Puede configurar la Seguridad de la capa de transporte (TLS) modificando o sustituyendo
el almacén de claves y el almacén de confianza, y eligiendo el alias de certificado para la configuración.
Antes de empezar
- Puede configurar TLS con la versión 1.0.0.4 o una versión posterior.
- Debe estar utilizando WebSphere eXtreme
Scale Client Versión
7.1 Fix 1 o posterior.
- Debe tener asignado el permiso de administración de dispositivo.
- Debe disponer de un almacén de claves o un almacén de confianza con las contraseñas asociadas
que desea añadir a la configuración del dispositivo.
- Si desea modificar el almacén de confianza existente, puede descargar el almacén de confianza
desde el dispositivo.
- Debe actualizar el almacén de confianza con los certificados públicos de
los clientes. El dispositivo debe confiar en los clientes que se conectan.
- El almacén de confianza proporcionado debe incluir un certificado público que corresponda
a una entrada del almacén de claves. Los alias de certificado del almacén de claves deben ser
de confianza en el almacén de confianza para que se puedan suministrar como una posible opción
de configuración para el alias de certificado para el dispositivo.
- El valor de seguridad global de WebSphere Application
Server determina cómo el servidor intenta
establecer conexiones con WebSphere DataPower XC10 Appliance:
- Cuando el valor de seguridad global está inhabilitado, las conexiones se intentan
a través de TCP/IP.
- Cuando el valor de seguridad global está habilitado, debe añadir el certificado público del dispositivo
a los almacenes de confianza de WebSphere Application
Server.
Si
WebSphere DataPower XC10 Appliance tiene configurado TLS
necesario, debe habilitar la seguridad global.
Para obtener más información sobre cómo configurar la seguridad global, consulte
Valores
de seguridad globales.
Acerca de esta tarea
Los valores de TLS se aplican a la interfaz de usuario y las cuadrículas de datos.
Los valores se aplican a todos los dispositivos del colectivo.
Procedimiento
- Necesario para WebSphere Application
Server: Añada el certificado público del
dispositivo a los almacenes de confianza predeterminados de WebSphere Application
Server.
- Si utiliza el almacén de confianza predeterminado del dispositivo:
Ejecute
el script
addXC10PublicCert.py desde el
directorio
raíz_was/bin del gestor
de despliegue. Utilice el mandato siguiente:
wsadmin -lang jython -f addXC10PublicCert.py
- Si utiliza claves personalizadas para el dispositivo:
Ejecute el
script
addXC10PublicCert.py desde el
directorio
raíz_was/bin en el gestor
de despliegue con la opción de línea de mandatos
-certPath. El valor de la opción de
línea de mandatos
-certPath es la ubicación del disco del certificado público que
corresponde al alias configurado para el almacén de claves en
el dispositivo.
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- Necesario para WebSphere Application
Server: Descargue el almacén de
confianza del dispositivo y los certificados públicos de WebSphere Application
Server y ejecute el
programa de utilidad de la herramienta de claves para añadir el certificado al almacén de
confianza. Esta herramienta actualiza el almacén de confianza del dispositivo para que incluya los
certificados de WebSphere Application
Server.
- Si utiliza el almacén de confianza predeterminado del dispositivo, descargue el almacén de
confianza activo. Pulse . Pulse Descargar almacén de confianza
activo y recuerde la ubicación en la que ha guardado el archivo en el disco,
por ejemplo, en el directorio /downloads/trustStore.jks.
- Extraiga el certificado público de WebSphere Application
Server.
- En la consola de administración de WebSphere Application
Server, pulse
.
- En Usos de almacén de claves, seleccione Almacén de claves de certificados raíz.
- Seleccione DmgrDefaultRootStore.
- Seleccione Certificados personales.
- Pulse el recuadro de selección situado junto al certificado en el almacén de claves raíz.
Especifique el nombre de archivo completo del certificado que desea extraer,
como: /certificates/public.cer.
- En una ventana de la línea de mandatos, ejecute el siguiente mandato: cd
/java_home/bin
- Ejecute el programa de utilidad de la herramienta de claves.
keytool -import -noprompt -alias "alias ejemplo" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- Si tiene que importar más certificados, repita los pasos para extraer los
certificados y vuelva a ejecutar el programa de utilidad de la herramienta de claves.
- Cargue la información del almacén de claves y el almacén de confianza en el dispositivo. En la interfaz de usuario del dispositivo, pulse . Si ha completado los pasos
para WebSphere Application
Server, cargue el archivo
actualizado /downloads/trustStore.jks.
Después de subir un almacén de claves o un almacén de confianza debe actualizar la contraseña asociada. Si está
utilizando el almacén de confianza, la contraseña es xc10pass.
- Seleccione el alias de certificado para el colectivo.
- Especifique el tipo de transporte. Elija uno de los siguientes valores de tipo de transporte:
- TLS soportado: las cuadrículas de datos se comunican
con TCP/IP, SSL o TLS. La interfaz de usuario se puede acceder con HTTP
y HTTPS.
- TLS necesario: las cuadrículas de datos se comunican
con SSL o TLS solo. La interfaz de usuario se puede acceder con HTTPS
solo.
- TLS de cuadrícula de datos inhabilitado:
las cuadrículas de datos se comunican con conexiones no seguras. La interfaz de usuario se puede acceder con HTTP
y HTTPS.
- Para requerir que el cliente envíe un certificado de confianza para habilitar la comunicación, seleccione
Habilitar la autenticación de certificado de cliente.
- Pulse Someter valores de TLS para guardar los cambios en su configuración.
Resultados
Es necesario reiniciar el colectivo para completar los cambios
de configuración de TLS.
Cuando el colectivo se está reiniciando sólo es posible acceder a un conjunto limitado de
partes de la interfaz de usuario. Si hay partes de la interfaz de usuario a las que no puede acceder, espere al momento
adecuado y vuelva a someter la petición. El panel Tareas visualiza automáticamente un estado satisfactorio para mostrar
que algunos cambios de TLS se han realizado.
Si ha cambiado el alias de certificado que
utiliza el dispositivo, es posible que necesite reiniciar el navegador, finalizar y volver a iniciar la
sesión en la interfaz de usuario, o crear nuevos certificados de confianza desde una solicitud
de navegador.
Si la
interfaz de usuario no está disponible cuando la autenticación de cliente está habilitada, verifique que tiene un
certificado de cliente de confianza importado en el navegador. Si no hay un certificado de cliente de confianza no está
importado en el navegador, no puede acceder a la interfaz de usuario. Después de iniciar la sesión satisfactoriamente
en la interfaz de usuario, la tarea indica el éxito de la configuración de TLS.
Qué hacer a continuación
Procedimientos recomendados- Para evitar avisos del navegador al acceder a la interfaz de usuario desde dispositivos diferentes, puede incluir
un comodín en el Nombre común (CN) del certificado en el almacén de claves. Cada dispositivo utiliza el mismo
certificado para la configuración de TLS, tal como especifica el alias de certificado. Por ejemplo, puede utilizar
*.mycompany.com en lugar de myhost.mycompany.com para que el certificado
sea válido para todos los host del dominio mycompany.
- Puede utilizar una entidad emisora de certificados (CA) privada para firmar el certificado asociado al alias de
certificado que elija para su configuración de TLS. Podrá importar el certificado de la CA en el navegador y confiar en
cualquier colectivo con un certificado firmado por la CA privada sin que haya ninguna solicitud al respecto. La
utilización de una CA privada sólo es apropiada generalmente para el acceso en una intranet privada.