Plataforma de próxima generación

Adición de certificados de salida

Los usuarios con el rol de Desarrollador pueden añadir certificados de cliente y de confianza en Self Service.

Acerca de esta tarea

Los certificados de salida son para la personalización para poder hablar con sistemas externos. Hay dos tipos de conexiones que se pueden establecer.
  • Conexiones SSL/TLS seguras-Algunos certificados que son necesarios en el almacén de confianza para establecer la conexión y confiar en el certificado que se devuelve se conocen como certificados de terceros.
  • Conexiones SSL/TLS seguras mutuamente autenticadas-La aplicación requiere un certificado de cliente que se utiliza para establecer la conexión segura. Para la aplicación, para tener un certificado de cliente, debe cargar el certificado y la clave privada.

Cuando desee establecer una conexión TLS, la aplicación Sterling™ Order Management System debe confiar en el servidor con el que se conecta. Para establecer esta confianza, la aplicación Sterling Order Management System debe poder validar el certificado devuelto por el servidor. La aplicación Sterling Order Management System puede confiar en los certificados directamente o puede confiar en los emisores que han creado los certificados. Si la aplicación Sterling Order Management System confía en los emisores de los certificados, no tendrá ningún impacto cuando se actualicen los certificados para un servidor.

De forma predeterminada, algunos emisores estándar son de confianza en la aplicación Sterling Order Management System , lo que reduce el trabajo manual para configurar la confianza. Si desea verificar si el servidor al que se está conectando la aplicación Sterling Order Management System está de forma predeterminada en la lista de certificados de confianza, puede examinar el archivo cacerts del entorno de desarrollo. Este archivo contiene todos los certificados predeterminados de confianza. Si el certificado en el que desea confiar está en este archivo, no es necesaria ninguna acción adicional. Si no encuentra el certificado en este archivo, debe cargar la cadena de certificados utilizando Autoservicio. Utilice los pasos siguientes para verificar si el certificado está listado en el archivo cacerts:
  1. Vaya al directorio jdk/bin en el tiempo de ejecución extraído del kit de herramientas del desarrollador.

    devtoolkit_docker/runtime/jdk/bin

  2. Ejecute el mandato siguiente.
    ./keytool -list -keystore ../jre/lib/omoc_security/cacerts
  3. Especifique changeit si se le solicita una contraseña.

    Se muestra una lista de todos los certificados de confianza que también están disponibles en los entornos de nube.

Se recomienda proporcionar el certificado intermedio y el certificado raíz para que la aplicación tenga una lista completa de confianza en el almacén de confianza. Para los certificados de cliente, también puede utilizar la cadena de confianza para identificar qué certificado utilizar.

Una cadena de certificados es una lista ordenada de certificados y contiene un certificado SSL y los certificados de la entidad emisora de certificados (CA). Permite al receptor verificar que el remitente y todos los certificados de CA son de confianza. La cadena empieza con un certificado SSL y cada certificado de la cadena está firmado por la entidad identificada por el siguiente certificado de la cadena.

Cualquier certificado que esté entre el certificado SSL y el certificado raíz se denomina una cadena o certificado intermedio. El certificado intermedio es el firmante o emisor del certificado SSL. El certificado de CA raíz es el firmante o emisor del certificado intermedio. Para que el certificado SSL sea compatible con todos los clientes, es obligatorio que se instale el certificado intermedio. Puede añadir varios certificados intermedios.

La cadena finaliza con un certificado de CA raíz. El certificado de CA raíz siempre está firmado por la propia entidad emisora de certificados. Las firmas de todos los certificados de la cadena deben verificarse hasta el certificado de CA raíz.

Puede cargar certificados intermedios como certificados de confianza para que un entorno de Sterling Order Management System pueda confiar en dicho certificado. Si un entorno de Sterling Order Management System confía en un certificado intermedio, también puede confiar en todos los certificados de cliente de punto final firmados por dicho certificado intermedio.

No debe cargar certificados directamente y debe utilizar la cadena de confianza. Por lo tanto, cuando los certificados cambian, puede actualizarlos fácilmente.

Para más información sobre cómo acceder a las aplicaciones de IBM Sterling® Order Management Sistema, consulte Acceso a las aplicaciones IBM Sterling Order Management Sistema .

Procedimiento

  1. Acceda a Autoservicio con su IBMid.
  2. En el menú Autoservicio , pulse Entornos.
  3. En la lista de entornos, seleccione un entorno.
  4. En la pestaña Certificados , pulse Salida.
  5. Para cargar certificados de cliente, realice los pasos siguientes.
    1. Pulse Añadir certificado y, a continuación, seleccione la opción Añadir certificado de cliente .
    2. En la página Añadir certificado , especifique el alias, el certificado en el formato PEM, la clave privada del certificado en el formato PEM y la cadena de certificados en el formato PEM.
      Nota: La clave privada del certificado debe estar en el formato PEM y debe descifrarse. El archivo de claves debe empezar y finalizar en el formato siguiente:
      -BEGIN PRIVATE KEY-
      -END PRIVATE KEY- 
      Si el archivo de claves se inicia en los formatos siguientes, debe convertir el archivo de claves utilizando un mandato openssl.
      • El archivo de claves empieza por ---BEGIN RSA PRIVATE KEY---. Es una clave RSA básica y Java™ no maneja esta clave.
      • El archivo de claves empieza por ---BEGIN ENCRYPTED PRIVATE KEY---. Esta es una clave cifrada y no se procesa.
      Utilice el siguiente mandato openssl para convertir el formato del archivo de claves y pasar la nueva clave en Autoservicio.
      openssl pkcs8 -in <old_key_file> -out <new_key_file> -nocrypt -topk8
    3. Si desea añadir más certificados en la misma cadena, pulse Añadir otro certificado a la cadena.
    4. Pulse Añadir.
  6. Opcionalmente, puede pulsar Cargar almacén de claves para cargar un archivo .p12 o .pfx.
  7. Para cargar certificados de confianza, realice los pasos siguientes.
    1. Pulse Añadir certificado y, a continuación, seleccione la opción Añadir certificado de confianza .
    2. En la página Añadir certificado , especifique el alias y el certificado en el formato PEM.
    3. Pulse Añadir.

Qué hacer a continuación

Después de añadir certificados de salida, pulse Aplicar cambios para aplicar los certificados en el entorno.