Creación e instalación de certificados

En los apartados siguientes se describe cómo crear e instalar los certificados que se desean utilizar con WebSphere Business Integration Connect.

Certificados SSL entrantes

Si su comunidad no utiliza SSL, ni usted ni sus participantes necesitan un certificado SSL entrante o saliente.

Autenticación del servidor

WebSphere Application Server utiliza el certificado SSL cuando recibe peticiones de conexión procedentes de participantes a través de SSL. Es el certificado que el receptor presenta para identificar al concentrador ante el participante. Este certificado de servidor puede ser auto-firmado o puede estar firmado por una CA. En la mayoría de los casos, se utilizará un certificado CA para mayor seguridad. Quizás podría utilizarse un certificado auto-firmado en un entorno de prueba. Utilice ikeyman para generar una pareja de certificado y clave. Consulte la documentación disponible de IBM para obtener más información sobre la utilización de ikeyman.

Tras generar la pareja de certificado y clave, utilice el certificado para el tráfico SSL entrante de todos los participantes. Si posee múltiples receptores o consolas, copie el almacén de claves resultante en cada instancia. Si es un certificado auto-firmado, proporcione este certificado a los participantes. Para obtener este certificado, utilice ikeyman para extraer el certificado público en un archivo.

Si se dispone a utilizar certificados de servidor auto-firmados, utilice uno de los procedimientos siguientes.

Si piensa utilizar un certificado firmado por una CA, utilice el siguiente procedimiento.

  1. Inicie el programa de utilidad ikeyman, que se encuentra en el directorio /raíz_instal_WBIC/router/was/bin.
  2. Utilice ikeyman para generar una petición de certificado y una pareja de claves para el receptor.
  3. Envíe una Petición de firma de certificado (CSR) a la CA.
  4. Cuando reciba el certificado firmado de la CA, utilice ikeyman para colocar el certificado firmado en el almacén de claves.
  5. Distribuya el certificado CA a todos los participantes.

Autenticación del cliente

Para la autenticación del cliente, emplee el procedimiento siguiente:

  1. Obtenga el certificado del participante.
  2. Instale el certificado en el almacén de confianza mediante ikeyman.
  3. Coloque la CA pertinente en el directorio de CA o almacén de claves correspondiente.

Nota: Cuando se añaden participantes a la comunidad del concentrador, puede utilizarse ikeyman para añadir sus certificados al almacén de confianza. Si un participante abandona la comunidad, puede utilizarse ikeyman para eliminar los certificados del participante del almacén de confianza.

Después de instalar el certificado, configure WebSphere Application Server de forma que emplee la autenticación de cliente ejecutando el script del programa de utilidad bcgClientAuth.jacl.

Deberá iniciar el receptor de WebSphere Application Server para que estas modificaciones entren en vigor.

Existe una función adicional que puede utilizarse con la autenticación SSL de cliente. Esta función se habilita mediante la consola de comunidad. Para HTTPS, WebSphere Business Integration Connect verifica los certificados frente a los ID de empresa en los documentos de entrada. Para utilizar esta función, cree el perfil del participante, importe el certificado del cliente y márquelo como SSL. Seleccione la opción Validar certificado SSL de cliente en la pantalla Pasarela del participante.

Certificado SSL de salida

Si su comunidad no utiliza SSL, no necesita un certificado SSL entrante o saliente.

Autenticación del servidor

Cuando se utiliza SSL para enviar documentos de salida a los participantes, WebSphere Business Integration Connect solicita un certificado de servidor de los participantes. Si el certificado de un participante está auto-firmado, utilice la consola de comunidad para importarlo en el perfil del operador del concentrador y marcarlo como certificado Raíz. Si el certificado está firmado por una CA, sólo deberá importar el certificado de la CA en la consola de la comunidad y marcarlo como certificado Raíz.

Nota: El mismo certificado de CA puede utilizarse para varios participantes. El certificado debe estar en formato X.509 DER.

Autenticación del cliente

Si se requiere una autenticación de cliente SSL, el participante, por su parte, solicitará un certificado del concentrador. Utilice la consola de la comunidad para importar su certificado a WebSphere Business Integration Connect. Puede generar el certificado utilizando ikeyman o el script createCert.sh. Si el certificado es un certificado auto-firmado, deberá facilitarse al participante. Si es un certificado firmado por una CA, deberá facilitarse el certificado raíz de la CA a los participantes para que puedan añadirlo a sus certificados de confianza.

