En los apartados siguientes se describe cómo crear e instalar los
certificados que se desean utilizar con WebSphere Business Integration
Connect.
Si su comunidad no utiliza SSL, ni usted ni sus participantes necesitan un
certificado SSL entrante o saliente.
WebSphere Application Server utiliza el certificado SSL cuando recibe
peticiones de conexión procedentes de participantes a través de SSL. Es
el certificado que el receptor presenta para identificar al concentrador ante
el participante. Este certificado de servidor puede ser auto-firmado o
puede estar firmado por una CA. En la mayoría de los casos, se
utilizará un certificado CA para mayor seguridad. Quizás podría
utilizarse un certificado auto-firmado en un entorno de prueba. Utilice
ikeyman para generar una pareja de certificado y clave. Consulte la
documentación disponible de IBM para obtener más información sobre la
utilización de ikeyman.
Tras generar la pareja de certificado y clave, utilice el certificado para
el tráfico SSL entrante de todos los participantes. Si posee múltiples
receptores o consolas, copie el almacén de claves resultante en cada
instancia. Si es un certificado auto-firmado, proporcione este
certificado a los participantes. Para obtener este certificado, utilice
ikeyman para extraer el certificado público en un archivo.
Si se dispone a utilizar certificados de servidor auto-firmados, utilice
uno de los procedimientos siguientes.
- ikeyman:
- Inicie el programa de utilidad ikeyman, que encontrará en
/raíz_instal_WBIC/router/was/bin. Si es la primera vez que utiliza
ikeyman, borre el certificado "ficticio" que reside en el almacén de
claves.
- Utilice ikeyman para generar un certificado auto-firmado y una pareja de
claves para el almacén de claves de la consola o el receptor.
- Utilice ikeyman para extraer a un archivo el certificado que contendrá la
clave pública.
- Instale el archivo pkcs12 en el almacén de claves de la consola o el
receptor para el que se creó.
- Distribuya el certificado a los participantes. El método preferente
de distribución consiste en enviar el certificado por correo electrónico en un
archivo zip protegido mediante contraseña. Los participantes deberán
llamarle y solicitarle la contraseña para el archivo zip.
- createCert.sh:
- Utilice el script createCert.sh, que encontrará en el directorio
/raíz_instal_WBIC/router/was/bin, para generar un certificado auto-firmado en
formato X.509, una clave privada en formato PKCS 8 y un archivo PKCS12
que contenga la clave privada y el certificado.
- Instale el archivo pkcs12 en el almacén de claves de la consola o el
receptor para el que se creó.
- Distribuya el certificado a los participantes. El método preferente
de distribución consiste en enviar el certificado por correo electrónico en un
archivo zip protegido mediante contraseña. Los participantes deberán
llamarle y solicitarle la contraseña para el archivo zip.
Si piensa utilizar un certificado firmado por una CA, utilice el siguiente
procedimiento.
- Inicie el programa de utilidad ikeyman, que se encuentra en el directorio
/raíz_instal_WBIC/router/was/bin.
- Utilice ikeyman para generar una petición de certificado y una pareja de
claves para el receptor.
- Envíe una Petición de firma de certificado (CSR) a la CA.
- Cuando reciba el certificado firmado de la CA, utilice ikeyman para
colocar el certificado firmado en el almacén de claves.
- Distribuya el certificado CA a todos los participantes.
Para la autenticación del cliente, emplee el procedimiento siguiente:
- Obtenga el certificado del participante.
- Instale el certificado en el almacén de confianza mediante ikeyman.
- Coloque la CA pertinente en el directorio de CA o almacén de claves
correspondiente.
Nota: Cuando se añaden participantes a la comunidad del concentrador, puede
utilizarse ikeyman para añadir sus certificados al almacén de
confianza. Si un participante abandona la comunidad, puede utilizarse
ikeyman para eliminar los certificados del participante del almacén de
confianza.
