Criar certificados no lado do servidor para Collaborative Lifecycle Management

Certificados para Rational Quality Manager, Rational Team Concert e Rational Requirements Composer em um servidor WebSphere ou Tomcat

Para um administrador de ferramentas Rational, instalar e implantar novos softwares e tecnologias pode, às vezes, ser uma tarefa de grandes proporções, especialmente quando a documentação abrange várias marcas da IBM. Instrução sobre o uso de certificados normalmente é omitida, pois a documentação o leva para o IBM ® WebSphere®, e baseia-se na pressuposição de que você possui um conhecimento de trabalho de certificados. Neste tutorial, Neil Williams fornece uma breve visão geral e, em seguida, etapas detalhadas para configurar certificados para servidores WebSphere e Tomcat para IBM® Rational Team Concert™, Rational® Quality Manager e Rational® Requirements Composer.

Neil Williams, Senior Consultant in Quality Management and Test Automation Architectures, IBM

author photoNeil Williams é senior technical consultant na IBM, especializado em atividades pré e pós-vendas relacionadas a teste automatizado de qualidade de software, gerenciamento de qualidade e processo de teste. Ele é altamente proficiente em todos os aspectos do ciclo de vida de desenvolvimento de software.



30/Ago/2013

Visão geral

A instalação padrão da solução Rational para Collaborative Lifecycle Management (CLM) inclui IBM® Rational Team Concert™, IBM® Rational® Quality Manager e Rational® Requirements Composer. Esses aplicativos são configurados para usarem o protocolo HTTPS em combinação com um certificado SSL para garantir uma conexão segura e confiável entre os usuários e o servidor. Você provavelmente entende que HTTPS criptografa a comunicação entre o navegador da web de um usuário e o servidor da web para evitar que outros a leiam. Porém, o mundo dos certificados é um mistério para a maioria de nós.

Os certificados enquadram-se em duas categorias: clienteou servidor. Um certificado cliente garante que apenas clientes autorizados possam se conectar a um servidor. A integração do Rational CLM usa certificados do lado do servidor para certificar que o servidor que os aplicativos estão acessando é genuíno.


Criando certificados no WebSphere Application Server

Se você estiver criando um certificado de servidor para uma implementação de Rational CLM em um IBM® WebSphere® Application Server, isso significa que você pelo está um pouco familiarizado com o console administrativo do WebSphere.

  1. Inicie o console administrativo do WebSphere para a sua instalação do WebSphere Application Server, como mostra a Figura 1.
Figura 1. Localização do console administrativo
Localização do console administrativo

Isso automaticamente abre a URL correta com base em como você configurou a segurança administrativa (a segurança deve estar habilitada). Pode ser apresentado o aviso de certificado na Figura 2, dependendo do navegador da web usado.

Figura 2. Aviso de certificado do Microsoft Internet Explorer
Aviso de certificado do Microsoft Internet Explorer
  1. Clique em Continue to this website (not recommended), e verá a tela de login do WebSphere mostrada na Figura 3. Observe o segundo plano rosa atrás da janela da URL.
Figura 3. Tela de login do WebSphere
Tela de login do WebSphere
  1. Faça o login com as credenciais criados ao configurar o WebSphere Application Server.
  2. Depois de ter efetuado login, no menu à esquerda (Figura 4), clique no sinal de mais ao lado de Security para que seja possível ver as opções.
Figura 4. Segurança do WebSphere
Segurança do WebSphere
  1. Sob a opção Security expandida, selecione SSL certificate and key management , como a Figura 5 mostra.
Figura 5. Certificado SSL e gerenciamento de chave
Certificado SSL e gerenciamento de chave

É possível encontrar tudo o que é necessário fazer na seção Related Items dessa página, que é mostrada na Figura 6. A primeira tarefa é criar um certificado autoassinado para representar o servidor.

