SSL (Secure Sockets Layer) es un sistema que cifra automáticamente la
información antes de enviarla a través de Internet y la descifra en el
otro extremo antes de utilizarla. Con estas operaciones se protege la
información confidencial como, por ejemplo, los dígitos de las tarjetas
de crédito, mientras se transmite a través de Internet.
Caching Proxy utiliza SSL para proteger los servidores sustitutos y proporcionar una
administración remota segura como se describe en los apartados siguientes. SSL también puede utilizarse para proteger las conexiones con
los servidores de programa de fondo (por ejemplo, los servidores de
contenido y de aplicaciones) además de las comunicaciones entre el servidor
proxy y sus clientes.
Para el proxy de reenvío, Caching Proxy da soporte a los túneles SSL, que
ignora SSL y reenvía los datos ya cifrados sin modificarlos.
Protocolo de enlace SSL
La protección se inicia cuando se envía una petición de conexión segura desde una
máquina a otra, por ejemplo, cuando un navegador envía una petición a un servidor proxy
sustituto. La sintaxis de petición https://
en lugar de http:// indica al navegador que envíe la petición al puerto
443, que es donde el servidor escucha las peticiones de conexiones seguras,
y no al puerto 80 para las peticiones rutinarias. Para establecer una
sesión segura entre el navegador y el servidor, las dos máquinas realizan
un intercambio denominado protocolo de enlace SSL
para acordar una especificación de cifrado y seleccionar una clave que se
utilice para cifrar y descifrar la información.
Las claves se generan
automáticamente y caducan cuando lo hace la sesión. Un escenario típico
para SSL Versión 3 es el que se describe a continuación:
Saludo del cliente
El cliente inicia una sesión SSL con Caching Proxy mediante el
envío de un mensaje de saludo del cliente que describe las posibilidades de
cifrado del cliente.
Saludo del servidor
El servidor envía su certificado al cliente y elige el
conjunto de cifrado que se va a utilizar para el cifrado de datos.
Finalización del cliente
El cliente envía la información de claves de
cifrado que se utilizan para crear las claves de cifrado simétricas de los
datos cifrados.
Este material de claves se conoce como
secreto premaestro y se cifra con la clave pública
del servidor, que se obtiene del certificado del servidor; consulte
Gestión de claves y certificados. Tanto el servidor como el cliente pueden derivar
las claves de cifrado simétricas de lectura y escritura a partir del
secreto premaestro.
Finalización del servidor
El servidor envía una confirmación final y un código de
autenticación de mensajes (MAC) para todo el protocolo de establecimiento de
comunicación).
Validación del cliente
El cliente envía un mensaje para validar el
mensaje de finalización del servidor.
Flujo de datos seguros
Si el cliente valida el mensaje de
finalización del servidor, comienza el flujo de datos cifrado.
La utilización de Caching Proxy como punto final para las conexiones seguras
puede reducir la carga de los servidores de contenido o de aplicación. Cuando Caching Proxy mantiene una conexión segura, realiza el cifrado, el
descifrado y la creación de claves, que son todas operaciones de uso
intensivo de la CPU. Asimismo, Caching Proxy le permite configurar los tiempos de espera
de sesiones SSL para maximizar la utilización de todas las claves.
Limitaciones de SSL
Las siguientes limitaciones se aplican a SSL en Caching Proxy de WebSphere Application Server:
Es posible que algunos navegadores no den soporte a toda la tecnología de
cifrado utilizada en Caching Proxy.
Ajuste de rendimiento de SSL
Durante volúmenes de tráfico altos de HTTPS, el servidor Caching Proxy
puede causar un uso elevado de la CPU. Cambios en el ajuste de una variable de entorno
(GSK_V3_SIDCACHE_SIZE) y de una directiva de proxy
(SSLV3Timeout) pueden ayudar al servidor proxy a gestionar la carga y reducir
el uso de CPU.
El ID de sesión de SSL identifica las sesiones SSL reutilizables, incluidas
las claves de cifrado o descifrado utilizadas por ambos navegadores y
servidores, y se utiliza para evitar protocolos de enlace SSL innecesarios en
las conexiones nuevas, que consumen buena parte del tiempo de CPU del servidor. La biblioteca de GSKit para el servidor Caching Proxy da
soporte al ID de sesión SSL e incluye una antememoria de ID de sesión SSL. Por omisión, la antememoria del ID de sesión SSL contiene 512 entradas.
