Configuración de TLS (instalación no OCP)

Se recomienda configurar para utilizar su propio certificado para TLS.
TLS está habilitado de forma predeterminada.
Si no proporciona un certificado, TA generará un certificado autofirmado cuando TLS esté habilitado.
- Existen una serie de limitaciones al utilizar un certificado autofirmado.
- No se da soporte a LibreSSL.
TA utiliza el formato .crt para el certificado público y .pem para la clave privada.

TLS (instalación no OCP)

TLS está activado y configurado por defecto que se puede ver en ' .security_config, si el archivo no existe crearlo.

cd scripts
vi .security_config

Valores por defecto para " .security_config

# Https

TA_AUTH_ENABLE_TLS=true
TA_LOCAL_INTERNAL_SERVER_PORT=9443
TA_LOCAL_INTERNAL_UI_PORT=3443
TA_LOCAL_INTERNAL_DB_PORT=6984

TA_AES_IV=
TA_AES_KEY=

Si se cambian los valores reinicie TA_LOCAL

./launch.sh

Choose Re-initialize Configuration from the menu option

Utilización de su propio certificado con TA_LOCAL

Editar en línea

Para utilizar su propio certificado, debe tener un certificado y una clave privada. Toda la codificación debe estar en el formato pem.

Puede utilizar archivos directamente o almacenar los valores relevantes como variables de entorno.

A continuación se muestra un ejemplo de cómo obtener un par de certificado y clave, debiendo estar el certificado y la clave propios en el mismo formato:

openssl req -newkey rsa:2048 -keyout private.pem -x509 -nodes -new -out public.crt \
-subj "/C=IE/ST=Cork/L=Cork/emailAddress=Transformation.Advisor@ie.ibm.com/O=TA/OU=TA/CN=ta.server.local" \
-addext "subjectKeyIdentifier=hash" \
-addext "authorityKeyIdentifier=keyid:always,issuer" \
-addext "basicConstraints = critical,CA:false" \
-addext "keyUsage = digitalSignature, keyEncipherment" \
-addext "extendedKeyUsage = serverAuth" \
-addext "subjectAltName=DNS:localhost,DNS:ta.server.local" \
-sha256 \
-days 365

Después de obtener su propio par de certificado y clave, siga los pasos para habilitar su propio certificado y clave:

Certificados como archivos

Editar en línea

Nota: El certificado debe estar en un archivo llamado: public.crt.

Nota: La clave privada debe estar en un archivo llamado: private.pem.

Nota: El archivo private.pem debe estar sin cifrar. Si, al abrir el archivo, éste indica que está cifrado, deberá descifrarlo antes de utilizarlo.

Complete los pasos siguientes:

Vaya a la ubicación <TA_LOCAL_HOME> y detenga TA_LOCAL

./launch.sh
Choose Stop Transformation Advisor from the menu option

Configurar TA_LOCAL para utilizar los archivos

cd key
Copy the private.pem and public.crt files to this location

Iniciar TA_LOCAL

./launch.sh
Choose Re-initialize Configuration from the menu option

Certificados como variables de entorno

Editar en línea

Nota: Cualquier archivo en la carpeta de claves (detallada anteriormente) anulará estas variables de entorno.

Para utilizar las variables de entorno debe eliminar la carpeta de claves si existe

Nota: El archivo private.pem debe estar sin cifrar. Si, al abrir el archivo, éste indica que está cifrado, deberá descifrarlo antes de utilizarlo.

Complete los pasos siguientes:

Vaya a la ubicación <TA_LOCAL_HOME> y detenga TA_LOCAL

./launch.sh
Choose Stop Transformation Advisor from the menu option

Configurar TA_LOCAL para utilizar variables de entorno

base64 -w 0 key/private.pem > key/private-base64
Copy the text in private-base64 and set it as the value for TA_PRIVATE_KEY in .security_config
base64 -w 0 key/public.crt > key/public-base64
Copy the text in public-base64 and set it as the value for TA_PUBLIC_KEY in .security_config

Iniciar TA_LOCAL

./launch.sh
Choose Re-initialize Configuration from the menu option

Limitaciones del navegador al utilizar certificados autofirmados

Editar en línea

Los distintos navegadores reaccionan de forma diferente cuando encuentran certificados autofirmados.
Su comportamiento también depende de la configuración de seguridad de cada usuario.
En el momento de escribir estas líneas, este es el comportamiento actual de los distintos navegadores.

Chrome

Editar en línea

Este no le permitirá conectarse a un servidor utilizando un certificado autofirmado
Posibles soluciones
- Utilizar su propio certificado
- Instalar el certificado autofirmado como un certificado de confianza en el navegador

Firefox

Editar en línea

Esto le permitirá conectarse a un servidor utilizando un certificado autofirmado sólo después de aceptar el riesgo.
No podrás cargar datos directamente desde el navegador incluso después de aceptar el riesgo
Posibles soluciones
- Utilizar su propio certificado
- Instalar el certificado autofirmado como un certificado de confianza en el navegador
- Configure un proxy para TA, esto le permitirá subir datos directamente desde el navegador

Safari

Editar en línea

Esto le permitirá conectarse a un servidor utilizando un certificado autofirmado sólo después de aceptar el riesgo.
Posibles soluciones
- Utilizar su propio certificado
- Instalar el certificado autofirmado como un certificado de confianza en el navegador

Desactivación de TLS (instalación no OCP)

Editar en línea

Copia de seguridad de ' .security_config ' si existe

cd scripts
cp .security_config .security_config.backup

Si " .security_config " no existe, cree " .security_config"

cd scripts
vi .security_config

Valores por defecto para " .security_config

# Http
TA_AUTH_ENABLE_TLS=false
TA_LOCAL_INTERNAL_SERVER_PORT=9080
TA_LOCAL_INTERNAL_UI_PORT=3000
TA_LOCAL_INTERNAL_DB_PORT=5984

TA_AES_IV=
TA_AES_KEY=

Actualizar .configuration
```
cd scripts
vi .configuration
```

Valor de ' TA_EXTERNAL_UI_PORT actualizado en ' .configuration'

...
# Https
# Configured by default
#TA_EXTERNAL_UI_PORT=443

# Http
TA_EXTERNAL_UI_PORT=3000

Reinicializar TA_LOCAL

./launch.sh
Choose Re-initialize Configuration from the menu option