Utilización del programa de utilidad CA de HTTP Server

  • Visión general de las opciones de la autoridad de certificación
  • Antes de empezar
  • Instalar WebSphere Application Server
  • Asegurarse de que los tipos MIME necesarios se encuentren en el archivo de configuración del servidor
  • Crear certificados y bases de datos de claves mediante IKEYMAN
  • Copiar el certificado y la base de datos de claves de CA en el directorio del programa de utilidad CA
  • Exportar la base de datos de claves de CA en el programa de utilidad CA
  • Acceso al programa de utilidad CA de HTTP Server
  • Utilización de CA de HTTP Server para procesar certificados de cliente y servidor
  • Visión general del proceso de CA
  • Tareas del administrador
  • Exportación de la base de datos de claves de CA
  • Proceso de una petición de certificado
  • Tareas del usuario
  • Bajar un certificado de CA a un navegador de Web
  • Petición de un certificado de navegador
  • Recepción de un certificado de navegador aprobado
  • Tareas del administrador de web
  • Bajar un certificado de CA para otro servidor
  • Petición de un certificado de servidor
  • Recepción de un certificado de servidor aprobado
  • Información relacionada
  • Visión general de las opciones de la autoridad de certificación

    Para manejar una empresa comercial en Internet, es recomendable la adquisición de un certificado de servidor seguro de una autoridad de certificación (CA) externa como por ejemplo VeriSign. Si desea obtener una lista de CA soportadas, consulte Autoridades de certificación.

    Si actúa como su propia CA, puede firmar sus propias peticiones de certificados o las de cualquier otra persona. Es una buena opción si sólo necesita los certificados dentro de su propia red de Web privada y no para el comercio de Internet externo. Los clientes deben tener navegadores, como por ejemplo Netscape Navigator o Microsoft Internet Explorer, que puedan recibir el certificado de CA y designarle como CA fiable.

    Para actuar como su propia CA, puede utilizar los programas de utilidad de gestión de claves del servidor (IKEYMAN y CA de HTTP Server) o puede adquirir el software de autoridad de certificación en un proveedor de CA.

    Nota: Si tiene previsto administrar más de 250 certificados, tenga en cuenta la adquisición de software de un proveedor de CA. Este límite se basa en el número de peticiones de certificados que se pueden almacenar en la base de datos de claves de CA. Después de almacenar 250 peticiones de certificados, el rendimiento del programa de utilidad es muy lento.

    Antes de empezar

    Instalar WebSphere Application Server

    Antes de utilizar la CA de HTTP Server, es necesario instalar WebSphere Application Server como mecanismo servlet.

    Si desea ver instrucciones de instalación, consulte WebSphere Application Server Getting Started V2. Se puede acceder a este libro y a más documentación de Application Server en el sitio Web de WebSphere Application Server.

    Asegurarse de que los tipos MIME necesarios se encuentren en el archivo de configuración del servidor

    Para que los certificados de cliente se bajen correctamente, deben incluirse las siguientes directivas AddType y tipos MIME en el archivo de configuración del servidor:

    AddType .cer application/x-x509-user-cert 7bit   0.5 #Certificado de usuario
    AddType .der application/x-x509-ca-cert   binary 1.0 #Certificado CA de navegador
    

    Estos tipos MIME se incluyen en el archivo de configuración del servidor por omisión.

    Crear certificados y bases de datos de claves mediante IKEYMAN

    Antes de utilizar el programa de utilidad CA, cree las bases de datos de claves de CA, el certificado del servidor y el certificado de CA autofirmado mediante IKEYMAN. Para obtener direcciones, consulte Creación de un certificado autofirmado.

    Nota: Como Administrador, puede optar por que las peticiones de certificados de CA se procesen automáticamente después de ser enviadas. El proceso automático elimina la necesidad de procesar manualmente cada petición de certificado. Si desea el proceso automático, cree un archivo de almacenamiento para la contraseña de la base de datos de claves de CA cuando configure la base de datos de claves de CA mediante IKEYMAN.