Observação:
Este tutorial é baseado na pressuposição de que o servidor CLM não é um voltado para o público. Determinados websites comerciais, como de um banco outra instituição financeira, normalmente compra um certificado de uma autoridade de certificado confiável para provar que o website realmente representa aquela organização. Não é preciso se preocupar em obter um certificado de um publicador confiável, pois você mesmo está certificando seu site.

  1. Em Related Items, clique em Key stores and certificates.
Figura 6. Certificados e keystores
Certificados e keystores

Os certificados são mantidos dentro de um keystore. Embora seja possível criar o seu próprio, faz sentido usar o fornecido. Ele é criado na primeira vez em que o WebSphere Application Server inicia.

  1. Clique em NodeDefaultKeyStore na tabela mostrada na Figura 7.
Figura 7. Keystore padrão do WebSphere
Keystore padrão do WebSphere
  1. Além de General Properties do keystore, é possível ver Additional Properties no lado direito. Clique no link Personal certificates destacado na Figura 8.
Figura 8. Opção Personal certificates sob Additional Properties
Opção Personal certificates sob Additional Properties

Será apresentada uma tabela contendo certificados. É possível ignorá-los, pois são os certificados padrão criados pelo WebSphere Application Server.

  1. Clique na seta Create e, no menu suspenso resultante, clique em Self-signed Certificate como mostra a Figura 9.
Figura 9. Criando um certificado autoassinado
Criando um certificado autoassinado
  1. Preencha o formulário do certificado usando os detalhes da sua organização. Os campos obrigatórios são alias, o common namee ovalidity period. Mas é possível inserir detalhes adicionais, como o nome da organização e do departamento.

Importante:
O common namedeve ser o nome do servidor usado na URL para acessar o website. Por exemplo, o servidor usado neste tutorial é chamado vm-demo-env.local.domain , como visto na Figura 2 anteriormente e na Figura 10 a seguir. Se um alias DNS for usado para acessar o servidor CLM, como um vm-clm-env.local.domain, isso será usado como o nome comum no certificado autoassinado.

  1. Depois de ter preenchido o formulário, clique em OK.
Figura 10. Detalhes do certificado
Detalhes do certificado
  1. Quando você for solicitado a salvar a configuração mestre para incluir suas alterações (Figura 11), clique em Save.
Figura 11. Salvando a configuração mestre
Salvando a configuração mestre
  1. Selecione o link SSL certificate and key management na trilha de navegação mostrada na Figura 12 para navegar de volta para SSL certificate and key management .
Figura 12. Certificado SSL e gerenciamento de chave
Certificado SSL e gerenciamento de chave
  1. Na seção Related Items à direita (Figura 13), selecione o link para SSL configurations.
Figura 13. Configurações SSL
Configurações SSL
  1. Clique no link NodeDefaultSSLSettings na tabela SSL Configurations como mostra a Figura 14.
Figura 14. Configurações SSL padrão
Configurações SSL padrão

O WebSphere Application Server pode armazenar vários certificados. É necessário garantir que o certificado criado para CLM seja um emitido pelo WebSphere ao conectar-se ao servidor.

  1. Para fazer isso, no menu suspenso Default server certificate alias , selecione o alias CLM criado (consulte a Figura 15) e clique em OK.
  2. Quando for solicitado a salvar a configuração mestre novamente, clique em Save.
Figura 15. Configuração do alias padrão
Configuração do alias padrão
  1. Depois de ter salvo a configuração mestre, faça logout, saia do console administrativo o WebSphere e feche o navegador da web.

