[8.5.5.4 o posterior]

Generación de claves SSL de controlador de colectivo

Puede utilizar el mandato genKey del programa de utilidad de colectivo para generar un almacén de claves en formato de almacén de claves Java™ (JKS). El almacén de claves contiene un certificado personal que permite la comunicación de la capa de sockets seguros (SSL) con el controlador de colectivo.

Antes de empezar

Cree un controlador de colectivo. Consulte Configuración de un colectivo de Liberty.

Acerca de esta tarea

Las conexiones JMX remotas a un controlador de colectivo utilizan SSL y requieren claves SSL adecuadas. El mandato genKey del programa de utilidad de colectivo genera un almacén de claves que contiene un certificado personal en el que confía el controlador de colectivo. El almacén de claves generado también incluye un certificado de firmante público para que pueda funcionar como un almacén de confianza.

En el caso de una máquina virtual Java (JVM), como por ejemplo un servidor miembro de colectivo o un servidor no Liberty, para conectarse a un controlador de colectivo, la JVM debe tener un almacén de claves que contenga una clave en la que confíe el controlador de colectivo. El mandato genKey genera este almacén de claves. Una vez que JVM tiene el almacén de claves, la JVM puede conectarse al controlador de colectivo y éste puede devolver su clave. Este retorno de la clave del controlador de colectivo a la JVM se denomina reconocimiento SSL.

Para que la JVM añada la clave del controlador de colectivo al almacén de confianza de la JVM, la propiedad com.ibm.websphere.collective.utility.autoAcceptCertificates de JVM debe establecerse en true. Si la propiedad de JVM no se ha establecido, se solicitará al usuario que añada la clave al almacén de confianza. El Paso 1 del procedimiento muestra cómo establecer la propiedad de JVM y añadir la clave automáticamente al almacén de confianza sin solicitud.

Procedimiento

  1. Para que los certificados SSL sean automáticamente de confianza, establezca la propiedad de JVM com.ibm.websphere.collective.utility.autoAcceptCertificates en true.

    En el indicador de mandatos desde el que ejecutará el mandato genKey de colectivo, ejecute un mandato que establezca la propiedad JVM en true:

    Para plataformas AIXPara plataformas HP-UXPara plataformas LINUXPara plataformas Solaris
    $ export JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true
    Para plataformas Windows
    set JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true

    Para confirmar que la propiedad de JVM se ha establecido correctamente, ejecute los mandatos siguientes:

    Para plataformas AIXPara plataformas HP-UXPara plataformas LINUXPara plataformas Solaris
    $ export JVM_ARGS
    Para plataformas Windows
    set JVM_ARGS
    Consejo: Puede establecer esta propiedad de JVM en true antes de ejecutar todos los mandatos colectivas, excepto el mandato create. Muchos submandatos de colectivo se conectan a un controlador de colectivo y obtienen una clave durante un reconocimiento SSL. Los submandatos de colectivo que requieren información de autenticación del host por la contraseña de usuario o la clave privada SSH son genKey, join, registerHost, remove, unregisterHost y updateHost.
  2. Ejecute el mandato genKey de colectivo para generar un almacén de claves JKS.
    wlp/bin/collective genKey [--host=HostControladorColectivo
    --password=ContraseñaUsuarioAdminControladorColectivo --port=PuertoHTTPSControladorColectivo
    --user=IDUsuarioAdminControladorColectivo --keystorePassword=ContraseñaAlmacénClavesGenerado]

    Por ejemplo, para un controlador de colectivo en el host machineA que utiliza el puerto 1090 y que tiene un usuario administrativo de controlador de colectivo Admin1 con la contraseña Admin1pwd, ejecute el mandato siguiente para generar un almacén de claves y establecer su contraseña en kspwd:

    collective genKey [--host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd]

    Este ejemplo incluye los valores necesarios para el mandato genKey:

    --host=hostControladorColectivo
    El nombre de host del controlador de colectivo de destino.
    --password=contraseñaUsuarioAdminControladorColectivo
    La contraseña del usuario administrativo para el controlador de colectivo de destino. Si no se define ninguna contraseña, se le solicitará la contraseña del usuario administrativo especificado por el valor --user.
    --port=puertoHTTPSControladorColectivo
    El número de puerto HTTPS del controlador de colectivo de destino.
    --user=IDUsuarioAdminControladorColectivo
    Un usuario administrativo del controlador de colectivo de destino.
    --keystorePassword=ContraseñaAlmacénClavesGenerado
    La contraseña del almacén de claves generado. Si especifica una contraseña y no hay ningún valor definido, se le solicitará una contraseña.

    El mandato genKey también tiene valores opcionales:

    --certificateSubject=DN
    El nombre distinguido (DN) del certificado SSL generado. El DN predeterminado es:
    CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
    --certificateValidity=númeroDeDías
    El número de días durante el que el certificado SSL generado es válido. El período de validez predeterminado es de 1825 días, o 5 años. El periodo de validez mínimo es de 365 días.
    --keystoreFile=vía_acceso_archivo
    El archivo en el que se graba el almacén de claves. El valor predeterminado es el archivo key.jks del directorio actual.
    --key=clave
    Una clave que debe utilizarse para la codificación aes. El producto aplica el algoritmo hash a la serie de clave especificada para generar una clave de cifrado que se utiliza para cifrar y descifrar la contraseña. Para proporcionar la clave al servidor, defina la variable wlp.password.encryption.key cuyo valor es la clave. Si no especifica esta opción, el producto suministrará una clave predeterminada.

Icono que indica el tipo de tema Tema de tarea

Términos y condiciones para centros de información | Comentarios


Icono de indicación de fecha y hora Última actualización: 15 de junio de 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=tagt_wlp_generate_ssl_keys
Nombre de archivo:tagt_wlp_generate_ssl_keys.html