Después de instalar el certificado, configure WebSphere Application Server
de forma que emplee la autenticación de cliente ejecutando el script del
programa de utilidad bcgClientAuth.jacl.
- Navegue hasta el siguiente directorio:
/raíz_instal_WBIC/receiver/was/bin
- Para activar la autenticación de cliente, invoque el script del siguiente
modo:./wsadmin.sh -f
/raíz_instal_WBIC/receiver/scripts/bcgClientAuth.jacl -conntype NONE
set
- Para desactivar la autenticación del cliente, invoque el script del
siguiente modo:./wsadmin.sh -f
/raíz_instal_WBIC/receiver/scripts/bcgClientAuth.jacl -conntype NONE
clear
Deberá iniciar el receptor de WebSphere Application Server para que estas
modificaciones entren en vigor.
Existe una función adicional que puede utilizarse con la autenticación SSL
de cliente. Esta función se habilita mediante la consola de
comunidad. Para HTTPS, WebSphere Business Integration Connect verifica
los certificados frente a los ID de empresa en los documentos de
entrada. Para utilizar esta función, cree el perfil del participante,
importe el certificado del cliente y márquelo como SSL. Seleccione la
opción Validar certificado SSL de cliente en la pantalla Pasarela
del participante.
Si su comunidad no utiliza SSL, no necesita un certificado SSL entrante o
saliente.
Cuando se utiliza SSL para enviar documentos de salida a los participantes,
WebSphere Business Integration Connect solicita un certificado de servidor de
los participantes. Si el certificado de un participante está
auto-firmado, utilice la consola de comunidad para importarlo en el perfil del
operador del concentrador y marcarlo como certificado Raíz.
Si el certificado está firmado por una CA, sólo deberá importar el certificado
de la CA en la consola de la comunidad y marcarlo como certificado
Raíz.
Nota: El mismo certificado de CA puede utilizarse para varios participantes.
El certificado debe estar en formato X.509 DER.
Si se requiere una autenticación de cliente SSL, el participante, por su
parte, solicitará un certificado del concentrador. Utilice la consola
de la comunidad para importar su certificado a WebSphere Business Integration
Connect. Puede generar el certificado utilizando ikeyman o el script
createCert.sh. Si el certificado es un certificado
auto-firmado, deberá facilitarse al participante. Si es un certificado
firmado por una CA, deberá facilitarse el certificado raíz de la CA a los
participantes para que puedan añadirlo a sus certificados de confianza.
Si se dispone a utilizar un certificado auto-firmado, siga uno de los
procedimientos siguientes:
- ikeyman:
- Inicie el programa de utilidad ikeyman.
- Utilice ikeyman para generar un certificado auto-firmado y una pareja de
claves.
- Utilice ikeyman para extraer a un archivo el certificado que contendrá la
clave pública.
- Distribuya el certificado a los participantes. El método preferente
de distribución consiste en enviar el certificado por correo electrónico en un
archivo zip protegido mediante contraseña. Los participantes deberán
llamarle y solicitarle la contraseña para el archivo zip.
- Utilice la herramienta ikeyman para exportar la pareja certificado de
firma automática y clave privada con el formato de un archivo PKCS12.
- Instale el certificado auto-firmado y la clave mediante la consola de la
comunidad. Utilice Administración de cuentas > Perfiles >
Certificados para visualizar la página de Certificados. Asegúrese
de que ha iniciado la sesión en la consola de comunidad como operador del
concentrador. Instale el certificado en su propio perfil y márquelo
como un certificado de tipo SSL.
- createCert.sh:
- Utilice el script createCert.sh para generar un
certificado auto-firmado en formato X.509, una clave privada en formato
PKCS 8 y un archivo PKCS12 que contenga la clave privada y el
certificado.
- Instale el certificado auto-firmado y la clave mediante la consola de la
comunidad. Utilice Administración de cuentas > Perfiles >
Certificados para visualizar la página de Certificados. Asegúrese
de que ha iniciado la sesión en la consola de comunidad como operador del
concentrador. Instale el certificado en su propio perfil y márquelo
como un certificado de tipo SSL.