    Copiar el certificado y la base de datos de claves de CA en el directorio del programa de utilidad CA

    Después de crear la base de datos de claves de CA y el certificado de CA autofirmado, copie el archivo cakey.kdb en el directorio del programa de utilidad CA.

    Opcionalmente se puede almacenar la contraseña de la base de datos de claves de CA en un archivo de almacenamiento. Si el archivo de almacenamiento está en el mismo directorio que el archivo de base de datos de claves de CA (cakey.kdb), todos los certificados que se envían para ser firmados por el programa de utilidad CA se aprobarán automáticamente. Si crea un archivo de almacenamiento (cakey.sth), copie dicho archivo al mismo directorio que el archivo cakey.kdb.

    Exportar la base de datos de claves de CA al programa de utilidad CA

    Se debe exportar el archivo cakey.kdb del servidor al programa de utilidad CA en un formado que clientes y servidores puedan utilizar. Si desea ver instrucciones detalladas, consulte Exportar la base de datos de claves de CA.

    Acceso al programa de utilidad CA de HTTP Server

    Para acceder al programa de utilidad CA de HTTP Server, vaya al URL:

     http://nombre.servidor/CAServlet/Welcome.html
    

    Utilización de CA de HTTP Server para procesar certificados de clientes y servidores

    Visión general del proceso de CA

    La tarea de CA consiste en verificar si se debe emitir un certificado para un cliente o servidor. Es necesario asegurarse de que la persona que efectúa la petición tenga un derecho legítimo para solicitar el certificado. Después de verificar la petición de una persona, se pueden crear certificados firmados mediante la CA de HTTP Server.

    La entrada de este proceso es una petición de certificado de un cliente o servidor. La salida será un certificado firmado con su clave privada.

    Después de procesar el certificado del cliente o servidor:

    1. Notificará al cliente o servidor que baje el certificado de CA. Se muestran los pasos detallados en Bajar un certificado de CA a un navegador de Web y en Bajar un certificado de CA para otro servidor.

    2. Se notificará al cliente o servidor que baje el certificado que le ha firmado (certificado firmado por CA) y lo reciba en su base de datos de claves de operaciones de cliente o servidor. Se muestran los pasos detallados en Recepción de un certificado de navegador aprobado y Recepción de un certificado de servidor aprobado.

    Después de completar estos pasos, el cliente o el servidor pueden utilizar su certificado firmado por CA para comunicarse de forma segura con otros servidores HTTP y navegadores de Web en la red de Web privada.

    Tareas del administrador

    Exportar la base de datos de claves de CA

    Utilice estos pasos para exportar la base de datos de claves de CA (cakey.kdb) en el servidor en un formato que navegadores y servidores puedan utilizar. No es necesario repetir estos pasos después de la configuración inicial de la autoridad de certificación.

    Nota: Es necesario crear el archivo cakey.kdb mediante IKEYMAN para utilizar el programa de utilidad CA. Para obtener direcciones, consulte Creación de un certificado autofirmado.

    Para exportar el archivo de base de datos de CA para navegadores y servidores:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Desde la primera página del programa de utilidad, pulse Administration para acceder a la página Administration Tasks.

    3. Seleccione Export CA keys for browsers y entre la contraseña de la base de datos de claves de CA.

    4. Pulse Process Now. Esto crea un archivo llamado cakey.der. Deberá obtener un mensaje que confirme que la clave de CA se ha exportado satisfactoriamente.

    5. En la página Administration Tasks, seleccione Export CA keys for servers y entre la contraseña de la base de datos de claves de CA.

    6. Pulse Process Now. Esto creará un archivo llamado cakey.txt. Deberá obtener un mensaje que confirme que la clave de CA se ha exportado satisfactoriamente.

    Proceso de una petición de certificado

    Notas:

    1. Si ha creado un archivo de almacenamiento para la contraseña de base de datos de claves de CA (cakey.sth), todas las peticiones de certificados de navegadores y servidores se aprobarán automáticamente.