Cuando se alcanza el límite de la entrada, la entrada de sesión más antigua se
eliminará y la nueva entrada se añadirá a la antememoria.
Utilice la variable de entorno GSK_V3_SIDCACHE_SIZE para cambiar el tamaño
por omisión de la memoria caché de ID de sesión SSL. Un valor válido de la variable está entre
1 y 4096. Si aumenta el tamaño, aumentará el tiempo de búsqueda necesario para
localizar una sesión SSL en antememoria. No obstante, el aumento del tiempo de búsqueda es insignificante comparado con
la actividad general que es necesaria para establecer una conexión SSL. Si aumenta el tamaño de la antememoria, ayudará al servidor proxy a gestionar
más sesiones SSL simultáneas y reducir el uso de la CPU cuando el servidor
proxy esté por debajo de cargas elevadas de HTTPS.
Caching Proxy también tiene una directiva ajustable, SSLV3Timeout. (Consulte el SSLV3Timeout: especificar el tiempo de espera
antes de que caduque una versión de SSLV3.) El
valor por omisión de la directiva es de 1000 segundos.
Esta directiva define la duración de una sesión SSL en la antememoria de sesión. Si ninguna conexión SSL entrante utiliza una sesión SSL existente y la duración
de la sesión sobrepasa este valor, la sesión será eliminada de la antememoria
de sesión. Es recomendable que ajuste el valor de
SSLV3Timeout a la duración típica de una sesión segura de cliente. Si el tiempo
de espera es demasiado corto, puede reducir el rendimiento del proxy porque se
necesitan varias sesiones de protocolo de enlace SSL para completar una sola
sesión segura. Sin embargo, si el valor es demasiado grande, también puede perjudicar la
seguridad de una sesión segura.
Túneles SSL
Sólo se aplica a configuraciones de proxy de reenvío.
Cuando Caching Proxy se configura como un proxy de reenvío, utiliza los túneles SSL
para dar soporte a las conexiones seguras entre los clientes y los servidores
de contenido.
En los túneles SSL, los datos cifrados se pasan a
través del servidor proxy sin experimentar modificaciones. Como el
servidor proxy no descifra los datos, no se da soporte en los túneles SSL
a las funciones que requieren que el servidor proxy lea las peticiones o
las cabeceras de documento. Asimismo, las peticiones de túnel no se
colocan en antememoria.
Figura 2 muestra cómo un conexión se establece mediante
los túneles SSL.
El cliente realiza una petición de túnel: CONNECT
nombre_sistppal-servidor:puerto HTTP/1.1 (o
HTTP/1.0). El número de puerto es opcional
y es 443 generalmente. El navegador del cliente enviará automáticamente la petición CONNECT primero al
servidor proxy para cada petición HTTPS si el proxy de reenvío se ha
configurado en el navegador.
El proxy acepta la conexión en su puerto 80, recibe la petición y se
conecta al servidor de destino en el puerto solicitado por el cliente.
El proxy responde al cliente que se ha establecido una conexión.
El proxy difunde mensajes de protocolo de enlace en ambas
direcciones: desde el cliente al servidor de destino y desde éste al cliente.
Después de que se haya completado el protocolo de enlace seguro, el
proxy envía y recibe datos cifrados para que se descifren en el cliente
o en el servidor de destino.
Si el cliente o el servidor de destino solicita el cierre de
cualquiera de los puertos, el servidor proxy cierra ambas conexiones (los
puertos 443 y 80) y continúa con su actividad normal.
Configuración de túneles SSL
En un valor de proxy de reenvío, únicamente están disponibles los
túneles SSL. Para habilitar los túneles SSL, seleccione
Configuración de Proxy –> Valores de proxy en
los formularios de Configuración y Administración.. Seleccione el recuadro de selección
Túneles SSL.
El método CONNECT (que se habilita por
omisión) también debe habilitarse para las conexiones de túneles SSL. Para habilitarlo en los formularios de configuración, seleccione
Configuración de servidor –> Proceso de
peticiones y utilice el formulario Métodos HTTP.
Se proporcionan tres opciones (OutgoingPorts,
OutgoingIPs, IncomingIPs) para la directiva Enable CONNECT
para la seguridad ampliada de túneles SSL. Es necesario que especifique un valor para
OutgoingPorts como mínimo; en caso contrario, el método CONNECT
no se habilitará.
