesará el certificado.
Notas:
Cuando se designa como servidor webWeb de banco o entidad financiera, la edición norteamericana de HTTP Server puede explotar las posibilidades de cifrado potente en las versiones doméstica e internacional de Netscape Navigator 4.x y Microsoft Internet Explorer 4.x. Para utilizar esta función, debe adquirir un certificado digital especial de VeriSign llamado ID de servidor global.
Para transacciones de Web corrientes, los navegadores de exportación de Netscape y Microsoft pueden utilizar el cifrado de 40 bits sólo para transacciones de Capa de sockets de seguridad (SSL). Sin embargo, cuando el servidor utiliza un ID de servidor global de VeriSign para el certificado SSL, los navegadores de exportación pueden utilizar niveles más potentes de cifrado de 128 bits o más. Esto permite a un servidor con ID de servidor global la comunicación al nivel más elevado de cifrado de SSL con las versiones doméstica e internacional de los navegadores de Netscape y Microsoft.
Los clientes de HTTP Server de bancos y entidades financieras internacionales que deseen utilizar esta función deben ponerse en contacto con IBM para obtener una licencia de exportación para obtener y utilizar la edición norteamericana de HTTP Server.
Para que un navegador de exportación establezca una conexión SSL utilizando el cifrado de 128 bits:
Tabla 2. Requisitos de navegador del ID de servidor global
Navegador | Doméstica | Exportación |
---|---|---|
Netscape Navigator | Todas las versiones funcionan cuando se cumplen todos los requisitos que se listan en el apartado Requisitos de URL y certificados. | La versión 4.04 es la única versión que da soporte al cifrado de 128 bits. |
Internet Explorer | Todas las versiones funcionan cuando se cumplen todos los requisitos que se listan en el apartado Requisitos de URL y certificados. | La versión 4.0, actualización 4.72.3110.8, es la única versión que da soporte al cifrado de 128 bits. Para verificar el número de actualización, pulse Ayuda y luego Acerca de Internet Explorer. |
Si desea obtener la información más actual acerca del soporte de cifrado y de los requisitos de navegador, consulte el sitio Web de HTTP Server.