- Envíe su certificado auto-firmado o el certificado raíz de la CA a todos
los participantes para que puedan añadirlo como certificado de
confianza.
Si piensa utilizar un certificado firmado por una CA, utilice el siguiente
procedimiento:
- Utilice ikeyman para generar una petición de certificado y una pareja de
claves para el receptor.
- Envíe una Petición de firma de certificado (CSR) a la CA.
- Cuando reciba el certificado firmado de la CA, utilice ikeyman para
colocar el certificado firmado en el almacén de claves.
- Distribuya el certificado CA firmante a todos los participantes.
Business Integration Connect incluye una característica de Lista de
revocación de certificados (CRL). La CRL, que se emite por parte de una
autoridad de certificación (CA), identifica a los participantes que han
revocado certificados antes de la fecha de caducidad planificada. A los
participantes que han revocado certificados se les deniega el acceso a
Business Integration Connect.
En la CRL, los certificados revocados se identifican mediante el número de
serie del certificado. El administrador de documentos explora la CRL
cada 60 segundos y rechaza todos los certificados que se incluyen en la lista
CRL.
Las CRL se guardan en la siguiente ubicación: /<directorio de
datos compartidos>/security/crl. Business Integration Connect
utiliza el valor bcg.http.CRLDir en el archivo
bcg.properties para identificar la ubicación del directorio
CRL.
Cree un archivo .crl que contenga los certificados
revocados y colóquelo en el directorio CRL.
Por ejemplo, en el archivo bcg.properties, se utilizarán
las siguientes opciones:
bcg.http.CRLDir=/<directorio_datos_compartidos>/security/crl.
El administrador de documentos utiliza el certificado firmado del
participante para verificar la firma del remitente cuando se reciben
documentos. Los participantes le envían sus certificados de firma
auto-firmados en formato X.509 DER. Usted, por su parte, instala
los certificados de los participantes con ayuda de la consola de la comunidad
en el perfil del participante correspondiente.
Para instalar el certificado, utilice el procedimiento siguiente.
- Reciba el certificado de firma del participante en formato X.509
DER.
- Instale los certificados con ayuda de la consola de la comunidad bajo el
perfil del participante. Utilice Administración de cuentas >
Perfiles > Participante de comunidad y busque el perfil del
participante.Pulse Certificados, y suba el certificado como
tipo de certificado de Firma digital. No olvide habilitar y
guardar este certificado en la pantalla de confirmación.
- Si el certificado estaba firmado por una CA y todavía no se ha instalado
el certificado raíz de la CA en el perfil del operador del concentrador,
instálelo ahora. Utilice Administración de cuentas > Perfiles
> Certificados para visualizar la página de Certificados.
Asegúrese de que ha iniciado la sesión en la consola de comunidad como
operador del concentrador e instale el certificado en su propio perfil.
Nota: Si el certificado de la CA ya está instalado, no es necesario que realice el
paso anterior.
- Habilítelo en el nivel de paquete (nivel superior), participante o
conexión (nivel inferior). Su valor puede prevalecer sobre otros
valores en el nivel de conexión. El resumen de la conexión le indicará
si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante,
pulse Administración de cuentas > Conexiones de participante y
seleccione los participantes. Pulse Atributos y edite el
atributo (por ejemplo, AS firmado).
El administrador de documentos utiliza este certificado cuando envía
documentos salientes firmados a participantes. El mismo certificado y
clave se utilizan para todos los puertos y protocolos.
Si se dispone a utilizar un certificado auto-firmado, siga uno de los
procedimientos siguientes:
ikeyman:
- Inicie el programa de utilidad ikeyman.
- Utilice ikeyman para generar un certificado auto-firmado y una pareja de
claves.
- Utilice ikeyman para extraer a un archivo el certificado que contendrá la
clave pública.
- Distribuya el certificado a los participantes. El método preferente
de distribución consiste en enviar el certificado por correo electrónico en un
archivo zip protegido mediante contraseña. Los participantes deberán
llamarle y solicitarle la contraseña para el archivo zip.
