Configuración de la Seguridad de la capa de transporte (TLS)

Puede configurar la Seguridad de la capa de transporte (TLS) modificando o sustituyendo el almacén de claves y el almacén de confianza, y eligiendo el alias de certificado para la configuración.

Antes de empezar

Acerca de esta tarea

Los valores de TLS se aplican a la interfaz de usuario y las cuadrículas de datos. Los valores se aplican a todos los dispositivos del colectivo.

Procedimiento

  1. Necesario para WebSphere Application Server: Añada el certificado público del dispositivo a los almacenes de confianza predeterminados de WebSphere Application Server.
    • Si utiliza el almacén de confianza predeterminado del dispositivo:
      Ejecute el script addXC10PublicCert.py desde el directorio raíz_was/bin del gestor de despliegue. Utilice el mandato siguiente:
      wsadmin -lang jython -f addXC10PublicCert.py
    • Si utiliza claves personalizadas para el dispositivo:
      Ejecute el script addXC10PublicCert.py desde el directorio raíz_was/bin en el gestor de despliegue con la opción de línea de mandatos -certPath. El valor de la opción de línea de mandatos -certPath es la ubicación del disco del certificado público que corresponde al alias configurado para el almacén de claves en el dispositivo.
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. Necesario para WebSphere Application Server: Descargue el almacén de confianza del dispositivo y los certificados públicos de WebSphere Application Server y ejecute el programa de utilidad de la herramienta de claves para añadir el certificado al almacén de confianza. Esta herramienta actualiza el almacén de confianza del dispositivo para que incluya los certificados de WebSphere Application Server.
    1. Si utiliza el almacén de confianza predeterminado del dispositivo, descargue el almacén de confianza activo. Pulse Dispositivo > Valores > Seguridad de la capa de transporte (TLS). Pulse Descargar almacén de confianza activo y recuerde la ubicación en la que ha guardado el archivo en el disco, por ejemplo, en el directorio /downloads/trustStore.jks.
    2. Extraiga el certificado público de WebSphere Application Server.
      1. En la consola de administración de WebSphere Application Server, pulse Seguridad > Gestión de claves y certificados SSL > Almacenes de claves y certificados.
      2. En Usos de almacén de claves, seleccione Almacén de claves de certificados raíz.
      3. Seleccione DmgrDefaultRootStore.
      4. Seleccione Certificados personales.
      5. Pulse el recuadro de selección situado junto al certificado en el almacén de claves raíz. Especifique el nombre de archivo completo del certificado que desea extraer, como: /certificates/public.cer.
      6. En una ventana de la línea de mandatos, ejecute el siguiente mandato: cd /java_home/bin
      7. Ejecute el programa de utilidad de la herramienta de claves.
        keytool -import -noprompt -alias "alias ejemplo" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. Si tiene que importar más certificados, repita los pasos para extraer los certificados y vuelva a ejecutar el programa de utilidad de la herramienta de claves.
  3. Cargue la información del almacén de claves y el almacén de confianza en el dispositivo. En la interfaz de usuario del dispositivo, pulse Dispositivo > Valores > Transport Layer Security (TLS). Si ha completado los pasos para WebSphere Application Server, cargue el archivo actualizado /downloads/trustStore.jks. Después de subir un almacén de claves o un almacén de confianza debe actualizar la contraseña asociada. Si está utilizando el almacén de confianza, la contraseña es xc10pass.
  4. Seleccione el alias de certificado para el colectivo.
  5. Especifique el tipo de transporte. Elija uno de los siguientes valores de tipo de transporte:
    • TLS soportado: las cuadrículas de datos se comunican con TCP/IP, SSL o TLS. La interfaz de usuario se puede acceder con HTTP y HTTPS.
    • TLS necesario: las cuadrículas de datos se comunican con SSL o TLS solo. La interfaz de usuario se puede acceder con HTTPS solo.
    • TLS de cuadrícula de datos inhabilitado: las cuadrículas de datos se comunican con conexiones no seguras. La interfaz de usuario se puede acceder con HTTP y HTTPS.
  6. Para requerir que el cliente envíe un certificado de confianza para habilitar la comunicación, seleccione Habilitar la autenticación de certificado de cliente.
  7. Pulse Someter valores de TLS para guardar los cambios en su configuración.

Resultados

Es necesario reiniciar el colectivo para completar los cambios de configuración de TLS.

Cuando el colectivo se está reiniciando sólo es posible acceder a un conjunto limitado de partes de la interfaz de usuario. Si hay partes de la interfaz de usuario a las que no puede acceder, espere al momento adecuado y vuelva a someter la petición. El panel Tareas visualiza automáticamente un estado satisfactorio para mostrar que algunos cambios de TLS se han realizado.

Si ha cambiado el alias de certificado que utiliza el dispositivo, es posible que necesite reiniciar el navegador, finalizar y volver a iniciar la sesión en la interfaz de usuario, o crear nuevos certificados de confianza desde una solicitud de navegador.

Si la interfaz de usuario no está disponible cuando la autenticación de cliente está habilitada, verifique que tiene un certificado de cliente de confianza importado en el navegador. Si no hay un certificado de cliente de confianza no está importado en el navegador, no puede acceder a la interfaz de usuario. Después de iniciar la sesión satisfactoriamente en la interfaz de usuario, la tarea indica el éxito de la configuración de TLS.

Qué hacer a continuación

Procedimientos recomendados