Esta sección incluye los siguientes pasos para configurar SSL con el servidor de aplicaciones IBM WebSphere.
Para habilitar SSL, WebSphere necesita acceder a una cuenta de usuario en el registro de usuarios del sistema operativo local que tenga permiso para administrar el sistema:
Inicie sesión como usuario raíz.
Cree un usuario introduciendo el siguiente comando en un símbolo del sistema:
useradd
mkuser
Defina la contraseña del nuevo usuario introduciendo passwd
en el símbolo del sistema.
(Linux y Solaris) Para crear un archivo de contraseña de sombra, escriba pwconv
(sin parámetros) en el símbolo del sistema.
(Linux y Solaris) Para que funcione el registro de seguridad del sistema operativo local de WebSphere Application Server, debe existir un archivo de contraseña de sombra. El archivo de contraseña de sombra se denomina generalmente /etc/Shadow* y se basa en el archivo /etc/passwd. Si el archivo de contraseña de sombra no existe, se producirá un error después de habilitar la seguridad global y configurar el registro de usuarios como sistema operativo local*.
Abra el archivo de grupo desde el directorio /etc en un editor de texto.
Añada el usuario que creó en el paso 2 al grupo root
.
Guarde y cierre el archivo.
(UNIX con SSL habilitado) Inicio y detenga WebSphere como el usuario raíz.
Administrators
, haga clic en Comprobar nombres para asegurarse de que el nombre del grupo es correcto.Asegúrese de que WebSphere se esté ejecutando.
En la Consola administrativa de WebSphere, seleccione Seguridad > Seguridad global.
En Seguridad administrativa, seleccione Funciones de usuario administrativo.
Haga clic en Añadir y haga lo siguiente:
Haga clic en Aceptar y guarde los cambios.
Reinicie el perfil WebSphere.
En la Consola administrativa de WebSphere, seleccione Seguridad > Seguridad global.
Haga clic en Asistente para configuración de seguridad.
Asegúrese de que la casilla Activar seguridad de la aplicación está activada. Haga clic en Siguiente.
Seleccione Repositorios federados y haga clic en Siguiente.
Especifique las credenciales que desee configurar y haga clic en Siguiente.
Haga clic en Finalizar.
Reinicie el perfil WebSphere.
WebSphere utilizará el inicio predeterminado del almacén de claves y el almacén de confianza.
Los almacenes de confianza y los almacenes de claves se pueden crear con la utilidad ikeyman o la consola de administración. Para que ikeyman funcione correctamente, asegúrese de que la ruta de instalación de WebSphere no contenga paréntesis.
En la Consola administrativa de WebSphere, seleccione Seguridad > Certificado SSL y administración de claves.
Haga clic en Almacenes de claves y certificados en Elementos relacionados.
En la lista desplegable Uso del almacén de claves, asegúrese de que almacenes de claves SSL está seleccionado. Haga clic en Nuevo.
Escriba un nombre lógico y una descripción.
Especifique la ruta en la que desea que se cree el almacén de claves. Si ya ha creado un almacén de claves mediante ikeyman, especifique la ruta al archivo de almacén de claves.
Especifique y confirme la contraseña.
Elija el tipo de almacén de claves y haga clic en Aplicar.
Guarde la configuración maestra.
Haga clic en Certificado personal.
Si ya ha creado un almacén de claves con ikeyman, aparecerá el certificado. De lo contrario, deberá agregar un nuevo certificado con firma automática siguiendo estos pasos:
Repita los pasos del 2 al 10 para crear un almacén de confianza.
En la Consola administrativa de WebSphere, seleccione Seguridad > Certificado SSL y administración de claves.
Haga clic en Administrar configuración de seguridad de extremo. Se abre el mapa de topología local.
En Entrante, seleccione secundario directo de nodos.
En Elementos relacionados, seleccione Configuraciones SSL.
Seleccione NodeDeafultSSLSsting.
En las listas desplegables nombre del almacén de confianza y nombre del almacén de claves, seleccione el almacén de claves y el almacén de claves personalizados que ha creado.
Haga clic en Aplicar.
Guarde la configuración maestra.
Reinicie el perfil WebSphere.
El perfil ahora se ejecuta con la configuración SSL personalizada y el certificado.
Para convertir una dirección URL que empiece por https, agregue un certificado de firmante para esa dirección URL al servidor WebSphere.
Crear un certificado de firmante para un sitio habilitado para https
Asegúrese de que WebSphere se esté ejecutando.
En la Consola administrativa de WebSphere, vaya a los certificados Firmante y, a continuación, haga clic en Seguridad > Administración de certificados SSL y claves > Almacenes y certificados clave > NodeDefaultTrustStore > Certificados firmantes.
Haga clic en Recuperar del puerto y realice estas tareas:
www.paypal.com
.443
. Este puerto es el puerto SSL predeterminado.Haga clic en Recuperar información del firmante y, a continuación, verifique que se recuperó la información.
Haga clic en Aplicar y, a continuación, en Guardar.
La conversión de HTML a PDF desde el sitio cuyo certificado se agrega ahora funcionará desde el servicio Generar PDF.
Para que una aplicación se conecte a sitios SSL desde WebSphere, se requiere un certificado de firmante. Java Secure Socket Extensions (JSSE) lo utiliza para validar certificados que el lado remoto de la conexión se envía durante un protocolo de enlace SSL.
IBM WebSphere no permite múltiples llamadas a ORB.init() cuando Global Security está habilitado. Puede leer sobre la restricción permanente en https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Realice los siguientes pasos para establecer que el puerto sea dinámico y resolver el problema:
En la Consola administrativa de WebSphere, seleccione Servidores > Tipos de servidor > Servidor de aplicaciones WebSphere.
En la sección Preferencias, seleccione el servidor.
En la ficha Configuración, en la sección Comunicaciones, expanda Puertos y haga clic en Detalles.
Haga clic en los siguientes nombres de puerto, cambie el número de puerto a 0 y haga clic en Aceptar.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Abra [aem-forms_root]\crx-repository\launchpad\sling.properties archivo para editarlo.
Busque la propiedad sling.bootdelegation.ibm
y agregue com.ibm.websphere.ssl.*
a su campo de valor. El campo actualizado tiene el siguiente aspecto:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Guarde el archivo y reinicie el servidor.