Puede habilitar SSL para servicios web utilizando la consola de administración de WebSphere Application Server para el desarrollo y la realización de pruebas, y utilizando mandatos Run Engine para cambios de configuración permanentes.
Procedimiento
Para el desarrollo y la realización de pruebas, utilice la consola de administración de WebSphere Application Server:
-
Cuando no es necesaria la autenticación de cliente.
Si el servidor no requiere autenticación de cliente, es decir, no valida el certificado de cliente, la configuración no es compleja. El certificado de servidor se añade al Vault de confianza predeterminado:
-
Abra la consola de administración de WebSphere Application Server.
-
Expanda Seguridad. Pulse Gestión de claves y certificados SSL
-
En la sección Artículos relacionados, pulse Almacenes de claves y certificados.
-
Seleccione NodeDefaultTrustStore.
-
En la sección Propiedades adicionales, Pulse Certificados de firmante.
-
Puede llevar a cabo una de las siguientes acciones:
- Pulse Recuperar del puerto y escriba el nombre de host y el puerto HTTPS. Este valor recupera automáticamente el certificado.
- Pulse Añadir para importar el archivo de certificados codificado en la Base64.
El servidor ahora es fiable.
-
Cuando es necesaria la autenticación de cliente.
Si la autenticación de cliente es necesaria, el servidor verifica el certificado de cliente y rechaza la conexión si el cliente no es fiable. El servidor debe añadir el certificado de cliente a su propio Vault de confianza.
-
Cree el Vault de claves y el Vault de confianza.
En un entorno de pruebas, puede crear un nuevo almacén de claves y de confianza, así como utilizar un certificado autofirmado. Sin embargo, en un entorno de producción, debe utilizar un certificado de una autoridad de certificados fiable.
- Abra ikeyman para crear los almacenes de certificados. ikeyman se encuentra en el directorio AppServer/bin.
- En el menú Archivo de base de datos de claves, seleccione Nuevo...
- Para el tipo de base de datos de claves, seleccione JKS. También se pueden seleccionar otros formatos como PKCS12.
- Seleccione un nombre y una vía de acceso para el Vault de claves. Por ejemplo, CommerceKeyStore.jks
- Entre una contraseña. Recupere esta contraseña porque será necesaria en pasos posteriores.
- Cuando se selecciona Certificados personales, Pulse Nuevo autofirmado...
- Complete el formulario y Pulse Aceptar.
El nuevo Vault de claves se crea y contiene el certificado firmado automáticamente. Los siguientes pasos crean el Vault de confianza.
- En el menú Archivo de base de datos de claves, seleccione Nuevo....
- Cree un archivo para utilizarlo para el Vault de confianza, por ejemplo, CommerceTrustStore.jks. El Vault de confianza contiene los certificados en los que confía este servidor. El certificado de servidor debe añadirse a este Vault de confianza.
- Puede añadir el certificado de servidor más adelante utilizando la interfaz de usuario o iKeyman. El certificado de servidor normalmente es un archivo de certificado .arm (codificado en Base64) o se incluye en una base de datos de claves como JKS o p12.
- Para importar el certificado de servidor de un archivo arm, asegúrese de que el menú desplegable Certificados de firmante está seleccionado y Pulse Añadir.... Si el certificado es un archivo JKS o p12, puede extraerlo como un archivo asm.
-
Defina el nuevo Vault de confianza y Vault de claves en HCL Commerce.
- Abra la consola de administración de WebSphere Application Server.
- Expanda Seguridad. Pulse Gestión de claves y certificados SSL
- En la sección Artículos relacionados, pulse Almacenes de claves y certificados.
- Pulse New. Utilice CommerceKeyStore para el nombre y rellene la vía de acceso y la contraseña para el archivo CommerceKeyStore.jks y las opciones restantes.
- Después de la creación, pulse Certificados personales para ver los detalles del certificado autofirmado. Esta prueba garantiza que el Vault de claves está definido correctamente.
- Repita estos pasos y defina CommerceTrustStore desde CommerceTrustStore.jks. Pulse Certificados de firmante del almacén de confianza para ver el certificado de servidor.
-
Cree una configuración de SSL.
- Expanda Seguridad. Pulse Gestión de claves y certificados SSL
- En la sección Elementos relacionados, pulse Configuraciones SSL.
- Pulse New.
- Escriba CommerceSSLConfig como el nombre.
- Para el nombre del almacén de confianza, seleccione CommerceTrustStore.
- Para el nombre del almacén de claves, seleccione CommerceKeyStore.
- Pulse Obtener alias de certificados.
- Para el Alias de certificado de servidor predeterminado y Alias de certificado de cliente predeterminado, seleccione el alias para el certificado autofirmado o el certificado de cliente.
- En la sección Propiedades adicionales, pulse Valores de calidad de protección (QoP).
- Establezca Autenticación de cliente en Necesaria.
-
Asocie la configuración de SSL con el servicio web.
- En la sección Elementos relacionados del panel Gestión de claves y certificados SSL, pulse Configuraciones SSL de punto final de salida dinámica.
- Pulse New. Puede configurar solicitudes de salida realizadas para un protocolo concreto en un nombre de host y puerto específico para utilizar una configuración de SSL no predeterminada.
- Seleccione la combinación de protocolo, host y puerto que coincida con el utilizado por el servicio web de salida.
- En la sección Elementos relacionados del panel Gestión de claves y certificados SSL, pulse Configuración de SSL.
- Seleccione CommerceSSLConfig. A continuación, pulse Obtener alias de certificados.
- Seleccione el certificado de cliente.
Resultados
Los pasos anteriores han utilizado WebSphere Application Server para habilitar SSL para servicios web de salida.
Para completar los cambios de configuración permanentes, es posible que necesite personalizar el archivo de docker para ejecutar mandatos Run Engine para conservar las configuraciones de WebSphere Application Server. Para obtener más información, consulte Mandatos Run Engine.