OutgoingPorts (para limitar el acceso para túneles SSL según los puertos
del servidor remoto). El formato es,
Para permitir que los clientes se conecten sólo al puerto 443 de los
servidores remotos para túneles SSL, establezca las directivas siguientes.
(Normalmente, el puerto 443 es para peticiones
HTTPS en el servidor remoto.)
Enable CONNECT OutgoingPorts 443
SSLTunneling on
Para permitir que los clientes se conecten a cualquier
puerto de los servidores remotos para túneles SSL, establezca las directivas
siguientes:
Enable CONNECT OutgoingPorts all
SSLTunneling on
Para permitir que los clientes se conecten a los
puertos 80, 8080-8088 y 9000 y superiores de los servidores remotos para túneles SSL, establezca las directivas
siguientes:
Enable CONNECT OutgoingPorts 80,8080-8088,9000-*
SSLTunneling on
Los puertos y los rangos de puertos se separan con una
coma sin dejar ningún espacio en la lista.
IMPORTANTE: para las configuraciones de proxy de reenvío, especifique
como mínimo 443 o all con la opción OutgoingPorts para habilitar los túneles SSL normales.
OutgoingIPs (para limitar el acceso para túneles SSL según la dirección
IP del servidor remoto).
El formato es,
Enable CONNECT OutgoingIPs [[!]patrón_IP,...]
Por ejemplo, para permitir que los clientes se conecten a cualquier
puerto de los servidores remotos que coincida con la dirección IP/nombre de
sistema principal *.ibm.com y que no coincida con 192.168.*.* , establezca las directivas siguientes:
Enable CONNECT OutgoingPorts all OutgoingIPs *.ibm.com,!192.168.*.*
SSLTunneling on
Nota:
Los valores IP_patterns se
separan con una coma sin dejar ningún espacio en la lista.
IncomingIPs (para limitar el acceso para túneles SSL según la dirección IP
del cliente).
El formato es,
Enable CONNECT IncomingIPs [[!]IP_Pattern,...]
Por
ejemplo, para permitir que los clientes procedentes de la dirección IP
192.168.*.* establezcan una conexión con cualquier puerto de los
servidores remotos para túneles SSL, establezca las directivas siguientes:
Enable CONNECT OutgoingPorts all IncomingIPs 192.168.*.*
SSLTunneling on
Notas:
Suponiendo que 192.168.*.* sea la máscara IP de LAN interna, la
opción antedicha sólo permite que los usuarios internos utilicen el método de
conexión y la función de túneles SSL.
Los valores IP_patterns se separan con una coma sin dejar ningún espacio en
la lista.
Para obtener más información para habilitar los túneles SSL y
las directivas CONNECT editando el archivo de configuración
de proxy, consulte los apartados de referencia del Apéndice B. Directivas del archivo de configuración
correspondientes a las siguientes directivas:
La administración remota de Caching Proxy puede llevarse a cabo mediante las
características de seguridad proporcionadas por SSL (Secure Sockets Layer)
y la autenticación de contraseña. Con ello, se reduce significativamente
la probabilidad de acceso al servidor proxy por las personas no
autorizadas.
Para aplicar SSL durante la administración remota del servidor, utilice
una petición https:// en lugar de una petición http:// para abrir los
formularios de Configuración y Administración. Por ejemplo:
Antes de configurar SSL debe configurar una base de datos de claves, y
obtener o crear un certificado. Los
certificados se utilizan para autenticar las identidades de
servidor. Utilice el programa de utilidad IBM Key Management, en ocasiones
denominado iKeyman, para configurar los archivos de certificación. Este
programa de utilidad forma parte del Kit de desarrollo de Java (JDK).
iKeyman también incluye una interfaz gráfica basada en Java para
abrir los
archivos de certificados.
A continuación aparecen los pasos básicos para configurar los
certificados y las claves SSL:
Asegúrese de que tiene IBM JDK Versión 1.6 o posterior.
Utilice el gestor de claves para crear una clave para las
comunicaciones de red seguras y recibir un certificado de una autoridad
certificadora. Es posible que decida crear un certificado autofirmado
mientras espera recibir el certificado de la autoridad certificadora.
Cree una base de datos de claves y especifique una contraseña de base
de datos de claves.
Nota:
Los archivos de claves y keystash se desinstalan siempre que se
desinstale Caching Proxy. Para evitar
tener que solicitar un nuevo certificado a la autoridad certificadora,
guarde copias de seguridad de estos dos archivos en otro directorio antes
de desinstalar el software de proxy.
