Uso del protocolo SSL (Secure Sockets Layer)

WebSphere Partner Gateway - Express utiliza el protocolo SSL (Secure Sockets Layer) para proteger los documentos entrantes y salientes. SSL es el protocolo utilizado comúnmente para la gestión de la seguridad en Internet. SSL proporciona conexiones seguras mediante la habilitación de dos aplicaciones enlazadas a través de una conexión de red para autenticar la identidad del otro y gracias al cifrado de los datos intercambiados entre las aplicaciones.

Una conexión SSL empieza con un reconocimiento. Durante esta etapa, las aplicaciones intercambian certificados digitales, deciden el uso de unos algoritmos de cifrado y generan claves de cifrado utilizadas para el resto de sesión.

El protocolo SSL proporciona las siguientes características de seguridad:

En las secciones siguientes, se describe cómo utilizar SSL para la autenticación de cliente y servidor entrante y la autenticación de cliente saliente.

Uso de los almacenes de claves para la autenticación de servidor entrante

Uso de almacenes de confianza para la autenticación de cliente entrante

Uso de pares de claves para la autenticación de cliente saliente

Habilitación de HTTPS

Uso de los almacenes de claves para la autenticación de servidor entrante

Desde WebSphere Partner Gateway - Express es posible generar y subir automáticamente un almacén de claves para garantizar la seguridad de los documentos entrantes a través de una conexión SSL; este almacén también puede subirse desde una ubicación externa a la aplicación. A continuación, se puede descargar el almacén de claves.

Un almacén de claves es una base de datos protegida que contiene claves y certificados. Si los participantes tienen claves y certificados y utilizan SSL, podrá utilizar la página Entrante para que el almacén de claves esté disponible. En los temas siguientes, se describe cómo utilizar los almacenes de claves para la autenticación de servidor entrante.

Generación del almacén de claves SSL autofirmado

Subida de un almacén de claves SSL

Descarga de un almacén de claves SSL

Generación del almacén de claves SSL autofirmado

En el procedimiento siguiente se describe cómo utilizar WebSphere Partner Gateway - Express para generar un almacén de claves SSL autofirmado para garantizar la seguridad de los documentos entrantes. Cuando se genera un almacén de claves autofirmado, dicho almacén se sube a WebSphere Partner Gateway - Express automáticamente.

  1. Pulse la pestaña Seguridad para mostrar la página Entrante. Si no aparece la página, pulse Entrante en la barra de navegación.
  2. Localice la fila Conexión SSL, y en la columna Generar y, a continuación, pulse el icono Generar almacén de claves SSL autofirmado. Aparece la página Entrante para Generar almacén de claves SSL autofirmado.
  3. Rellene las entradas de la página Entrante (consulte la Tabla 11).
  4. Pulse el botón Crear. Se sube el almacén de claves autofirmado y aparece en la página Entrante.
    Tabla 11. Página Entrante para el almacén de claves SSL autofirmado generado
    Parámetro Descripción

    Nombre común

    Escriba el nombre de sistema principal de servidor.

    Organización

    Escriba el nombre de la empresa del participante.

    Unidad organizativa

    Escriba el nombre del departamento donde trabaja el participante.

    Localidad

    Escriba la localidad o ciudad donde trabaja el participante.

    Estado

    Escriba el estado o provincia donde trabaja el participante.

    País

    Escriba el país donde trabaja el participante.

    Dirección de correo electrónico

    Escriba la dirección de correo electrónico del participante.

    Validez de certificado

    Escriba el número de días durante los cuales es válido el almacén de claves.

    Contraseña de almacén de claves

    Escriba la contraseña de almacén de claves.

    Contraseña de clave privada

    Escriba la contraseña de clave privada.

Subida de un almacén de claves SSL

Si tiene un almacén de claves SSL y desea subirlo a WebSphere Partner Gateway - Express, utilice el procedimiento que se indica a continuación.

  1. Pulse la pestaña Seguridad para mostrar la página Entrante. Si no se muestra la página, pulse Entrante en la barra de navegación horizontal.
  2. Localice la fila Conexión SSL, y en la columna Subir pulse el icono Añadir/actualizar certificado/clave. Aparece la página Entrante.
  3. Rellene las entradas de la página Entrante (consulte la Tabla 12).
  4. Pulse el botón Enviar. Se sube el almacén de claves y aparece en la página Entrante.
    Tabla 12. Página Entrante para el almacén de claves SSL subido
    Parámetro Descripción

    Archivo de almacenamiento de claves

    Escriba el nombre y la vía de acceso del archivo de almacenamiento de claves que desea subir. De forma alternativa, pulse el botón Examinar para seleccionar el archivo de almacenamiento de claves que desea subir.