Criação de certificados no Apache Tomcat

Um servidor Apache Tomcat não fornece funcionalidade para criar ou gerenciar certificados. Em vez disso, ele faz referência a certificados existentes criados em outro lugar. Dentro do diretório de instalação CLM está um Java runtime environment (JRE) que inclui um utilitário chamado IBM Key Management (ikeyman.exe):

INSTALL_PATH\JazzTeamServer\server\jre\bin\ikeyman.exe

  1. Inicie o utilitário IBM Key Management usando esse caminho. A Figura 16 mostra o utilitário em execução.
Figura 16. Utilitário IBM Key Management
Utilitário IBM Key Management
  1. Os certificados são armazenados dentro um keystore, assim, crie um novo keystore a partir do botão da barra de ferramentas ou menu e insira o nome do arquivo keystore e seu caminho. Para este exemplo, armazene-o no diretório JazzTeamServer e atribua a ele o nome de the_CLM_keystore.jks, como mostra a Figura 17.
  2. Em seguida, clique em OK.
Figura 17. Criação de um novo keystore
Criação de um novo keystore
  1. Como mostra a Figura 18, você será solicitado a fornecer uma senha para o keystore, neste exemplo, você usará clmpwd.
Figura 18. Proteção do keystore com senha
Proteção do keystore com senha

Depois de o keystore ser criado, o botão para criar um certificado autoassinado é habilitado.

  1. Clique em New Self-Signed e preencha o certificado como mostra a Figura 19. Os campos obrigatórios são key label, o common name (ignore o fato de que diz optional) e o validity period, mas é possível inserir detalhes adicionais, como nome da organização e do departamento.

Observação:
O common namedeve ser o nome do servidor usado na URL para acessar o website. Por exemplo, o servidor usado neste tutorial é chamado vm-demo-env.local.domain. Se um alias DNS for usado para acessar o servidor CLM, como um vm-clm-env.local.domain, isso será usado como o nome comum no certificado autoassinado.

  1. Depois de ter preenchido o formulário, clique em OK.
Figura 19. Detalhes do certificado
Detalhes do certificado

Depois da criação do certificado, você o verá listado no keystore, como mostra a Figura 20.

Figura 20. Keystore e certificado
Keystore e certificado

Agora que ele foi adicionado ao keystore, certifique-se de salvar o certificado.

  1. Clique no botão Save na barra de ferramentas ou selecione-o no menu.

O utilitário parece responder somente ao conceito de save as, assim, será preciso substituir o keystore anterior criado ao salvar este.

  1. Navegue para o diretório JazzTeamServer , selecione o arquivo the_CLM_keystore.jks e clique em Save, como mostrado na Figura 21.
Figura 21. Salvar o keystore e o certificado
Salvar o keystore e o certificado
  1. Quando for solicitado a confirmar a substituição do arquivo existente, clique em Yes e depois saia do utilitário IBM Key Management.

Agora é preciso configurar o servidor de aplicativo Apache Tomcat para emitir este certificado. Para fazer isso, será preciso modificar o Tomcat server.xml :

INSTALL_PATH\JazzTeamServer\server\tomcat\conf\server.xml

  1. Abra esse arquivo usando o Bloco de Notas ou o WordPad no Windows, e localize a seção destacada na Figura 22.
Figura 22. A seção SSL do arquivo server.xml
A seção SSL do arquivo server.xml

A segunda seção destacada na Figura 22 contém a configuração SSL padrão usada por Tomcat. Isso precisa ser atualizado para fazer referência ao keystore e ao certificado criados anteriormente neste tutorial. A Figura 23 mostra os valores de keystoreFile e keystorePass que necessitam ser atualizados.

  1. Substitua os valores padrão de keystoreFile e keystorePass pelos novos detalhes e depois selecione save e feche-o.
Figura 23. Referências ao novo keystore e certificado
Referências ao novo keystore e certificado
  1. Se o servidor Tomcat estiver em execução no momento, será preciso pará-lo e reiniciá-lo.

Instalando certificados na máquina do cliente

Quando um cliente conectar-se ao servidor, um certificado é apresentado a ele. Se o certificado for emitido por um publicador confiável, ele será aceito e a interação entre cliente/servidor continuará sem interrupção.

Se o certificado for de uma origem desconhecida e, portanto, não confiável, o cliente lança uma exceção. Diferentes clientes tratam essas exceções de certificado de maneiras diferentes. Este tutorial foca no Internet Explorer, mas abrange brevemente outros clientes no fim desta seção.