- Utilice la herramienta ikeyman para exportar la pareja certificado de
firma automática y clave privada con el formato de un archivo PKCS12.
- Instale la pareja certificado auto-firmado y clave privada con el formato
de un archivo PKCS12 mediante la función de certificados de la consola de la
comunidad. Utilice Administración de cuentas > Perfiles >
Certificados para visualizar la página de Certificados. Asegúrese
de que ha iniciado la sesión en la consola de comunidad como operador del
concentrador e instale el certificado en su propio perfil. Marque el
certificado como tipo Firma digital. Asegúrese de que
habilita y guarda el certificado en la pantalla de confirmación.
createCert.sh:
- Utilice el script createCert.sh para generar un certificado
auto-firmado en formato X.509, una clave privada en formato PKCS 8 y un
archivo PKCS12 que contenga la clave privada y el certificado.
- Instale el certificado auto-firmado y la clave mediante la función de
certificados de la consola de la comunidad. Utilice Administración
de cuentas > Perfiles > Certificados para visualizar la página de
Certificados. Asegúrese de que ha iniciado la sesión en la consola de
comunidad como operador del concentrador e instale el certificado en su propio
perfil. Marque el certificado como tipo Firma
digital. Asegúrese de que habilita y guarda el certificado en la
pantalla de confirmación.
- Distribuya el certificado a los participantes. El método preferente
de distribución consiste en enviar el certificado por correo electrónico en un
archivo zip protegido mediante contraseña. Los participantes deberán
llamarle y solicitarle la contraseña para el archivo zip.
- Habilítelo en el nivel de paquete (nivel superior), participante o
conexión (nivel inferior). Su valor puede prevalecer sobre otros
valores en el nivel de conexión. El resumen de la conexión le indicará
si falta algún atributo necesario. Por ejemplo, para modificar los
atributos de conexión de un participante, pulse Administración de cuentas
> Conexiones de participante y seleccione los participantes.
Pulse Atributos y edite el atributo (por ejemplo, AS
firmado).
Si piensa utilizar un certificado firmado por una CA, utilice el siguiente
procedimiento:
- Inicie el programa de utilidad ikeyman.
- Utilice ikeyman para generar una petición de certificado y una pareja de
claves para el receptor.
- Envíe una Petición de firma de certificado (CSR) a la CA.
- Cuando reciba el certificado firmado de la CA, utilice ikeyman para
colocar el certificado firmado en el almacén de claves.
- Distribuya el certificado CA firmante a todos los participantes.
El receptor utiliza este certificado para descifrar los archivos cifrados
recibidos del participante. El receptor utiliza la clave privada para
descifrar los documentos. El cifrado se utiliza para evitar que otros
(a excepción del remitente y el destinatario) puedan ver los documentos en
tránsito.
Si se dispone a utilizar un certificado auto-firmado, siga uno de los
procedimientos siguientes:
- ikeyman:
- Inicie el programa de utilidad ikeyman.
- Utilice ikeyman para generar un certificado auto-firmado y una pareja de
claves.
- Utilice ikeyman para extraer a un archivo el certificado que contendrá la
clave pública.
- Distribuya el certificado a los participantes. Deberán importar el
archivo en su producto B2B para utilizarlo como certificado de cifrado.
Indíqueles que lo utilicen cuando deseen enviar archivos cifrados al
administrador de la comunidad. Si el certificado está firmado por una
CA, facilite también en certificado de la CA.
- Utilice la herramienta ikeyman para exportar la pareja certificado de
firma automática y clave privada con el formato de un archivo PKCS12.
- Instale la pareja certificado auto-firmado y clave privada con el formato
de un archivo PKCS12 mediante la consola de la comunidad. Utilice
Administración de cuentas > Perfiles > Certificados para
visualizar la página de Certificados. Asegúrese de que ha iniciado la
sesión en la consola de comunidad como operador del concentrador e instale el
certificado en su propio perfil. Marque el certificado como tipo
Cifrado y asegúrese de que habilita y guarda el certificado
instalado en la pantalla de confirmación.
