Configurar SSL para el servidor de aplicaciones WebSphere

Última actualización: 5 de mayo de 2025

Se aplica a:
Experience Manager 6.5

Temas:
Seguridad de documento

Creado para:

Usuario
Desarrollador

Esta sección incluye los siguientes pasos para configurar SSL con el servidor de aplicaciones de IBM WebSphere.

Creación de una cuenta de usuario local en WebSphere

Para habilitar SSL, WebSphere necesita tener acceso a una cuenta de usuario del Registro de usuarios del sistema operativo local que tenga permiso para administrar el sistema:

(Windows) Cree un usuario de Windows que forme parte del grupo Administradores y tenga el privilegio de actuar como parte del sistema operativo. (Consulte Crear un usuario de Windows para WebSphere).
(Linux, UNIX) El usuario puede ser un usuario raíz u otro usuario que tenga privilegios de raíz. Cuando habilite SSL en WebSphere, utilice la identificación del servidor y la contraseña de este usuario.

Creación de un usuario de Linux o UNIX para WebSphere

Inicie sesión como usuario raíz.
Crear una usuario introduciendo el siguiente comando en un símbolo del sistema:
- (Linux y Sun Solaris) useradd
- (IBM AIX) mkuser
Configure el contraseña de la nueva usuario introduciéndolo passwd en el símbolo del sistema.
(Linux y Solaris) Crear un archivo de contraseña instantánea introduciéndolo pwconv (sin parámetros) en el símbolo del sistema.

NOTE
(Linux y Solaris) Para que funcione el registro de seguridad del sistema operativo local de WebSphere Application Server, debe existir un archivo de contraseña de instantánea. El archivo de contraseña de sombra normalmente se denomina /etcetera/shadow y se basa en el archivo /etcetera/passwd. Si el archivo de contraseña de instantánea no existe, se produce un error después de habilitar la seguridad global y configurar el Registro de usuarios como sistema operativo local.
Abra el archivo grupo desde el directorio /etcetera en un editor de texto.
añadir al grupo el usuario que creó en el root paso 2.
Guarde y cierre el archivo.
(UNIX con SSL habilitado) Inicie y detenga WebSphere como usuario raíz.

Crear un usuario de Windows para WebSphere

Inicie sesión en Windows con una cuenta de usuario de administrador.
Seleccione Inicio > Panel de control de Campaign > Herramientas administrativas > Administración de equipos > Usuarios y grupos locales.
Haga clic con el botón derecho en Usuarios y seleccione Nuevo usuario.
Escriba un nombre de usuario y una contraseña en los cuadros correspondientes y cualquier otra información que necesite en los cuadros restantes.
Anule la selección de El usuario debe cambiar la contraseña en el siguiente inicio de sesión, haga clic en Crear y, a continuación, haga clic en Cerrar.
Haga clic en Usuarios, haga clic con el botón secundario en el usuario que ha creado y seleccione Propiedades.
Haga clic en la ficha Miembro de y, a continuación, en Agregar.
En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba Administrators, haga clic en Comprobar nombres para asegurarse de que el nombre del grupo es correcto.
Haz clic en Aceptar y luego haz clic en Aceptar de nuevo.
Seleccione Inicio > Panel de control de Campaign > Herramientas administrativas > Directiva de seguridad local > Directivas locales.
Haga clic en Asignación de derechos de usuario y, a continuación, haga clic con el botón secundario en Actuar como parte del sistema operativo y seleccione Propiedades.
Haga clic en Agregar usuario o grupo.
En el cuadro Escriba los nombres de objeto que desea seleccionar, escriba el nombre del usuario que creó en el paso 4, haga clic en Comprobar nombres para asegurarse de que el nombre es correcto y, a continuación, haga clic en Aceptar.
Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades del sistema operativo.

Configure WebSphere para utilizar el usuario recién creado como administrador

Asegúrese de que WebSphere se esté ejecutando.
En la consola administrativa de WebSphere, seleccione Seguridad > Seguridad global.
En Seguridad administrativa, seleccione Funciones de usuario administrativo.
Haga clic en Agregar y haga lo siguiente:
1. Escriba * en el cuadro de búsqueda y haga clic en buscar.
2. Haga clic en Administrador en los roles.
3. Agregue el usuario recién creado a la función Asignado a y asígnelo al administrador.
Haga clic en Aceptar y guarde los cambios.
Reinicie el perfil de WebSphere.

Habilitar la seguridad administrativa

En la consola administrativa de WebSphere, seleccione Seguridad > Seguridad global.
Haga clic en Asistente para configuración de seguridad.
Asegúrese de que la casilla de verificación Habilitar seguridad de la aplicación esté habilitada. Haga clic en Siguiente.
Seleccione Repositorios federados y haga clic en Siguiente.
Especifique las credenciales que desea establecer y haga clic en Siguiente.
Haga clic en Finalizar.
Reinicie el perfil de WebSphere.

WebSphere empieza a utilizar el almacén de claves y el almacén de confianza predeterminados.

