É possível configurar a Segurança da Camada de Transporte (TLS) modificando
ou substituindo o keystore e o armazenamento confiável e escolhendo o alias de
certificado para sua configuração.
Antes de Iniciar
- É possível configurar o TLS com a Versão 1.0.0.4 ou posterior.
- Você deve estar usando o WebSphere eXtreme
Scale Client Versão 7.1 Fix 1 ou posterior.
- Você deve estar designado à permissão de administração do Dispositivo.
- Você deve ter um keystore ou armazenamento confiável com as senhas associadas
que deseja incluir na configuração do dispositivo.
- Se você desejar modificar o armazenamento confiável existente, será possível fazer download
do armazenamento confiável a partir do dispositivo.
- Você deve atualizar o armazenamento confiável com os certificados públicos
dos clientes. O dispositivo deve confiar nos clientes que estão se conectando.
- O armazenamento confiável fornecido deve incluir um certificado público que
corresponda a uma entrada no keystore. Os aliases de certificado
do keystore devem ser confiáveis no armazenamento confiável para serem fornecidos como uma
possível opção de configuração para o alias de certificado do dispositivo.
- A configuração de segurança global no WebSphere Application Server determina como esse servidor
tenta as conexões com o WebSphere DataPower XC10 Appliance:
- Quando a configuração de segurança global é desativada, as conexões são
tentadas por TCP/IP.
- Quando a configuração de segurança global é ativada, você deve incluir o
certificado público do dispositivo nos armazenamentos confiáveis do WebSphere Application Server.
Se o seu WebSphere DataPower XC10 Appliance tiver o TLS
Necessário configurado, você deverá ativar a segurança global.
Para obter informações adicionais sobre como configurar a segurança global,
consulte
Configurações
de Segurança Global.
Sobre Esta Tarefa
As configurações de TLS se aplicam à interface com o usuário e às grades de dados.
As configurações são aplicadas em todos os dispositivos no coletivo.
Procedimento
- Necessário para o WebSphere Application Server: Inclua
o certificado público do dispositivo nos armazenamentos confiáveis padrão do WebSphere Application Server.
- Se você estiver usando o armazenamento confiável do dispositivo padrão:
Execute
o script
addXC10PublicCert.py a partir do diretório
was_root/bin
no gerenciador de implementação. Utilize o comando a seguir:
wsadmin -lang jython -f addXC10PublicCert.py
- Se estiver utilizando o custom keys for the appliance:
Execute
o script
addXC10PublicCert.py a partir do diretório
was_root/bin
no gerenciador de implementação com a opção de linha de comandos
-certPath. O valor da opção de linha de comandos
-certPath
é o local do disco do certificado público que corresponde
ao alias que está configurado para o keystore no dispositivo.
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- Necessário para o WebSphere Application Server: Faça download
do armazenamento confiável do dispositivo e dos certificados públicos do WebSphere Application Server
e execute o utilitário keytool para incluir o certificado no
armazenamento confiável. Essa ferramenta atualiza o armazenamento confiável do dispositivo para incluir
os certificados do WebSphere Application Server.
- Se você estiver usando o armazenamento confiável do dispositivo padrão, faça download
do armazenamento confiável ativo. Clique em . Clique em Fazer download do
armazenamento confiável ativo e lembre-se do local de onde você salvou
o arquivo em disco, por exemplo, no diretório /downloads/trustStore.jks.
- Extraia o certificado público do
WebSphere Application Server.
- No console administrativo do WebSphere Application Server,
clique em .
- Em Usos de Keystore, selecione Keystore
de Certificados Raiz.
- Selecione DmgrDefaultRootStore.
- Selecione Certificados Pessoais.
- Clique na caixa de seleção próxima a um certificado no keystore raiz.
Especifique um nome completo de arquivo do certificado a ser extraído,
tal como: /certificates/public.cer.
- Em uma janela de linha de comandos, execute o comando a seguir: cd
/java_home/bin
- Execute o utilitário keytool.
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- Se você tiver certificados adicionais para importação, repita as etapas
para extrair os certificados e execute o utilitário keytool novamente.
- Faça upload das informações do keystore e do armazenamento confiável no dispositivo. Na interface com o usuário do dispositivo, clique em . Se você concluiu as etapas para o WebSphere Application Server, faça upload do arquivo /downloads/trustStore.jks atualizado.
Após fazer upload de um keystore ou truststore, você deve atualizar a senha associada. Se estiver usando o
truststore padrão, a senha será xc10pass.
- Selecione o alias de certificado para o coletivo.
- Especifique o tipo de transporte. Escolha uma das
configurações de tipo de transporte a seguir:
- TLS Suportado: As grades de dados se comunicam
com TCP/IP, SSL ou TLS. A interface com o usuário é acessível com HTTP
e HTTPS.
- TLS Necessário: As grades de dados se comunicam
apenas com SSL ou TLS. A interface com o usuário é acessível apenas com
HTTPS.
TLS de grade de dados desativado:
As grades de dados se comunicam com conexões não seguras. A interface com o usuário
é acessível com HTTP e HTTPS.
- Para requerer que o cliente envie um certificado confiável para ativar a comunicação, selecione Ativar
Autenticação por Certificado de Cliente.
- Clique em Enviar Configurações de TLS para salvar as mudanças em sua configuração.
Resultados
O coletivo deve reiniciar para concluir as mudanças na configuração de TLS.
As partes limitadas da interface com o usuário estão acessíveis quando o coletivo está reiniciando. Se não puder acessar
partes da interface com o usuário, aguarde um momento apropriado e envie a solicitação novamente. O painel Tarefas mostra
a conclusão para algumas mudanças de TLS automaticamente exibindo um status de sucesso.
Se você alterou o alias de
certificado usado pelo dispositivo, talvez seja necessário reiniciar o
navegador, efetuar logout e login novamente na interface com o usuário ou confiar em novos
certificados a partir de um prompt do navegador.
Se a interface com o usuário parecer estar indisponível quando a autenticação de
cliente for ativada, verifique se você possui um certificado de cliente confiável importado no navegador. Se um
certificado de cliente confiável não for importado no navegador, não será possível acessar a interface com o usuário. Após
efetuar logon com sucesso na interface com o usuário, a tarefa indicará o sucesso da configuração de TLS.
O que Fazer Depois
Práticas Recomendáveis- Para evitar avisos do navegador quando acessar a interface com o usuário a partir de dispositivos diferentes,
considere incluir um curinga no Nome Comum (CN) do certificado no keystore. Cada dispositivo usa o mesmo certificado para
configuração de TLS, conforme especificado pelo alias de certificado. Por exemplo, é possível usar
*.mycompany.com em vez de myhost.mycompany.com para tornar o certificado
válido para todos os hosts no domínio mycompany.
- Talvez você deseje usar uma autoridade de certificação (CA) privada para assinar o certificado que está associado ao
alias de certificado escolhido para sua configuração do TLS. É possível, então, importar o certificado de CA para o
navegador e confiar em qualquer coletivo com um certificado assinado pela CA privada sem que seja solicitado. O uso de uma
CA privada geralmente é apropriado apenas para acesso em uma intranet privada.