- Habilítelo en el nivel de paquete (nivel superior), participante o
conexión (nivel inferior). Su valor puede prevalecer sobre otros
valores en el nivel de conexión. El resumen de la conexión le indicará
si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante,
pulse Administración de cuentas > Conexiones de participante y
seleccione los participantes. Pulse Atributos y edite el
atributo (por ejemplo, AS cifrado).
- createCert.sh:
- Utilice el script createCert.sh para generar un certificado
auto-firmado en formato X.509, una clave privada en formato PKCS 8 y un
archivo PKCS12 que contenga la clave privada y el certificado.
- Instale el certificado auto-firmado y la clave mediante la función de
certificados de la consola. Utilice Administración de cuentas >
Perfiles > Certificados para visualizar la página de
Certificados. Asegúrese de que ha iniciado la sesión en la consola de
comunidad como operador del concentrador e instale el certificado en su propio
perfil. Marque el certificado como tipo Cifrado.
Asegúrese de que habilita y guarda el certificado instalado en la pantalla de
confirmación.
- Distribuya el certificado a los participantes. Deberán importar el
archivo en su producto B2B para utilizarlo como certificado de cifrado.
Indíqueles que lo utilicen cuando deseen enviar archivos cifrados al
administrador de la comunidad.
- Habilítelo en el nivel de paquete (nivel superior), participante o
conexión (nivel inferior). Su valor puede prevalecer sobre otros
valores en el nivel de conexión. El resumen de la conexión le indicará
si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante,
pulse Administración de cuentas > Conexiones de participante y
seleccione los participantes. Pulse Atributos y edite el
atributo (por ejemplo, AS cifrado).
Si piensa utilizar un certificado firmado por una CA, utilice el siguiente
procedimiento:
- Inicie el programa de utilidad ikeyman.
- Utilice ikeyman para generar una petición de certificado y una pareja de
claves para el receptor.
- Envíe una Petición de firma de certificado (CSR) a la CA.
- Cuando reciba el certificado firmado de la CA, utilice ikeyman para
colocar el certificado firmado en el almacén de claves.
- Distribuya el certificado CA firmante a todos los participantes.
El certificado de cifrado saliente se utiliza cuando el concentrador envía
documentos cifrados a los participantes. Business Integration Connect
cifra los documentos con las claves públicas de los participantes y los
participantes descifran los documentos con sus claves privadas.
- Obtenga el certificado de cifrado del participante. El certificado
debe estar en formato X.509 DER.
- Instale el certificado con la función de certificados de la consola de la
comunidad. Para realizar esta tarea deberá iniciar la sesión en la
consola como operador del concentrador e instalar el certificado en el perfil
del participante. Utilice Administración de cuentas > Perfiles
> Participante de comunidad y busque el perfil del
participante. A continuación, pulse Certificados y suba el
certificado como certificado de tipo Cifrado. Asegúrese de
que habilita y guarda este certificado en la pantalla de confirmación.
- Si el certificado está firmado por una CA y no ha instalado el certificado
de la CA en el sistema, inicie la sesión en la consola como operador del
concentrador e instale este certificado en su propio perfil. Utilice
Administración de cuentas > Perfiles > Certificados para
visualizar la página de Certificados. Instale el certificado en su
propio perfil. Sólo es necesario cargar el certificado de una CA una
vez.
- Habilítelo en el nivel de paquete (nivel superior), participante o
conexión (nivel inferior). Su valor puede prevalecer sobre otros
valores en el nivel de conexión. El resumen de la conexión le indicará
si falta algún atributo necesario.
Por ejemplo, para modificar los atributos de conexión de un participante,
pulse Administración de cuentas > Conexiones de participante y
seleccione los participantes. Pulse Atributos y edite el
atributo (por ejemplo, AS cifrado).