    Contraseña de almacén de claves

    Escriba la contraseña del almacén de claves para el almacén de claves que desea subir.

    Contraseña de clave

    Escriba la contraseña de clave correspondiente al almacén de claves que desea subir.

Descarga de un almacén de claves SSL

Tras subir un almacén de claves SSL a WebSphere Partner Gateway - Express, puede utilizar el procedimiento siguiente para descargar el certificado público encapsulado en la base de datos de almacenamiento de claves.

  1. Pulse la pestaña Seguridad para mostrar la página Entrante. Si no se muestra la página, pulse Entrante en la barra de navegación horizontal.
  2. Localice la fila Conexión SSL, y en la columna Descargar pulse el icono Descargar certificado público. Aparece una página de "descarga de archivos".
    Nota:
    en función de la versión del navegador y la configuración del cortafuegos, el recuadro de diálogo podría pedirle que seleccione abrir el archivo o bien guardarlo en el disco. Si aparece dicho diálogo, seleccione la opción "guardar".
  3. Pulse Guardar (o equivalente) para mostrar el recuadro de diálogo Guardar como, seleccione la ubicación donde desee descargar el certificado y, a continuación, pulse Guardar.

Uso de almacenes de confianza para la autenticación de cliente entrante

Un almacén de confianza se utiliza para la autenticación de cliente, cuando WebSphere Partner Gateway - Express desea verificar el certificado proporcionado por el servidor. En un almacén de confianza, el sistema puede verificar si se puede confiar en un cliente y permitir el acceso del cliente al sitio.

A través del uso de la página Entrante, puede subir un almacén de confianza para la autenticación de cliente. A continuación, cuando ya no se necesita, el almacén de confianza puede suprimirse.

Si el almacén de confianza que desea subir no se ha creado, puede utilizar la keytool para crearlo. En la sección siguiente se describe este procedimiento.

Importante:
para habilitar la autenticación de cliente, primero debe ejecutar el script bcgClientAuth.jacl, que se encuentra en el directorio <dirProducto>/jaclScripts. Las instrucciones sobre cómo invocar el script se encuentran en el script propiamente dicho.

Uso de keytool

Keytool es un programa de utilidad de gestión de claves y certificados. Le permite crear claves para su uso en la auto-autenticación (donde WebSphere Partner Gateway - Express se autentica a sí mismo en relación con otras entidades y servicios) o en la integridad de datos y servicios de autenticación, utilizando firmas digitales. También le permite guardar en la memoria caché las claves públicas (en el formato de certificados) de sus colegas de comunicación.

Keytool almacena los certificados en un almacén de confianza. La implementación predeterminada del almacén de confianza implementa el almacén de claves como un archivo. Una vez que ha creado el archivo, puede utilizar el procedimiento que se describe en Subida de un almacén de confianza para la autenticación de cliente para subir el archivo a WebSphere Partner Gateway - Express.

Los procedimientos siguientes describen cómo utilizar keytool para crear un almacén de confianza, listar certificados en un almacén de confianza, añadir certificados a un almacén de confianza y suprimir certificados de un almacén de confianza. Los mandatos utilizados para llevar a cabo estos procedimientos se pueden ejecutar desde cualquier sistema que tenga Java instalado. Para su comodidad, keytool se proporciona en el directorio was\java\jre\bin del CD de WebSphere Partner Gateway - Express.

Nota:
también puede utilizar ikeyman, una GUI empaquetada con WebSphere Partner Gateway - Express que le permite gestionar certificados en un almacén de confianza. Los archivos ejecutables de ikeyman se encuentran en el directorio was\bin.
Creación de un almacén de confianza

Para crear un almacén de confianza, utilice el procedimiento siguiente.

  1. Abra una ventana de indicador de línea de mandatos y vaya al directorio donde se encuentra el archivo keytool.exe.
  2. Ejecute el mandato siguiente:
    keytool -genkey -keystore <nombre archivo almacén confianza> -storetype PKCS12
Listado de certificados en un almacén de confianza

Para listar certificados en un almacén de confianza, utilice el procedimiento siguiente.