    2. Asegúrese de que las peticiones de certificados se procesen a través de una conexión segura.

    Para procesar peticiones de certificados de navegadores y servidores:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Desde la primera página del programa de utilidad, pulse Administration para acceder a la página Administration Tasks.

    3. Seleccione Process pending requests o Process all requests y luego pulse Process Now.

      Si hay peticiones en espera:

      Se pueden efectuar acciones en una o varias peticiones.

    4. Pulse Process. Deberá obtener un mensaje que confirme que la base de datos de certificados se ha actualizado satisfactoriamente.

    Si desea ver instrucciones más detalladas, pulse Help.

    Tareas del usuario

    Bajar un certificado de CA a un navegador de Web

    Para poder aceptar un certificado de navegador firmado por la CA de HTTP Server, es necesario primero bajar el certificado de CA que identifica a la CA de HTTP Server como autoridad de certificación fiable ante el navegador.

    Para bajar un certificado de CA:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Browser Certificates, pulse Download CA certificate from the Webserver.

    3. Siga las instrucciones para bajar el archivo cakey.der a la estación de trabajo.

    Después de bajar el certificado de CA, designe el certificado como fiable para el navegador y marque el certificado como valor por omisión en la base de datos de claves de operaciones. Cuando el certificado de CA se haya designado como CA fiable para el navegador, no será necesario realizar de nuevo este procedimiento.

    Petición de un certificado de navegador

    Utilice los pasos siguientes para solicitar un certificado de navegador por parte de la CA de la red privada:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Browser Certificates, pulse Request a browser certificate.

    3. En el campo Common Name, especifique un nombre de su elección. Anote este nombre porque lo necesitará más adelante cuando reciba el certificado firmado.

    4. Entre la contraseña en el campo Challenge Phrase. Será necesario especificar esta contraseña más adelante cuando baje el certificado aprobado.

    5. Complete todos los campos necesarios. Si desea obtener información adicional, pulse Help.

    6. Pulse Submit Requests para enviar el formulario completado a la CA para la aprobación. El proceso de generación de una clave privada se iniciará en el navegador. Esta clave privada se utilizará con el certificado que está solicitando.

    7. Pulse OK en el navegador para crear la clave privada.

    Dependiendo de la configuración del Administrador, la petición se aprobará automáticamente o después de que el Administrador la haya revisado. Si se produce la aprobación automática, no obtendrá ningún mensaje que confirme que se ha aprobado la petición. Puede ir directamente a Recibir un certificado de navegador aprobado y completar dicho procedimiento.

    Si el Administrador ha configurado la aprobación manual, recibirá un mensaje confirmando que se ha aceptado la petición de certificado. Pregunte al Administrador cuándo se procesará la aprobación. Los certificados aprobados se envían al directorio de base de datos de CA de HTTP Server.

    Recepción de un certificado de navegador aprobado

    Para recibir un certificado de navegador aprobado, es necesario bajar el certificado de CA (cakey.der). Si desea obtener instrucciones, consulte Bajar un certificado de CA a un navegador de Web.

    Siga los pasos siguientes para recibir un certificado de navegador firmado por CA:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Browser Certificates, pulse Receive the approved certificate.

    3. Entre el nombre común (Common Name) que haya especificado en el formulario de petición del certificado.
      Nota:Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado el nombre común incorrectamente. Si ha olvidado el nombre común que ha entrado, consulte con el Administrador.

    4. Entre la contraseña en el campo Challenge Phrase y luego pulse Submit Request.
      Nota:Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado la contraseña incorrectamente. Si ha olvidado la contraseña, consulte con el Administrador.

    5. Si se encuentra el certificado, visualizará la página Download Certificate y podrá bajar el certificado. Para iniciar el proceso, pulse Click here to download your certificate.

      Si no se encuentra, consulte con el Administrador de CA para saber cuándo se procesará el certificado.

