Utilización de Gestión de certificados para HATS de IBM e Inicio de sesión rápido en Web

Gestión de certificados le permite habilitar las comunicaciones SSL (Secure Sockets Layer) sobre una conexión TCP/IP mediante la generación del archivo de base de datos de claves necesario y del intercambio de certificados X.509.

En el caso de HATS, SSL es necesario entre una aplicación de HATS que utilice Inicio de sesión rápido en Web y DCAS (Digital Certificate Access Server) para que la aplicación de HATS recupere identidades de sistema principal.

Temas de Gestión de certificados
  Creación de un archivo de base de datos de claves
  Solicitud de un certificado de servidor a una CA reconocida
    Creación de claves y peticiones de certificados
    Envío de peticiones de certificados
    Recepción y almacenamiento del certificado de servidor
  Solicitud de un certificado de servidor a una CA desconocida
    Creación de claves y peticiones de certificados
    Envío de peticiones de certificados
    Recepción y almacenamiento del certificado de servidor
  Creación de un certificado autofirmado
  Intercambio de certificados


Creación de un archivo de base de datos de claves

Antes de empezar a configurar las comunicaciones SSL para Inicio de sesión rápido en Web en HATS, debe crear un archivo de base de datos de claves.

Para crear un archivo de base de datos de claves nuevo:

  1. Inicie Gestión de certificados: pulse Inicio > Programas > IBM WebSphere HATS > Gestión de certificados.
  2. Pulse Archivo de base de datos de claves > Nuevo.
  3. Seleccione Archivo de base de datos de claves KCS12 para el tipo de base de datos de claves.
  4. Escriba un nombre de archivo. HATS no necesita un nombre de archivo concreto.
  5. Escriba un nombre de directorio para la ubicación. HATS no necesita un directorio concreto para la creación del archivo de base de datos de claves, aunque será necesario copiar el archivo de base de datos de claves en un archivo de Enterprise Application (.ear) para poder implementar la aplicación que lo utiliza.
  6. Pulse Aceptar.
  7. Escriba una nueva contraseña.
  8. Escriba otra vez la misma contraseña para verificar.
  9. Para ayudar a garantizar una seguridad adecuada, la contraseña debe tener una fecha de caducidad. Para establecer la fecha de caducidad de la contraseña, pulse Establecer fecha de caducidad y especifique el número de días que quedan para que la contraseña caduque.
  10. No seleccione ocultar la contraseña de la base de datos de claves. El nombre de archivo y la contraseña del archivo de base de datos de claves deben especificarse en el editor del Inicio de sesión rápido en Web durante su configuración.
  11. Pulse Aceptar.

Para abrir un archivo de base de datos de claves existente:

  1. Pulse Archivo de base de datos de claves > Abrir.
  2. Cambie al directorio que contiene el archivo de base de datos de claves.
  3. Escriba el nombre del archivo de base de datos de claves y pulse Abrir.
  4. Escriba la contraseña actual y pulse Aceptar.

Después de crear y abrir el archivo de base de datos de claves, puede:

Nota: si modifica el archivo de base de datos de claves utilizado por una aplicación de HATS en ejecución, deberá detener y reiniciar la aplicación de HATS.


Autoridad certificadora reconocida y fiable

Complete los procedimientos de este apartado para configurar la seguridad SSL utilizando un certificado emitido por una autoridad certificadora (CA) reconocida. Los certificados de firmante de CA siguientes se almacenan automáticamente en un archivo de base de datos de claves recién creado y se marcan como certificados fiables:

Cuando termine de crear y someter una petición de certificado que se corresponda con uno de estos tipos de certificado, podrá crear un certificado autofirmado para utilizarlo mientras espera recibir el certificado de la CA. A continuación se muestra una visión general de los pasos utilizados para configurar la seguridad SSL utilizando una CA reconocida:

Creación de las claves y una petición de certificado

Para crear las claves pública/privada y la petición de certificado:

  1. En la ventana Gestión de certificados, elija Peticiones de certificado personal en la lista desplegable y después pulse Nuevo.
  2. Escriba el nombre (etiqueta) que se utiliza para identificar las claves y el certificado en la base de datos.
  3. Escriba el número que corresponda al tamaño de clave que desea utilizar. Cuando se elige un tamaño de clave más grande, se obtiene más seguridad, pero se necesita más proceso en el cliente y en el servidor para establecer una conexión.
  4. Escriba el nombre del sistema principal TCP/IP del servidor de HATS como el nombre común; por ejemplo, canes10.raleigh.ibm.com.
  5. Escriba el nombre de la organización.
  6. Opcionalmente, escriba la unidad de la organización y otra información de ubicación.
  7. Elija el código del país.
  8. Escriba un nombre de archivo de peticiones de certificado o utilice el nombre de archivo por omisión.