Si se dispone a utilizar un certificado auto-firmado, siga uno de los procedimientos siguientes:

Si piensa utilizar un certificado firmado por una CA, utilice el siguiente procedimiento:

  1. Utilice ikeyman para generar una petición de certificado y una pareja de claves para el receptor.
  2. Envíe una Petición de firma de certificado (CSR) a la CA.
  3. Cuando reciba el certificado firmado de la CA, utilice ikeyman para colocar el certificado firmado en el almacén de claves.
  4. Distribuya el certificado CA firmante a todos los participantes.

Adición de una Lista de revocación de certificados (CRL)

Business Integration Connect incluye una característica de Lista de revocación de certificados (CRL). La CRL, que se emite por parte de una autoridad de certificación (CA), identifica a los participantes que han revocado certificados antes de la fecha de caducidad planificada. A los participantes que han revocado certificados se les deniega el acceso a Business Integration Connect.

En la CRL, los certificados revocados se identifican mediante el número de serie del certificado. El administrador de documentos explora la CRL cada 60 segundos y rechaza todos los certificados que se incluyen en la lista CRL.

Las CRL se guardan en la siguiente ubicación: /<directorio de datos compartidos>/security/crl. Business Integration Connect utiliza el valor bcg.http.CRLDir en el archivo bcg.properties para identificar la ubicación del directorio CRL.

Cree un archivo .crl que contenga los certificados revocados y colóquelo en el directorio CRL.

Por ejemplo, en el archivo bcg.properties, se utilizarán las siguientes opciones:

bcg.http.CRLDir=/<directorio_datos_compartidos>/security/crl.

Certificado de firma entrante

El administrador de documentos utiliza el certificado firmado del participante para verificar la firma del remitente cuando se reciben documentos. Los participantes le envían sus certificados de firma auto-firmados en formato X.509 DER. Usted, por su parte, instala los certificados de los participantes con ayuda de la consola de la comunidad en el perfil del participante correspondiente.

Para instalar el certificado, utilice el procedimiento siguiente.

  1. Reciba el certificado de firma del participante en formato X.509 DER.
  2. Instale los certificados con ayuda de la consola de la comunidad bajo el perfil del participante. Utilice Administración de cuentas > Perfiles > Participante de comunidad y busque el perfil del participante.Pulse Certificados, y suba el certificado como tipo de certificado de Firma digital. No olvide habilitar y guardar este certificado en la pantalla de confirmación.
  3. Si el certificado estaba firmado por una CA y todavía no se ha instalado el certificado raíz de la CA en el perfil del operador del concentrador, instálelo ahora. Utilice Administración de cuentas > Perfiles > Certificados para visualizar la página de Certificados. Asegúrese de que ha iniciado la sesión en la consola de comunidad como operador del concentrador e instale el certificado en su propio perfil.

    Nota: Si el certificado de la CA ya está instalado, no es necesario que realice el paso anterior.

  4. Habilítelo en el nivel de paquete (nivel superior), participante o conexión (nivel inferior). Su valor puede prevalecer sobre otros valores en el nivel de conexión. El resumen de la conexión le indicará si falta algún atributo necesario.

    Por ejemplo, para modificar los atributos de conexión de un participante, pulse Administración de cuentas > Conexiones de participante y seleccione los participantes. Pulse Atributos y edite el atributo (por ejemplo, AS firmado).

Certificado de forma saliente

El administrador de documentos utiliza este certificado cuando envía documentos salientes firmados a participantes. El mismo certificado y clave se utilizan para todos los puertos y protocolos.

Si se dispone a utilizar un certificado auto-firmado, siga uno de los procedimientos siguientes:

ikeyman:

  1. Inicie el programa de utilidad ikeyman.
  2. Utilice ikeyman para generar un certificado auto-firmado y una pareja de claves.
  3. Utilice ikeyman para extraer a un archivo el certificado que contendrá la clave pública.
  4. Distribuya el certificado a los participantes. El método preferente de distribución consiste en enviar el certificado por correo electrónico en un archivo zip protegido mediante contraseña. Los participantes deberán llamarle y solicitarle la contraseña para el archivo zip.
  5. Utilice la herramienta ikeyman para exportar la pareja certificado de firma automática y clave privada con el formato de un archivo PKCS12.
  6. Instale la pareja certificado auto-firmado y clave privada con el formato de un archivo PKCS12 mediante la función de certificados de la consola de la comunidad. Utilice Administración de cuentas > Perfiles > Certificados para visualizar la página de Certificados. Asegúrese de que ha iniciado la sesión en la consola de comunidad como operador del concentrador e instale el certificado en su propio perfil. Marque el certificado como tipo Firma digital. Asegúrese de que habilita y guarda el certificado en la pantalla de confirmación.