En todos los sistemas operativos excepto en Linux, si el certificado ha
caducado, Caching Proxy no se iniciará de forma adecuada y aparecerá un mensaje de error
indicando que la base de datos de claves ha caducado. En Linux, el proxy parece
iniciarse, pero el proceso desaparece rápidamente y no se genera ningún mensaje de error.
Para prevenir este problema en los sistemas Red Hat Enterprise
Linux 3.0, asegúrese de que los paquetes GCC estén en los niveles siguientes o
superiores:
libstdc++-3.2.3-52
libgcc-3.2.3-52
Autoridades certificadoras
La clave pública debe asociarse con un certificado firmado digitalmente
procedente de una autoridad certificadora (CA) designada como CA raíz de
confianza del servidor. Puede comprar un certificado firmado sometiendo
una petición de certificado a un proveedor de autoridades certificadoras
(CA). Caching Proxy da soporte a las siguientes CA externas:
VeriSign
Thawte
Por omisión, se designan como CA de confianza a las siguientes CA:
Verisign Class 1 Individual Subscriber CA - Persona Not Validated
Verisign Class 2 Individual Subscriber CA - Persona Not Validated
Verisign Class 3 Individual Subscriber CA - Persona Not Validated
VeriSign Class 3 International Server CA
VeriSign Class 2 OnSite Individual CA
VeriSign Class 1 Public Primary CA
VeriSign Class 2 Public Primary CA
VeriSign Class 3 Public Primary CA
VeriSign Class 1 Public Primary CA - G2
VeriSign Class 2 Public Primary CA - G2
RSA Secure Server CA (de VeriSign)
Thawte Personal Basic CA
Thawte Personal Freemail CA
Thawte Personal Premium CA
Thawte Premium Server CA
Thawte Server CA
Utilización del programa de utilidad IBM Key
Manager
Este apartado proporciona una referencia rápida para utilizar el
programa de utilidad IBM Key Manager (iKeyman). Utilice el gestor de
claves para crear el archivo de base de datos de claves SSL, el par de
claves pública y privada y la petición de certificado. Después de recibir
el certificado firmado por la CA, utilice el gestor de claves para
colocar el certificado en la base de datos de claves donde ha creado la
petición de certificado original.
Con el software GSKit se incluye más documentación detallada sobre
IBM Key Manager y GSKit.
Configure el sistema para que ejecute el gestor
de claves
Antes de iniciar la GUI de IKeyman, realice las acciones
siguientes:
Instale IBM JDK versión 1.6 o superior. Puede utilizar el paquete Java
que se entrega con el producto Load Balancer.
Establezca JAVA_HOME en la ubicación del directorio Java. Por ejemplo:
En plataformas Windows:
set JAVA_HOME=C:\Archivos de programas\IBM\edge\lb\java
En plataformas AIX, HP-UX, Linux y Solaris:
export JAVA_HOME=/opt/ibm/edge/lb/java/
Registre los proveedores de servicios IBM JCE, IBM CMS y/o IBMJCEFIPS.
Actualice el archivo JAVA_HOME/jre/lib/security/java.security para
añadir los proveedores IBM CMS y IBM JCE en las posiciones que se
muestran en el ejemplo siguiente:
Para habilitar la operación FIPS, actualice el archivo
JAVA_HOME/jre/lib/security/java.security para que también añada IBMJCEFIPS.
Asegúrese de registrar al proveedor IBMJCEFIPS con una
prioridad mayor que IBMJCE. Por ejemplo:
Inicie la interfaz gráfica de usuario del gestor de claves ejecutando
la herramienta iKeyman desde JDK. Por ejemplo, utilice el mandato siguiente:
/opt/ibm/edge/lb/java/jre/bin/ikeyman
Creación de una nueva base de datos de claves,
una contraseña y un archivo stash
Una base de datos de claves es un archivo que el servidor utiliza para
almacenar un o más pares de claves y certificados. Se puede utilizar una
base de datos de claves para todos los pares de claves y certificados o
crear varias bases de datos. El programa de utilidad de gestión de
claves se utiliza para crear nuevas bases de datos de claves y especificar
sus contraseñas y archivos stash.
Para crear una base de datos de claves y un archivo stash:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, seleccione Key Database File
–> New (Archivo de base de
datos de claves > Nuevo).