  1. Abra una ventana de indicador de línea de mandatos y vaya al directorio donde se encuentra el archivo keytool.exe.
  2. Ejecute el mandato siguiente:
    keytool -list -v -keystore <almacén de confianza>
  3. Cuando keytool le pide que entre la contraseña de un almacén de confianza, escriba la contraseña apropiada para listar los certificados en un almacén de confianza.
Adición de un certificado a un almacén de confianza

Para añadir un certificado a un almacén de confianza, utilice el procedimiento siguiente.

  1. Abra una ventana de indicador de línea de mandatos y vaya al directorio donde se encuentra el archivo keytool.exe.
  2. Ejecute el mandato siguiente. En este mandato, la opción del alias le permite asignar un nombre al certificado que sea fácil de recordar. Así podrá identificar las entradas del almacén de confianza fácilmente cuando las liste en el futuro.
    keytool -import -keystore <almacén de confianza> -file <archivo de certificado> -trustcacerts -alias <nombre de certificado>
  3. Cuando keytool le pide que entre la contraseña del almacén de confianza, escriba la contraseña apropiada para añadir los certificados al almacén de confianza.
Eliminación de un certificado de un almacén de confianza

para eliminar un certificado de un almacén de confianza, utilice el procedimiento siguiente.

  1. Abra una ventana de indicador de línea de mandatos y vaya al directorio donde se encuentra el archivo keytool.exe.
  2. Ejecute el mandato siguiente.
    keytool -delete -alias <nombre cert> -keystore truststore
  3. Cuando keytool le pide que entre la contraseña de un almacén de confianza, escriba la contraseña apropiada para eliminar el certificado de un almacén de confianza.
Subida de un almacén de confianza para la autenticación de cliente

Después de haber creado un almacén de confianza, utilice el procedimiento siguiente para subirlo para la autenticación de cliente de documentos entrantes.

  1. Pulse la pestaña Seguridad para mostrar la página Entrante. Si no aparece la página, pulse Entrante en la barra de navegación.
  2. En el menú desplegable Participante seleccionado, seleccione el participante para el que desea subir el almacén de confianza.
  3. Localice la fila Autor. cliente, en la columna Subir, y, a continuación, pulse el icono Añadir/actualizar certificado/clave. Aparece la página Entrante para Subir almacén de confianza para la autenticación de cliente.
  4. Rellene las entradas de la página (consulte la Tabla 13).
  5. Pulse el botón Enviar. Se sube el almacén de confianza y aparece en la página Entrante.
    Tabla 13. Página Entrante para el almacén de confianza para la autenticación de cliente subido.
    Parámetro Descripción

    Archivo de almacén de confianza

    Escriba el nombre y la vía de acceso del archivo de almacén de confianza que desea subir. De forma alternativa, pulse el botón Examinar para seleccionar el archivo de almacén de confianza que desea subir.

    Contraseña de almacén de confianza

    Escriba la contraseña de almacén de confianza.

Uso de pares de claves para la autenticación de cliente saliente

Para los documentos salientes, el proceso de autenticación de cliente es donde WebSphere Partner Gateway - Express se identifica a sí mismo ante un servidor remoto. En los temas siguientes se describe cómo utilizar los pares de claves para la autenticación de cliente saliente.

Generación de un par de claves de certificado de cliente SSL autofirmado

Subida de un par de claves de autenticación de cliente

Descarga del certificado de cliente para la autenticación de cliente

Generación de un par de claves de certificado de cliente SSL autofirmado

En el procedimiento siguiente se describe cómo utilizar WebSphere Partner Gateway - Express para generar un par de claves de certificado de cliente SSL autofirmado. Al generar un par de claves de certificación de cliente SSL autofirmado, este par de claves se sube a WebSphere Partner Gateway - Express automáticamente.

  1. Pulse la pestaña Seguridad y, a continuación, pulse Saliente en la barra de navegación. Aparece la página Saliente.
  2. En el menú desplegable Participante seleccionado, seleccione el participante para el cual desee generar el par de claves autofirmado.
  3. Localice la fila Autor. cliente, y en la columna Generar, pulse el icono Generar certificado autofirmado. Aparece la página Saliente.
  4. Rellene las entradas de página Saliente (consulte la Tabla 14).
  5. Pulse el botón Crear. El par de claves autofirmado se sube y aparece en la página Saliente.
    Tabla 14. Página Saliente para Par de claves de certificado
    de cliente SSL autorfirmado
    Parámetro Descripción

    Nombre común

    Escriba el nombre de sistema principal de servidor.