createCert.sh:

  1. Utilice el script createCert.sh para generar un certificado auto-firmado en formato X.509, una clave privada en formato PKCS 8 y un archivo PKCS12 que contenga la clave privada y el certificado.
  2. Instale el certificado auto-firmado y la clave mediante la función de certificados de la consola de la comunidad. Utilice Administración de cuentas > Perfiles > Certificados para visualizar la página de Certificados. Asegúrese de que ha iniciado la sesión en la consola de comunidad como operador del concentrador e instale el certificado en su propio perfil. Marque el certificado como tipo Firma digital. Asegúrese de que habilita y guarda el certificado en la pantalla de confirmación.
  3. Distribuya el certificado a los participantes. El método preferente de distribución consiste en enviar el certificado por correo electrónico en un archivo zip protegido mediante contraseña. Los participantes deberán llamarle y solicitarle la contraseña para el archivo zip.
  4. Habilítelo en el nivel de paquete (nivel superior), participante o conexión (nivel inferior). Su valor puede prevalecer sobre otros valores en el nivel de conexión. El resumen de la conexión le indicará si falta algún atributo necesario. Por ejemplo, para modificar los atributos de conexión de un participante, pulse Administración de cuentas > Conexiones de participante y seleccione los participantes. Pulse Atributos y edite el atributo (por ejemplo, AS firmado).

Si piensa utilizar un certificado firmado por una CA, utilice el siguiente procedimiento:

  1. Inicie el programa de utilidad ikeyman.
  2. Utilice ikeyman para generar una petición de certificado y una pareja de claves para el receptor.
  3. Envíe una Petición de firma de certificado (CSR) a la CA.
  4. Cuando reciba el certificado firmado de la CA, utilice ikeyman para colocar el certificado firmado en el almacén de claves.
  5. Distribuya el certificado CA firmante a todos los participantes.

Certificado de cifrado entrante

El receptor utiliza este certificado para descifrar los archivos cifrados recibidos del participante. El receptor utiliza la clave privada para descifrar los documentos. El cifrado se utiliza para evitar que otros (a excepción del remitente y el destinatario) puedan ver los documentos en tránsito.

Si se dispone a utilizar un certificado auto-firmado, siga uno de los procedimientos siguientes:

Si piensa utilizar un certificado firmado por una CA, utilice el siguiente procedimiento:

  1. Inicie el programa de utilidad ikeyman.
  2. Utilice ikeyman para generar una petición de certificado y una pareja de claves para el receptor.
  3. Envíe una Petición de firma de certificado (CSR) a la CA.
  4. Cuando reciba el certificado firmado de la CA, utilice ikeyman para colocar el certificado firmado en el almacén de claves.
  5. Distribuya el certificado CA firmante a todos los participantes.

Certificado de cifrado saliente

El certificado de cifrado saliente se utiliza cuando el concentrador envía documentos cifrados a los participantes. Business Integration Connect cifra los documentos con las claves públicas de los participantes y los participantes descifran los documentos con sus claves privadas.

  1. Obtenga el certificado de cifrado del participante. El certificado debe estar en formato X.509 DER.
  2. Instale el certificado con la función de certificados de la consola de la comunidad. Para realizar esta tarea deberá iniciar la sesión en la consola como operador del concentrador e instalar el certificado en el perfil del participante. Utilice Administración de cuentas > Perfiles > Participante de comunidad y busque el perfil del participante. A continuación, pulse Certificados y suba el certificado como certificado de tipo Cifrado. Asegúrese de que habilita y guarda este certificado en la pantalla de confirmación.
  3. Si el certificado está firmado por una CA y no ha instalado el certificado de la CA en el sistema, inicie la sesión en la consola como operador del concentrador e instale este certificado en su propio perfil. Utilice Administración de cuentas > Perfiles > Certificados para visualizar la página de Certificados. Instale el certificado en su propio perfil. Sólo es necesario cargar el certificado de una CA una vez.
  4. Habilítelo en el nivel de paquete (nivel superior), participante o conexión (nivel inferior). Su valor puede prevalecer sobre otros valores en el nivel de conexión. El resumen de la conexión le indicará si falta algún atributo necesario.

    Por ejemplo, para modificar los atributos de conexión de un participante, pulse Administración de cuentas > Conexiones de participante y seleccione los participantes. Pulse Atributos y edite el atributo (por ejemplo, AS cifrado).

Copyright IBM Corp. 1997, 2004