En el nuevo New (Nuevo), asegúrese de que está
seleccionado el tipo de archivo CMS Key Database
(Base de datos de claves CMS). Escriba el
nombre de base de datos de claves y la ubicación del archivo o acepte el
valor por omisión key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt (Solicitud de
contraseña),
escriba y confirme la contraseña de esta base de datos. Pulse OK (Aceptar).
Seleccione el recuadro de selección para ocultar el archivo de contraseñas. Cuando se le solicite, escriba y confirme una contraseña
para su verificación. Aparecerá el siguiente mensaje: DB-Type: CMS
key database file nombre_basedatos_archivo_claves
Nota:
Si no oculta el archivo de contraseñas, se inicia el servidor
pero no escucha en el puerto 443.
La contraseña que especifique cuando cree una base de datos de claves
nueva protege la clave privada. La clave privada es la única clave que
puede firmar documentos o descifrar mensajes cifrados con la clase
pública.
Utilice las siguientes directrices al especificar la contraseña:
La contraseña debe estar formada por el juego de caracteres de inglés
americano.
La contraseña debe tener seis caracteres como mínimo y contener al
menos dos números no consecutivos. Asegúrese de que la contraseña no
contenga información personal que se pueda obtener públicamente como, por
ejemplo, su nombre, iniciales o fecha de nacimiento o los de sus
familiares mas cercanos.
Oculte la contraseña.
Es aconsejable modificar la contraseña de base de datos
de claves con frecuencia.
No obstante, si especifica una fecha de
caducidad para la contraseña, registre cuándo debe modificarse. Si la
contraseña caduca antes de modificarla, se escribe un mensaje en las
anotaciones cronológicas de error y se inicia el servidor, pero no puede
realizar conexiones de red seguras.
Siga estos pasos para modificar la contraseña de base de datos de
claves:
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña establecida y pulse
OK (Aceptar).
En el menú principal, pulse Key Database File –>
Change Password (Archivo de base de datos de claves > Modificar
contraseña).
En el recuadro de diálogo Change Password
(Modificar contraseña), escriba y confirme una contraseña nueva. Pulse OK (Aceptar).
Para realizar una conexión SSL entre un proxy y un servidor LDAP,
introduzca la contraseña de base de datos de claves en el archivo
pac_keyring.pwd. Tenga en cuenta que el archivo pac_keyring.pwd no es el
archivo stash generado por IKeyMan.
Creación de un nuevo par de claves y una petición de
certificados
La base de datos de claves almacena pares de claves y peticiones de
certificado. Para crear un par de claves pública y privada y una petición
de certificado, siga los pasos siguientes:
En el programa de utilidad de gestión de claves, pulse
Key Database –> File –> Open (Base de
datos de claves > Archivo > Abrir) en el menú principal.
En el recuadro de diálogo Abrir (Abrir), escriba
el nombre de la base de datos de claves o pulse
key.kdb si está utilizando el valor por omisión. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
En el menú principal, pulse Create –> New
Certificate Request (Crear > Nueva petición de certificado).
En el recuadro de diálogo New Key and Certificate
Request (Nueva clave y petición de certificado), especifique la
siguiente información:
Key Label (Etiqueta de clave): escriba un nombre
(etiqueta) que se utilice para identificar la clave y el certificado de la
base de datos, por ejemplo, my self-signed certificate o
www.companyA.com.
Keysize (Tamaño de clave): tamaño de la
clave, por ejemplo, 1024.
Para beneficiarse de un cifrado de 128 bits, se
recomienda un tamaño de 1024.
Organization Name (Nombre de la organización):
nombre de la organización que se va a asociar con la clave, por ejemplo,
Company A.
Organization Unit (Unidad organizativa)
(opcional)
Locality (Localidad) (opcional)
State/Province (Estado/Provincia) (opcional)
Zipcode (Código postal) (opcional)
Country (País): código del país. Debe especificar dos
caracteres como mínimo, por ejemplo, US.
Certificate request file name (Nombre de archivo de
petición de certificado): nombre del archivo de petición. Opcionalmente, se puede utilizar un nombre por omisión.
Pulse OK (Aceptar). Se visualizará un mensaje de confirmación:
Se ha creado una nueva petición de certificado satisfactoriamente
en el archivo nombre_basedatos_archivo_claves.
Pulse OK (Aceptar). Se visualizará el nombre de
etiqueta que ha especificado bajo la cabecera Personal
Certificate Requests (Peticiones de certificados personales).