Cuando pulsa Aceptar, se procesa la información y se producen o actualizan varios archivos en el directorio en el que ha creado la petición de certificado. Si hace copia de seguridad de la base de datos de claves, hágalo también de estos archivos. No intente editar estos archivos o podría dañar el archivo de base de datos de claves o la petición de certificado.

Envío de la petición de certificado

Inicie un navegador Web y acceda a la página Web de la autoridad certificadora (CA). Siga las instrucciones proporcionadas para someter la petición del certificado. La lista siguiente proporciona los URL de algunas CA reconocidas:

Dependiendo de la CA elegida, puede enviar por correo electrónico la petición de certificado generada por Gestión de certificados o incorporar la petición de certificado en el formulario o archivo proporcionado por la CA.

Mientras espera a que la CA procese la petición de certificado, puede habilitar la seguridad SSL para poder realizar pruebas controladas simplemente creando y almacenando un certificado autofirmado utilizando el procedimiento descrito en Creación de un certificado autofirmado.

Almacenamiento del certificado de servidor

Cuando reciba el certificado de la CA, utilice Gestión de certificados para situar el certificado en el archivo de base de datos de claves. Debería hacer una copia de seguridad del certificado recibido antes de comenzar con este paso.

  1. Elija Certificados personales en la lista desplegable y pulse Recibir para recibir la pareja de claves y la petición de certificado. Aparecerá la ventana Recibir certificado de un archivo.
  2. El tipo de datos debe ser ASCII con codificación BASE64 (formato protegido 64, "armored 64").
  3. Escriba el nombre del archivo de certificados.
  4. Escriba la ubicación (nombre de la vía de acceso) del certificado.
  5. Pulse Aceptar. El certificado que acaba de almacenar se mostrará como el primer elemento.
  6. Resalte el certificado que acaba de almacenar y pulse Ver/Editar. Aparecerá la ventana de Información de claves.
  7. Si todavía no se ha seleccionado, pulse Establecer el certificado como valor por omisión para que la clave seleccionada sea el valor por omisión.
  8. Aparecerá en la lista desplegable Certificado personal el nombre del certificado y desaparecerá de la lista desplegable Peticiones de certificados personales la petición de certificado.
  9. Copie el archivo de base de datos de claves en Enterprise Archive para su implantación. Si Enterprise Archive está en ejecución, debe detenerlo y reiniciarlo.


Autoridad certificadora desconocida

Complete los procedimientos de este apartado para configurar la seguridad SSL utilizando un certificado emitido por una autoridad certificadora (CA) que aún no está definida en la base de datos. Cuando termine de crear y someter una petición de certificado a una CA, podrá crear un certificado autofirmado para utilizarlo sólo en pruebas controladas mientras espera recibir el certificado de la CA. A continuación se muestra una visión general de los pasos utilizados para configurar la seguridad SSL utilizando un certificado de una CA que no está predefinida:

Envío de la petición de certificado a una autoridad certificadora desconocida

Siga los procedimientos de la CA desconocida para someter la petición de certificado.

Dependiendo de la CA elegida, puede enviar por correo electrónico la petición de certificado generada por Gestión de certificados o incorporar la petición de certificado en el formulario o archivo proporcionado por la CA.

Mientras espera a que la CA procese la petición de certificado, puede habilitar la seguridad SSL para poder realizar pruebas controladas simplemente creando y almacenando un certificado autofirmado utilizando el procedimiento descrito en Creación de un certificado autofirmado.

Almacenamiento del certificado

Cuando reciba el certificado de la CA, póngase en contacto con la CA para obtener el certificado raíz de la CA. Antes de almacenar el certificado solicitado, debe almacenar el certificado raíz de la CA en el archivo de base de datos de claves. El certificado raíz de la CA se utiliza para validar el certificado solicitado. Antes de iniciar estos pasos, debe realizar una copia de seguridad del certificado raíz de la CA y del certificado que se ha emitido al servidor.

Para almacenar el certificado raíz de la CA:

  1. Elija Certificados de firmantes en la lista desplegable y pulse Añadir para recibir el certificado raíz de la CA.
  2. El tipo de datos debe ser ASCII con codificación BASE64 (formato protegido 64, "armored 64").
  3. Escriba el nombre del archivo de certificados.
  4. Escriba la ubicación, o vía de acceso, del certificado.
  5. Pulse Aceptar. El archivo se marca como "fiable" y se almacena.

