Para habilitar la comunicación SSL para el perfil Liberty, hay un conjunto mínimo de opciones de configuración SSL. Se asumen la mayoría de las opciones SSL
y solo se requiere alguna información de configuración de almacén de claves.
Acerca de esta tarea
La autenticación de cliente SSL se produce durante el reconocimiento
de la conexión utilizando certificados SSL. El reconocimiento SSL
es una serie de mensajes intercambiados mediante el protocolo SSL
para negociar una protección de una conexión específica. Durante el reconocimiento, el servidor seguro solicita al cliente que le envíe un
certificado o una cadena de certificados para realizar la autenticación. Para habilitar SSL para el perfil
Liberty, añada la característica Liberty ssl-1.0 al archivo del documento raíz de configuración, server.xml, junto con el código de información del almacén de claves para su autenticación.
De forma predeterminada, la vía de acceso y el nombre del archivo de documento raíz de configuración es vía_acceso_a_liberty/wlp/usr/servers/nombre_servidor/server.xml. vía_acceso_a_liberty es la ubicación donde ha instalado Liberty en su sistema operativo y nombre_servidor es el nombre del servidor. Sin embargo, puede cambiar la vía de acceso. Consulte
Personalización del entorno del perfil Liberty. ![[Actualizado en mayo de 2014]](../deltaend.gif)
- Habilite la característica de Liberty ssl-1.0 en el archivo server.xml.
<featureManager>
<feature>ssl-1.0</feature>
</featureManager>
Nota: Si la seguridad de las aplicaciones es necesaria y la información de seguridad se redirige a un puerto seguro, debe añadir la característica de Liberty appSecurity-2.0 al archivo server.xml.
- Añada la entrada de objeto de servicio de almacén de claves al archivo server.xml.
El elemento keyStore se llama defaultKeyStore y
contiene la contraseña de almacén de claves. La contraseña
se puede especificar en formato de texto simple o en formato codificado.
Se puede utilizar la opción securityUtility
encode para codificar la contraseña.
<keyStore id="defaultKeyStore" password="yourPassword" />
Esta configuración es lo mínimo necesario para crear una configuración SSL. En esta configuración, el servidor crea el almacén de claves y el certificado si no existe durante la inicialización de SSL. La contraseña que se proporciona debe ser de al menos 6 caracteres de longitud. El almacén de claves se supone que es un almacén de claves JKS que se denomina key.jks en el directorio home/resources/security del servidor. Si el archivo no existe en el servidor, se creará. Si el servidor crea el archivo de almacén de claves, también creará el certificado dentro del mismo. El certificado es un certificado firmado automáticamente con una validez de un período de 365 días, el valor CN de subjectDN del certificado es el nombre de host de la máquina donde se está ejecutando el servidor y tiene un algoritmo de firma de SHA1withRSA.
Nota: Los certificados que crean el servidor Liberty no están pensados para utilizarse en producción. Se crean como conveniencia del desarrollador. Los certificados que se utilizan en producción deben ser certificados encadenados correctamente emitidos o firmados por una autoridad certificadora de confianza. Si desea utilizar certificados autofirmados con una duración mayor o un valor subjectDN personalizado, se pueden crear mediante la tarea securityUtility createSSLCertificate.
Un ejemplo de un conjunto de claves SAF en la configuración mínima:
<keyStore id="defaultKeyStore" location="safkeyring:///WASKeyring"
type="JCERACFKS" password="password" fileBased="false"
readOnly="true" />
El conjunto de claves RACF se debe configurar antes de hacerlo para que lo utilice el servidor
Liberty. El servidor no creará certificados y los añadirá en RACF.
La entrada de almacén de claves única para una configuración SSL se puede
ampliar para incluir la ubicación y el tipo también.
<keyStore id="defaultKeyStore" location="myKeyStore.p12" password="yourPassword" type="PKCS12" />
El parámetro
location puede ser una vía de acceso absoluta al archivo de almacén de claves. Si se trata de una
vía de acceso absoluta, se supone que el archivo de almacén de claves ya se ha creado.
También se pueden especificar otros tipos de almacenes de claves en la configuración SSL mínima si el almacén de archivo ya se ha creado. Cuando se utiliza la configuración
SSL mínima, se utilizan los valores predeterminados de la configuración SSL para crear el
contexto SSL para un reconocimiento SSL. El protocolo de configuración
es SSL_TLS de forma predeterminada. Se pueden utilizar los cifrados HIGH, de 128 bits, y suites de cifrado superiores.