    Organización

    Escriba el nombre de la empresa del participante.

    Unidad organizativa

    Escriba el nombre del departamento donde trabaja el participante.

    Localidad

    Escriba la localidad o ciudad donde trabaja el participante.

    Estado

    Escriba el estado o provincia donde trabaja el participante.

    País

    Escriba el país donde trabaja el participante.

    Dirección de correo electrónico

    Escriba la dirección de correo electrónico del participante.

    Validez de certificado

    Escriba el número de días durante los cuales es válido el par de claves.

    Contraseña de clave privada

    Escriba la contraseña de clave privada.

Subida de un par de claves de autenticación de cliente

Para subir un par de claves de autenticación de cliente que identifique este cliente ante un sistema principal remoto habilitado para SSL, utilice el procedimiento siguiente.

  1. Pulse la pestaña Seguridad y, a continuación, pulse Saliente en la barra de navegación. Aparece la página Saliente.
  2. En el menú desplegable Participante seleccionado, seleccione el participante para el cual desea subir el par de claves.
  3. Localice la fila Autor. cliente, y en la columna Subir, pulse el icono Añadir/actualizar certificado/clave. Aparece la página Saliente para Subir par de claves de certificado de cliente.
  4. Rellene sólo la entrada Certificado público de la página Saliente (consulte la Tabla 15).
  5. Pulse el botón Enviar. El par de claves se sube y aparece en la página Saliente.
    Tabla 15. Página Saliente para el par de claves de autenticación de cliente
    Parámetro Descripción

    Certificado público

    Escriba el nombre y la vía de acceso del archivo de certificado público que desee subir. De forma alternativa, pulse el botón Examinar para seleccionar el archivo de certificado público que desea subir.

Descarga del certificado de cliente para la autenticación de cliente

Tras subir un par de claves a WebSphere Partner Gateway - Express, puede utilizar el procedimiento siguiente para descargar el certificado público. Este certificado público se puede enviar por correo electrónico al socio para que lo incluya en el almacén de confianza del socio.

  1. Pulse la pestaña Seguridad y, a continuación, pulse Saliente en la barra de navegación. Aparece la página Saliente.
  2. En el menú desplegable Participante seleccionado, seleccione el participante cuyo par de claves desea descargar.
  3. Localice la fila Autor. cliente, en la columna Descargar, y, a continuación, pulse el icono Descargar certificado público. Aparece una página de "descarga de archivos".
    Nota:
    en función de la versión del navegador y la configuración del cortafuegos, el recuadro de diálogo podría pedirle que seleccione abrir el archivo o bien guardarlo en el disco. Si aparece dicho diálogo, seleccione la opción "guardar".
  4. Pulse Guardar (o equivalente) para mostrar el recuadro de diálogo Guardar como, seleccione la ubicación donde desea descargar el par de claves y pulse Guardar.

Habilitación de HTTPS

En los pasos siguientes se describe cómo habilitar HTTPS.

  1. Pulse la pestaña Configuración y, a continuación, pulse Mi perfil en la barra de navegación. Aparece la página Gestionar mi perfil.
  2. Pulse el botón Editar para abrir la página de edición de Gestionar mi perfil.
  3. En el campo Seguro (debajo de Dominio) de la sección Dirección de recepción, escriba un nombre de dominio y, a continuación, escriba un número de puerto HTTPS disponible en el campo Puerto correspondiente.
  4. Si fuera aplicable o necesario, rellene los campos que están debajo de ID de AS2 de empresa y Detalles de la empresa y, a continuación, pulse Guardar.
  5. Pulse la pestaña Configuración y, a continuación, pulse Gestionar participantes en la barra de navegación. Aparecerá la página Gestionar participantes.
  6. Pulse Editar para el participante cuyo HTTPS desea habilitar. Aparece la página Editar participante.
  7. Marque el recuadro de selección HTTPS y, a continuación, pulse Guardar.

Copyright IBM Corp. 2003, 2005