Habilitar SSL (clave personalizada y almacén de confianza)

Se pueden crear Truststore y keystore con la utilidad ikeyman o Admin Console. Para que ikeyman funcione correctamente, asegúrese de que la ruta de instalación de WebSphere no contenga paréntesis.

En la consola administrativa de WebSphere, seleccione Seguridad > Certificado SSL y administración de claves.
Haga clic en Almacenes de claves y certificados en Elementos relacionados.
En el menú desplegable Usos del almacén de claves, asegúrese de que Almacenes de claves SSL esté seleccionado. Haga clic en Nuevo.
Escriba un nombre lógico y una descripción.
Especifique la ruta en la que desea crear el almacén de claves. Si ya ha creado un repositorio de claves mediante ikeyman, especifique la ruta al archivo del repositorio de claves.
Especifique y confirme la contraseña.
Elija el tipo de almacén de claves y haga clic en Aplicar.
Guarde la configuración maestra.
Haga clic en Certificado personal.
Si ya ha creado un repositorio de claves con ikeyman, su certificado aparecerá. De lo contrario, debe agregar un nuevo certificado autofirmado realizando los siguientes pasos:
1. Seleccione Crear > certificado autofirmado.
2. Especifique los valores adecuados en el formulario de certificado. Asegúrese de mantener Alias y nombre común como nombre de dominio completo de la máquina.
3. Haga clic en Aplicar.
Repita los pasos 2 a 10 para crear un almacén de confianza.

Aplicar almacén de claves personalizado y almacén de confianza al servidor

En la consola administrativa de WebSphere, seleccione Seguridad > Certificado SSL y administración de claves.
Haga clic en Administrar configuración de seguridad de endpoints. Se abre el mapa de topología local.
En Entrante, seleccione nodo secundario directo de nodos.
En Artículos relacionados, seleccione Configuraciones SSL.
Seleccione NodeDeafultSSLSetting.
En las listas desplegables nombre de almacén de confianza y nombre de almacén de claves, seleccione el almacén de confianza personalizado y el almacén de claves que ha creado.
Haga clic en Aplicar.
Guarde la configuración maestra.
Reinicie el perfil de WebSphere.

El perfil ahora se ejecuta en la configuración SSL personalizada y en el certificado.

AEM Habilitación de la compatibilidad con nativos de formularios

En la consola administrativa de WebSphere, seleccione Seguridad > Seguridad global.
En la sección Autenticación, expanda Seguridad RMI/IIOP y haga clic en Comunicaciones entrantes CSIv2.
Asegúrese de que Compatible con SSL esté seleccionado en la lista desplegable Transporte.
Reinicie el perfil de WebSphere.

Configuración de WebSphere para convertir direcciones URL que comienzan por https

Para convertir una dirección URL que comience por https, agregue un certificado de firmante para esa dirección URL al servidor de WebSphere.

Crear un certificado de firmante para un sitio habilitado para https

Asegúrese de que WebSphere se esté ejecutando.
En la consola administrativa de WebSphere, vaya a Certificados de firmante y, a continuación, haga clic en Seguridad

Certificados SSL y Administración de claves > Almacenes de claves y certificados > NodeDefaultTrustStore > Certificados de firmante.
Haga clic en Recuperar desde puerto y realice estas tareas:
- En el cuadro Host, escriba la dirección URL. Por ejemplo, escriba www.paypal.com.
- En el cuadro Puerto, escriba 443. Este puerto es el puerto SSL predeterminado.
- En el cuadro Alias, escriba un alias.
Haga clic en Recuperar información del firmante y, a continuación, compruebe que se ha recuperado la información.
Haga clic en Aplicar y, a continuación, en Guardar.

La conversión de HTML a PDF desde el sitio cuyo certificado se agrega ahora funcionará desde el servicio Generate PDF.

NOTE

Para que una aplicación se conecte a sitios SSL desde WebSphere, se requiere un certificado de firmante. Java Secure Socket Extensions (JSSE) lo utiliza para validar certificados que el lado remoto de la conexión envió durante un protocolo de enlace SSL.

Configuración de puertos dinámicos

IBM WebSphere no permite llamadas múltiples a ORB.init() cuando la seguridad global está habilitada. Puede leer más sobre la restricción permanente en https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.

Realice los siguientes pasos para configurar el puerto para que sea dinámico y resolver el problema:

En la consola administrativa de WebSphere, seleccione Servidores > Tipos de servidor > Servidor de aplicaciones WebSphere.
En la sección Preferencias, seleccione el servidor.
En la ficha Configuración, en la sección Comunicaciones, expanda Puertos y haga clic en Detalles.
Haga clic en los siguientes nombres de puerto, cambie el número de puerto a 0 y haga clic en Aceptar.
- ORB_LISTENER_ADDRESS
- SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
- CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
- CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS

Configuración del archivo sling.properties

Abra [aem-forms_root]\crx-repository\launchpad\sling.properties para editarlo.
Busque la propiedad sling.bootdelegation.ibm y agregue com.ibm.websphere.ssl.*a su campo de valor. El campo actualizado tiene el siguiente aspecto:
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Guarde el archivo y reinicie el servidor.

recommendation-more-help