Este apartado proporciona un resumen general de los tipos de seguridad, las herramientas que se utilizan para generar y subir certificados y los tipos de almacenes de datos instalados por WebSphere Partner Gateway.
En este apartado se proporciona información sobre SSL, firmas digitales y cifrado.
WebSphere Partner Gateway puede utilizar SSL para asegurar los documentos entrantes y salientes. Un documento entrante es un documento que se envía al concentrador. Un documento saliente es un documento que se envía desde el concentrador.
SSL es un protocolo utilizado frecuentemente para gestionar la seguridad a través de Internet. SSL proporciona conexiones seguras permitiendo que dos aplicaciones enlazadas a través de una conexión de red autentiquen sus identidades y garanticen la confidencialidad e integridad de los datos.
Una conexión SSL basada en HTTP siempre la inicia el cliente con un URL que empieza por https:// en lugar de http://. Una conexión SSL empieza con un reconocimiento. Durante esta fase, las aplicaciones intercambian certificados digitales, acuerdan los algoritmos de cifrado que utilizarán y generan las claves de cifrado que se utilizarán para el resto de la sesión.
Un protocolo SSL proporciona las siguientes características de seguridad:
La firma digital es el mecanismo para garantizar que no se produce ningún rechazo. La ausencia de rechazos significa que un participante no puede negar haber originado y enviado un mensaje. También garantiza que el participante no puede negar que ha recibido un mensaje.
Una firma digital permite al autor firmar un mensaje de forma que pueda identificársele como la persona que ha enviado realmente el mensaje. También garantiza que el mensaje no ha sido modificado desde que se firmó.
WebSphere Partner Gateway da soporte a formatos de firmas digitales separadas SignedData de PKCS#7 de acuerdo a los protocolos de empresa.
WebSphere Partner Gateway utiliza un sistema de cifrado conocido como cifrado de clave pública para garantizar la comunicación entre los participantes y el concentrador. El cifrado de clave pública utiliza una pareja de claves relacionadas matemáticamente. Un documento cifrado con la primera clave debe descifrarse con el segundo, y un documento cifrado con la segunda clave debe descifrarse con la primera.
Cada participante en un sistema de claves públicas tiene una pareja de claves. Una de las claves, la clave privada, se mantiene en secreto; es la clave privada. La otra clave se distribuye al que lo solicite; ésta es la clave pública. WebSphere Partner Gateway utiliza la clave pública de un participante para cifrar un documento. La clave privada se utiliza para descifrar un documento.
Tal como se describe en los apartados siguientes, la herramienta de gestión de claves de IBM (iKeyman) se utilizará para crear bases de datos de claves, parejas de claves públicas y privadas, y peticiones de certificados. También puede utilizar iKeyman para crear certificados auto-firmados. El programa de utilidad iKeyman se incluye en el directorio /<DirProducto>/was/bin, que WebSphere Partner Gateway crea durante la instalación.
También puede utilizarse iKeyman para generar una petición de un certificado para una autoridad certificadora (CA).
La consola de comunidad se utiliza para instalar todos los certificados necesarios de cifrado, cliente y firma para el almacenamiento de WebSphere Partner Gateway. También puede utilizarse la consola de comunidad para instalar certificados raíz e intermediarios de la CA (autoridad certificadora).
Al instalar WebSphere Partner Gateway, se instalan un almacén de claves y un almacén de confianza para el receptor y la consola.
De manera predeterminada, los dos almacenes de claves y dos almacenes de confianza se crean en el directorio <DirProducto>/common/security/keystore. Los nombres son:
La contraseña predeterminada para acceder a los cuatro almacenes es WebAS. El servidor de aplicaciones WebSphere incorporado se configura para utilizar estos cuatro almacenes. Puede utilizar el programa de utilidad iKeyman para cambiar la contraseña. De forma alternativa, puede utilizar el siguiente mandato UNIX para modificar la contraseña del archivo de almacén de claves:
/<DirProducto>/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
Si se modifican las contraseñas del almacén de claves, también deberá cambiarse la configuración de las instancias del servidor de aplicaciones WebSphere. Para ello se utilizará el script bcgChgPassword.jacl. Para la instancia de la consola, navegue al directorio siguiente:
/<DirProducto>/bin
y ejecute el siguiente mandato:
./bcgwsadmin.sh -f /<DirProducto>/scripts/
bcgChgPassword.jacl -conntype NONE
Repita este mandato para las instancias de WebSphere Application Server del receptor y el gestor de documentos.
Se le solicitará la nueva contraseña.
Cuando venza un certificado de un almacén de confianza, deberá añadir un certificado nuevo para sustituirlo mediante el procedimiento siguiente:
Este tipo de datos debe coincidir con el tipo de datos del certificado de importación.
Una cadena de certificados está formada por el certificado de un participante y todos los certificados utilizados para autenticar el certificado del participante. Por ejemplo, si se ha utilizado una CA para crear el certificado del participante, es posible que dicha CA la haya certificado otra CA. La cadena de confianza empieza en la CA raíz (el ancla de confianza). El certificado digital de la CA raíz es autofirmado; es decir, la autoridad certificadora utiliza su propia clave privada para firmar el certificado digital. Todos los certificados entre el ancla de confianza y el certificado del participante (certificado de destino) son certificados intermedios.
Para todos los certificados emitidos por CA, deben añadirse todos los certificados de la cadena. Por ejemplo, en una cadena de certificados en la que A (el ancla de confianza) es el emisor de B y B es el emisor de C (certificado de destino), los certificados A y B deben subirse como certificados de CA.
WebSphere Partner Gateway trata todos los certificados autofirmados como anclas de confianza. El certificado autofirmado puede ser de una autoridad certificadora (CA) o puede ser un certificado autofirmado generado por el participante.
Puede crear más de un certificado de un tipo concreto y designar uno como certificado primario y otro como certificado secundario. Si el certificado primario caduca o no se puede utilizar, WebSphere Partner Gateway pasa a usar el certificado secundario. Especifique en la consola de comunidad cuál es el certificado es el primario y cuál es el secundario.
La capacidad de proporcionar certificados primario y secundario están disponible para los siguientes certificados:
Tenga en cuenta las siguientes restricciones importantes en el uso de certificados de cifrado. Java Runtime Environment (JRE) que se entrega con WebSphere Partner Gateway impone limitaciones respecto a los algoritmos criptográficos y la máxima complejidad criptográfica que se puede utilizar. Por ejemplo, una política restringida especifica límites en la longitud permitida y, como resultado, la complejidad de las claves de cifrado. Estas restricciones se especifican en archivos denominados archivos de política de jurisdicción. La longitud máxima permitida es de 2048 bytes. Si desea dar soporte a certificados con un tamaño de clave mayor que 2048 bytes, utilice la versión de complejidad sin restricción o sin límite de los archivos de política de jurisdicción. Puede especificar que desea utilizar una política sin restricciones más enérgica instalando nuevos archivos de política en un subdirectorio del JRE instalado. También existen limitaciones de cifrado sobre algoritmos de claves simétricas, como DES3. Si necesita un algoritmo de claves simétricas fuerte, si sustituye los archivos de política también se eliminarán las restricciones para las claves simétricas.
Para instalar los archivos de política de jurisdicción ilimitada en WebSphere Partner Gateway, realice los pasos siguientes:
Estos pasos se aplican a todas las instancias configuradas de WebSphere Application Server.