    6. Después de recibir el certificado aprobado, el navegador será fiable para otros clientes y servidores de la red privada.

    Tareas del administrador de web

    Bajar un certificado de CA para otro servidor

    Para procesar cualquier certificado firmado de CA de HTTP Server en otro servidor webWeb, primero deberá almacenar el certificado de CA de HTTP Server en la base de datos de claves de operaciones del servidor webWeb de destino.

    Para bajar un certificado de CA para otro servidor:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Server Certificates, pulse Download CA certificate from the Webserver. Se visualiza el archivo cakey.txt.

    3. Para importar la clave de CA, cree un archivo *.txt en el sistema y luego copie el archivo del certificado (cakey.txt) al área común o portapapeles.

    4. Pegue el archivo del certificado del área común al nuevo archivo *.txt que ha creado.

    5. Almacene este certificado de CA (archivo *.txt) en la base de datos de claves de operaciones del servidor webWeb de destino mediante IKEYMAN. Si desea obtener instrucciones detalladas, consulte Almacenamiento de un certificado de CA.

    Petición de un certificado de servidor

    Utilice los pasos siguientes para solicitar un certificado de servidor de la CA de la red privada:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Server Certificates, pulse Request a server certificate. Aparecerá el formulario Server Certificate Request.

      Utilice este formulario para enviar una petición de certificado de servidor a la CA de la red privada de modo que este HTTP Server sea fiable para los navegadores y otros HTTP Server de la red. Si hay otros servidores de Web en la red, se puede realizar esta tarea de parte de los servidores de Web remotos.

    3. En el campo Server Name, especifique un nombre de servidor de su elección. Anote este nombre porque lo necesitará más adelante cuando baje el certificado aprobado.

    4. En el campo Organization, especifique un nombre de organización de su elección.

    5. Entre la contraseña en el campo Challenge Phrase. Será necesario especificar esta contraseña más adelante cuando baje el certificado aprobado.

    6. Complete todos los campos necesarios. Si desea obtener información adicional, pulse Help.

    7. Examine el archivo de petición de certificado de operaciones del servidor webWeb (*.arm).
      PREGUNTA: ¿CÓMO SE EXAMINA ESTE ARCHIVO EN LA ESTACIÓN DE TRABAJO?
      
      Cuando visualice el archivo *.arm en la pantalla, copie el contenido de este archivo al área común. Luego vaya al servidor webWeb y pegue este archivo a la sección del formulario que dice: Please copy your certificate requests into the following area. Debe pegar el archivo de petición de certificado de operaciones (*.arm) en este espacio. Este es el archivo que se envía a la CA de HTTP Server para ser firmado.

    8. Pulse Submit Requests para enviar el formulario completado a la CA para la aprobación.

    9. Si el administrador de CA ha configurado la aprobación automática, pulse la opción Click here to download your certificate para iniciar el proceso. Si se produce la aprobación automática, no obtendrá ningún mensaje que confirme que se ha aprobado la petición. Puede ir directamente a Recibir un certificado de navegador aprobado y completar este procedimiento.

      Si el administrador de CA ha configurado la aprobación manual, deberá recibir un mensaje en el navegador que confirme que se ha aceptado la petición de certificado.

    Recepción de un certificado de servidor aprobado

    Para recibir un certificado de servidor aprobado, deberá bajar el certificado de CA (cakey.txt). Si desea obtener instrucciones, consulte Bajar un certificado de CA para otro servidor.

    Utilice los pasos siguientes para recibir un certificado de servidor firmado por CA:

    1. Vaya al URL:
      http://nombre.servidor/CAServlet/Welcome.html
      

    2. Bajo Server Certificates, pulse Receive the approved certificate.

    3. Entre el nombre de servidor (Server Name) que haya especificado en el formulario de petición del certificado.
      Nota:Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado el nombre de servidor incorrectamente. Si ha olvidado el nombre de servidor que ha entrado, consulte con el Administrador.