Para almacenar el certificado solicitado:

  1. Para recibir el certificado solicitado, elija Certificados personales en la lista desplegable y pulse Recibir.
  2. El tipo de datos debe ser ASCII con codificación BASE64 (formato protegido 64, "armored 64").
  3. Escriba el nombre del archivo de certificados.
  4. Escriba la ubicación, o vía de acceso, del certificado.
  5. Pulse Aceptar. El certificado que acaba de almacenar se mostrará como el primer elemento.
  6. Resalte el certificado que acaba de almacenar y pulse Ver/Editar. Aparecerá la ventana de Información de claves.
  7. Si todavía no se ha seleccionado, pulse Establecer el certificado como valor por omisión para que la clave seleccionada sea el valor por omisión.
  8. Aparecerá en la lista desplegable Certificado personal el nombre del certificado y desaparecerá de la lista desplegable Peticiones de certificados personales la petición de certificado.
  9. Copie el archivo de base de datos de claves en Enterprise Archive para su implantación. Si Enterprise Archive está en ejecución, debe detenerlo y reiniciarlo.


Creación de un certificado autofirmado

Recibir un certificado de una CA pueda tardar de dos a tres semanas. Mientras espera la emisión del certificado, puede utilizar Gestión de certificados para crear un certificado autofirmado, sólo para pruebas controladas, con el fin de habilitar las sesiones SSL.

Utilice los procedimientos siguientes para configurar un certificado autofirmado:

  1. Elija Certificados personales en la lista desplegable.
  2. Pulse Crear > Nuevo certificado autofirmado para crear un nuevo certificado autofirmado.
  3. Escriba el nombre (etiqueta) que se utiliza para identificar las claves y el certificado en la base de datos.
  4. Seleccione X509 V3 para la versión del certificado.
  5. Escriba el número que corresponda al tamaño de clave que desea utilizar. Cuando se elige un tamaño de clave más grande, se obtiene más seguridad, pero se necesita más proceso para establecer una conexión.
  6. Escriba el nombre del sistema principal TCP/IP del servidor de HATS como el nombre común; por ejemplo, canes10.raleigh.ibm.com.
  7. Escriba el nombre de la organización.
  8. Opcionalmente, escriba la unidad de la organización y otra información de ubicación.
  9. Elija el código del país.
  10. Especifique el número de días de validez del certificado autofirmado.
  11. Resalte el certificado que acaba de crear y pulse Ver/Editar. Aparecerá la ventana de Información de claves.
  12. Si todavía no se ha seleccionado, pulse Establecer el certificado como valor por omisión para que la clave seleccionada sea el valor por omisión.
  13. Pulse Aceptar.
  14. Copie el archivo de base de datos de claves en Enterprise Archive para su implantación. Si Enterprise Archive está en ejecución, debe detenerlo y reiniciarlo.


Intercambio de certificados

En algunas configuraciones, también es necesario poner los certificados a disposición de los asociados de SSL, por ejemplo el servidor DCAS en z/OS. Si el servidor utiliza un certificado de sitio de una CA desconocida, es necesario poner a disposición de los asociados de SSL el certificado raíz de la CA desconocida. Si el servidor utiliza un certificado autofirmado, deberá existir una copia del certificado autofirmado disponible.

Para crear un archivo de certificado para intercambio:

  1. Abra el archivo de base de datos de claves utilizando Gestión de certificados.
  2. Si el servidor utiliza un certificado autofirmado:
    1. Visualice la lista de certificados personales.
    2. Resalte el certificado que utiliza el servidor.
    3. Pulse Extraer certificado.

    Si el servidor utiliza un certificado de sitio emitido por una CA desconocida:

    1. Visualice la lista de Certificados de firmantes.
    2. Resalte el certificado raíz de la CA que ha emitido el certificado de sitio del servidor.
    3. Pulse Extraer.
  3. En la ventana Extraer certificado a un archivo, elija Datos ASCII con codificación Base64 o Datos DER binarios. Base64 suele utilizarse cuando el certificado va a transferirse de forma segura a través del correo electrónico. El nombre de archivo del certificado y su ubicación pueden ser los que desee.
  4. Pulse Aceptar y se creará el archivo de certificado.
  5. Transfiera de forma segura el archivo de certificado al asociado de SSL (ejemplo: DCAS) y añada el certificado a su archivo de base de datos de claves.