Acerca de esta tarea
Las conexiones JMX remotas a un controlador de colectivo utilizan SSL y requieren claves SSL adecuadas. El mandato genKey
del programa de utilidad de colectivo genera un almacén de claves que contiene un certificado personal en el que confía el controlador de colectivo. El
almacén de claves generado también incluye un certificado de firmante público para que pueda funcionar como un almacén de confianza.
En el caso de
una máquina virtual Java (JVM), como por ejemplo un servidor miembro de colectivo o un servidor no Liberty, para conectarse a un controlador de
colectivo, la JVM
debe tener un almacén de claves que contenga una clave en la que confíe el controlador de colectivo. El mandato genKey genera este
almacén de claves.
Una vez que JVM tiene el almacén de claves, la JVM puede conectarse al controlador de colectivo y éste puede devolver
su
clave. Este retorno de la clave del controlador de colectivo a la JVM se denomina reconocimiento SSL.
Para que la JVM añada
la clave del controlador de colectivo al almacén de confianza de la JVM, la propiedad com.ibm.websphere.collective.utility.autoAcceptCertificates
de
JVM debe establecerse en true. Si la propiedad de JVM no se ha establecido, se solicitará al usuario que añada la clave
al almacén
de confianza. El Paso 1 del procedimiento muestra cómo establecer la propiedad de JVM y añadir
la clave automáticamente al almacén de confianza sin solicitud.
- Para que los certificados SSL sean automáticamente de confianza, establezca la propiedad de JVM
com.ibm.websphere.collective.utility.autoAcceptCertificates en true.
En el indicador de mandatos desde el que ejecutará el mandato genKey de colectivo, ejecute un mandato que establezca la propiedad
JVM en
true:




$ export JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true

set JVM_ARGS=-Dcom.ibm.websphere.collective.utility.autoAcceptCertificates=true
Para confirmar que la propiedad de JVM se ha establecido correctamente, ejecute los mandatos siguientes:




$ export JVM_ARGS

set JVM_ARGS
Consejo: Puede establecer esta propiedad de JVM en true antes de ejecutar todos los mandatos colectivas, excepto el mandato
create. Muchos submandatos de colectivo se conectan a un controlador de colectivo y obtienen una clave durante un
reconocimiento
SSL. Los submandatos de colectivo que requieren información de autenticación del host por la contraseña de usuario o la clave privada SSH
son genKey, join, registerHost, remove, unregisterHost y
updateHost.
- Ejecute el mandato genKey de colectivo para generar un almacén de claves JKS.
wlp/bin/collective genKey [--host=HostControladorColectivo
--password=ContraseñaUsuarioAdminControladorColectivo --port=PuertoHTTPSControladorColectivo
--user=IDUsuarioAdminControladorColectivo --keystorePassword=ContraseñaAlmacénClavesGenerado]
Por ejemplo, para un controlador de colectivo en el host machineA que utiliza el puerto 1090 y que tiene un usuario
administrativo de controlador de colectivo Admin1 con la contraseña Admin1pwd, ejecute el mandato siguiente para
generar un almacén de claves y establecer su contraseña en kspwd:
collective genKey [--host=machineA --password=Admin1pwd --port=1090 --user=Admin1 --keystorePassword=kspwd]
Este ejemplo incluye los valores necesarios para el mandato genKey:
- --host=hostControladorColectivo
- El nombre de host del controlador de colectivo de destino.
- --password=contraseñaUsuarioAdminControladorColectivo
- La contraseña del usuario administrativo para el controlador de colectivo de destino. Si no se define ninguna contraseña, se le solicitará la
contraseña del usuario administrativo especificado por el valor --user.
- --port=puertoHTTPSControladorColectivo
- El número de puerto HTTPS del controlador de colectivo de destino.
- --user=IDUsuarioAdminControladorColectivo
- Un usuario administrativo del controlador de colectivo de destino.
- --keystorePassword=ContraseñaAlmacénClavesGenerado
- La contraseña del almacén de claves generado. Si especifica una contraseña y no hay ningún valor definido, se le solicitará una contraseña.
El mandato genKey también tiene valores opcionales:
- --certificateSubject=DN
- El nombre distinguido (DN) del certificado SSL generado. El DN predeterminado es:
CN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=usCN=localhost,OU=client,O=ibm,C=us
- --certificateValidity=númeroDeDías
- El número de días durante el que el certificado SSL generado es válido. El período de validez predeterminado es de 1825 días, o 5 años. El
periodo de validez mínimo es de 365 días.
- --keystoreFile=vía_acceso_archivo
- El archivo en el que se graba el almacén de claves. El valor predeterminado es el archivo key.jks del directorio actual.
- --key=clave
- Una clave que debe utilizarse para la codificación aes. El producto aplica el algoritmo hash a la serie de clave especificada para
generar una clave de cifrado
que se utiliza para cifrar y descifrar la contraseña. Para proporcionar la clave al servidor, defina la variable
wlp.password.encryption.key cuyo valor es la clave. Si no especifica esta opción, el producto suministrará una clave predeterminada.