Configurando Segurança da Camada de Transporte (TLS)

É possível configurar a Segurança da Camada de Transporte (TLS) modificando ou substituindo o keystore e o armazenamento confiável e escolhendo o alias de certificado para sua configuração.

Antes de Iniciar

Sobre Esta Tarefa

As configurações de TLS se aplicam à interface com o usuário e às grades de dados. As configurações são aplicadas em todos os dispositivos no coletivo.

Procedimento

  1. Necessário para o WebSphere Application Server: Inclua o certificado público do dispositivo nos armazenamentos confiáveis padrão do WebSphere Application Server.
    • Se você estiver usando o armazenamento confiável do dispositivo padrão:
      Execute o script addXC10PublicCert.py a partir do diretório was_root/bin no gerenciador de implementação. Utilize o comando a seguir:
      wsadmin -lang jython -f addXC10PublicCert.py
    • Se estiver utilizando o custom keys for the appliance:
      Execute o script addXC10PublicCert.py a partir do diretório was_root/bin no gerenciador de implementação com a opção de linha de comandos -certPath. O valor da opção de linha de comandos -certPath é o local do disco do certificado público que corresponde ao alias que está configurado para o keystore no dispositivo.
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. Necessário para o WebSphere Application Server: Faça download do armazenamento confiável do dispositivo e dos certificados públicos do WebSphere Application Server e execute o utilitário keytool para incluir o certificado no armazenamento confiável. Essa ferramenta atualiza o armazenamento confiável do dispositivo para incluir os certificados do WebSphere Application Server.
    1. Se você estiver usando o armazenamento confiável do dispositivo padrão, faça download do armazenamento confiável ativo. Clique em Dispositivo > Configurações > Segurança da Camada de Transporte (TLS). Clique em Fazer download do armazenamento confiável ativo e lembre-se do local de onde você salvou o arquivo em disco, por exemplo, no diretório /downloads/trustStore.jks.
    2. Extraia o certificado público do WebSphere Application Server.
      1. No console administrativo do WebSphere Application Server, clique em Segurança > Certificado SSL e Gerenciamento de Chave > Keystores e Certificados.
      2. Em Usos de Keystore, selecione Keystore de Certificados Raiz.
      3. Selecione DmgrDefaultRootStore.
      4. Selecione Certificados Pessoais.
      5. Clique na caixa de seleção próxima a um certificado no keystore raiz. Especifique um nome completo de arquivo do certificado a ser extraído, tal como: /certificates/public.cer.
      6. Em uma janela de linha de comandos, execute o comando a seguir: cd /java_home/bin
      7. Execute o utilitário keytool.
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. Se você tiver certificados adicionais para importação, repita as etapas para extrair os certificados e execute o utilitário keytool novamente.
  3. Faça upload das informações do keystore e do armazenamento confiável no dispositivo. Na interface com o usuário do dispositivo, clique em Dispositivo > Configurações > Segurança da Camada de Transporte (TLS). Se você concluiu as etapas para o WebSphere Application Server, faça upload do arquivo /downloads/trustStore.jks atualizado. Após fazer upload de um keystore ou truststore, você deve atualizar a senha associada. Se estiver usando o truststore padrão, a senha será xc10pass.
  4. Selecione o alias de certificado para o coletivo.
  5. Especifique o tipo de transporte. Escolha uma das configurações de tipo de transporte a seguir:
    • TLS Suportado: As grades de dados se comunicam com TCP/IP, SSL ou TLS. A interface com o usuário é acessível com HTTP e HTTPS.
    • TLS Necessário: As grades de dados se comunicam apenas com SSL ou TLS. A interface com o usuário é acessível apenas com HTTPS.
    • [Version 2.0.0.3 and later] TLS de grade de dados desativado: As grades de dados se comunicam com conexões não seguras. A interface com o usuário é acessível com HTTP e HTTPS.
  6. Para requerer que o cliente envie um certificado confiável para ativar a comunicação, selecione Ativar Autenticação por Certificado de Cliente.
  7. Clique em Enviar Configurações de TLS para salvar as mudanças em sua configuração.

Resultados

O coletivo deve reiniciar para concluir as mudanças na configuração de TLS.

As partes limitadas da interface com o usuário estão acessíveis quando o coletivo está reiniciando. Se não puder acessar partes da interface com o usuário, aguarde um momento apropriado e envie a solicitação novamente. O painel Tarefas mostra a conclusão para algumas mudanças de TLS automaticamente exibindo um status de sucesso.

Se você alterou o alias de certificado usado pelo dispositivo, talvez seja necessário reiniciar o navegador, efetuar logout e login novamente na interface com o usuário ou confiar em novos certificados a partir de um prompt do navegador.

Se a interface com o usuário parecer estar indisponível quando a autenticação de cliente for ativada, verifique se você possui um certificado de cliente confiável importado no navegador. Se um certificado de cliente confiável não for importado no navegador, não será possível acessar a interface com o usuário. Após efetuar logon com sucesso na interface com o usuário, a tarefa indicará o sucesso da configuração de TLS.

O que Fazer Depois

Práticas Recomendáveis