  1. Ao abrir o Internet Explorer e navegar para a URL a partir de uma instalação do Rational CLM, receberá o erro de certificado mostrado na Figura 24. Entretanto, é possível simplesmente continuar para o site não confiável. Clique no link que diz Continue to this website (not recommended).
Figura 24. Erro de certificado
Erro de certificado

Quando você escolhe continuar para o website, o Internet Explorer exibe a tela de login do CLM. Como a Figura 25 mostra, a barra de URL tem um segundo plano de rosa e o aviso Certificate Error é exibido.

  1. Clique na seta Certificate Error destacada na Figura 25 para exibir informações sobre o erro de certificado, como mostra a Figura 26.
Figura 25. Uma página de login não confiável
Uma página de login não confiável
  1. Na janela pop-up Untrusted Certificate, clique no link View certificates .
Figura 26. Detalhes do erro de certificado
Detalhes do erro de certificado

A visualização Certificate Information mostrada na Figura 27 mostra o certificado criado. É possível ver na mensagem que seu servidor atualmente não é confiável e que o certificado foi emitido para o seu servidor e está sendo usado pelo seu servidor para confirmar a identidade. O certificado é válido para os 365 dias que você inseriu no certificado.

  1. Clique no botão Install Certificate .
Figura 27. Detalhes do certificado a ser instalado
Detalhes do certificado a ser instalado
  1. Siga as etapas no Certificate Import wizard. Aceite os valores padrão e clique em Next até chegar à tela que a Figura 28 mostra.
  2. Selecione o botão de opções Place all certificates in the following store e browse para Trusted Root Certification Authorities.
  3. Selecione OK e continue avançando no assistente, aceitando os padrões, até a conclusão.
Figura 28. Importando um certificado
Importando um certificado

Como a Figura 29 mostra, você será alertado de que instalar um certificado de um publicador não confiável impõe um risco à segurança, pois o Windows não reconhece essa autoridade de certificação.

  1. Você criou este certificado; portanto, sabe que ele é genuíno e pode ser instalado sem risco, portanto, clique em Yes.
Figura 29. Confirmando que você confia na autoridade de certificação
Confirmando que você confia na autoridade de certificação
  1. Você verá um diálogo de configuração como o mostrado na Figura 30 depois de o certificado ser importado.
Figura 30. O aviso diz "The import was successful"
O aviso diz
  1. Reinicie o Internet Explorer e navegue para a URL para a configuração do Rational CLM. Observe as alterações:
    • A página de advertência do certificado não é mais exibida; em vez disso, a tela de login do CLM é exibida.
    • A barra da URL não tem mais um segundo plano rosa.
    • O aviso de erro do certificado não existe mais e foi substituído por um ícone de cadeado dourado (veja a Figura 31). Clicar no cadeado mostra que o certificado CLM agora é confiável.
Figura 31. Uma conexão confiável
Uma conexão confiável

Resumo

É possível implementar a solução Rational para Collaborative Lifecycle Management em um IBM WebSphere Application Server ou em um servidor Apache Tomcat. Este tutorial abrange ambas as opções, usando instalações novas do servidor Apache Tomcat integrado instaladas como parte do CLM ou a cópia fornecida do software WebSphere Application Server.

Embora o Internet Explorer seja um dos navegadores da web mais comuns usados com aplicativos Rational CLM, diferentes navegadores tratam certificados de maneiras diferentes. Por exemplo, o Mozilla Firefox não aceita um certificado autoassinado, mas permite que o usuário crie uma exceção para permitir sites não confiáveis especificados pelo usuário. O cliente Rational Team Concert armazena certificados no seu próprio armazenamento confiável. Cada cliente se comporta de maneira diferente, mas ter um certificado que possa ser confiável elimina alertas desnecessários e preocupações do usuário.

Recursos

Aprender

Obter produtos e tecnologias

Discutir

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Rational
ArticleID=942581
ArticleTitle=Criar certificados no lado do servidor para Collaborative Lifecycle Management
publish-date=08302013