    4. Entre la contraseña en el campo Challenge Phrase y luego pulse Submit Request.
      Nota:Si obtiene un mensaje que indica que no se ha encontrado ningún registro, puede que haya entrado la contraseña incorrectamente. Si ha olvidado la contraseña, consulte con el Administrador.

    5. Si se encuentra el certificado, visualizará la página Download Certificate y podrá bajar el certificado. Para iniciar el proceso, pulse Click here to download your certificate.

      Si no se encuentra, consulte con el Administrador de CA para saber cuándo se procesará el certificado.

    6. Después de haber completdo el proceso de bajada, se visualizará un archivo de petición de certificado firmado en el navegador de Web. Utilice la función de copiar y pegar para copiar este archivo al área común. Pegue el certificado firmado en el archivo *.cert del servidor.

    7. Reciba el certificado firmado en la base de datos de claves de operaciones del servidor (*.kdb) mediante IKEYMAN. Si desea obtener instrucciones detalladas, consulte Recepción de un certificado firmado por una CA fiable.

    8. Después de recibir el certificado aprobado, el servidor será fiable para los demás servidores HTTP y navegadores de Web de la red privada.

    Información relacionada

    Notas:

    1. Si utiliza listas de revocación de certificados (CRL) para la autentificación de clientes, es necesario adquirir el software de CA en IBM Registry y emitir sus propios certificados.

    2. Los bancos e instituciones financieras tienen la opción de adquirir un certificado digital especial que permite a las ediciones de exportación del servidor la utilización de niveles de cifrado de 128 bits o más. Si desea obtener más información, consulte Opción de cifrado más potente para los servidores de Web de bancos y entidades financieras.

    Opción de cifrado más potente para los servidores de Web de bancos y entidades financieras

    Cuando se designa como servidor webWeb de banco o entidad financiera, la edición norteamericana de HTTP Server puede explotar las posibilidades de cifrado potente en las versiones doméstica e internacional de Netscape Navigator 4.x y Microsoft Internet Explorer 4.x. Para utilizar esta función, debe adquirir un certificado digital especial de VeriSign llamado ID de servidor global.

    Para transacciones de Web corrientes, los navegadores de exportación de Netscape y Microsoft pueden utilizar el cifrado de 40 bits sólo para transacciones de Capa de sockets de seguridad (SSL). Sin embargo, cuando el servidor utiliza un ID de servidor global de VeriSign para el certificado SSL, los navegadores de exportación pueden utilizar niveles más potentes de cifrado de 128 bits o más. Esto permite a un servidor con ID de servidor global la comunicación al nivel más elevado de cifrado de SSL con las versiones doméstica e internacional de los navegadores de Netscape y Microsoft.

    Los clientes de HTTP Server de bancos y entidades financieras internacionales que deseen utilizar esta función deben ponerse en contacto con IBM para obtener una licencia de exportación para obtener y utilizar la edición norteamericana de HTTP Server.

    Requisitos de URL y certificados

    Para que un navegador de exportación establezca una conexión SSL utilizando el cifrado de 128 bits:

    Requisitos de navegador


    Tabla 2. Requisitos de navegador del ID de servidor global

    Navegador Doméstica Exportación
    Netscape Navigator Todas las versiones funcionan cuando se cumplen todos los requisitos que se listan en el apartado Requisitos de URL y certificados. La versión 4.04 es la única versión que da soporte al cifrado de 128 bits.
    Internet Explorer Todas las versiones funcionan cuando se cumplen todos los requisitos que se listan en el apartado Requisitos de URL y certificados. La versión 4.0, actualización 4.72.3110.8, es la única versión que da soporte al cifrado de 128 bits. Para verificar el número de actualización, pulse Ayuda y luego Acerca de Internet Explorer.

    Si desea obtener la información más actual acerca del soporte de cifrado y de los requisitos de navegador, consulte el sitio Web de HTTP Server.

    Principio de página