En el recuadro de diálogo Information
(Información), pulse OK (Aceptar). Se le recuerda que envíe el archivo a una autoridad
certificadora.
A menos que haya creado un certificado autofirmado (consulte el apartado siguiente,
"Creación de un certificado autofirmado", para obtener detalles), envíe la petición de
certificado a una CA:
Deje el gestor de despliegue en ejecución.
Inicie un navegador Web y especifique el URL de la CA de la que
desea obtener el certificado.
Siga las instrucciones facilitadas por la CA para enviar la petición
de certificado.
Las peticiones de certificado pueden tardar de dos a tres semanas en
satisfacerse.
Mientras que espera que la CA procese la petición de
certificado, puede actuar como su propia CA y utilizar iKeyman para crear
un certificado de servidor autofirmado para habilitar las sesiones SSL
entre los clientes y el servidor de Caching Proxy.
Creación de un certificado autofirmado
Utilice el programa de utilidad de gestión de claves para crear un
certificado de servidor autofirmado para habilitar las sesiones SSL entre
los clientes y el servidor proxy mientras se espera que se envíe un
certificado. Asimismo, puede utilizar certificados autofirmados sólo
para pruebas.
Siga este procedimiento para crear un certificado autofirmado:
En el programa de utilidad de gestión de claves, pulse
Key Database –> File –> Open (Base de
datos de claves > Archivo > Abrir) en el menú principal.
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
En el marco de contenido Key Database (Base de
datos de claves), seleccione Personal Certificates
(Certificados personales) y pulse Create New Self-Signed
Certificate (Crear certificado autofirmado nuevo).
En la ventana Create New Self-Signed Certificate
(Crear certificado autofirmado nuevo), especifique la siguiente
información:
Key Label (Etiqueta de clave): nombre (etiqueta)
que se
utilice para identificar la clave y el certificado de la base de datos,
por ejemplo, my self-signed certificate.
Key Size (Tamaño de clave): tamaño de la clave,
por ejemplo, 512.
Common Name (Nombre común): nombre completo del
sistema principal de servidor, por ejemplo, www.myserver.com
Organization Name (Nombre de la organización):
nombre de la organización que se va a asociar con la clave, por ejemplo, Company A
Organization Unit (Unidad organizativa)
(opcional)
Locality (Localidad) (opcional)
State/Province (Estado/Provincia) (opcional)
Zipcode (Código postal) (opcional)
Country (País): código del país. Debe especificar dos caracteres
como mínimo, por ejemplo, US.
Período de validez: período de tiempo que el
certificado es válido.
Utilice este procedimiento para exportar claves a otra base de datos de
claves:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
En el marco de contenido Key Database (Base de
datos de claves), seleccione Personal Certificates
(Certificados personales) y, a continuación, pulse el botón
Export/Import (Exportar/Importar) en la etiqueta.
En la ventana Export/Import Key (Exportar/Importar clave):
Seleccione Export Key (Exportar clave).
Seleccione el tipo de base de datos de destino (por ejemplo,
PKCS12 ).
Escriba el nombre de archivo o pulse Browse
(Explorar) para seleccionarlo.
Escriba la ubicación correcta.
Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña correcta, escriba la
contraseña de nuevo para confirmarla y, a continuación, pulse
OK (Aceptar) para exportar la clave seleccionada a
otra base de datos de claves.
Importing keys (Claves de importación)
Para importar claves de otra base de datos de claves:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, seleccione Key Database File
–> Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña correcta y pulse
OK (Aceptar).
En el marco de contenido Key Database (Base de
datos de claves), seleccione Personal Certificates
(Certificados personales) y, a continuación, pulse el botón
Export/Import (Exportar/Importar) en la etiqueta.
En la ventana Export/Import Key (Exportar/Importar clave):
Seleccione Import Key (Importar clave).
Seleccione el tipo de archivo de base de datos de claves (por ejemplo,
PKCS12).
Escriba el nombre de archivo o pulse Browse
(Explorar) para seleccionarlo.
Seleccione la ubicación correcta.
Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña correcta y pulse
OK (Aceptar).
En la lista Select from Key Label (Seleccionar
de etiqueta de clave), seleccione el nombre de etiqueta correcto y pulse
OK (Aceptar).
Listado de autoridades certificadoras
Para visualizar una lista de las autoridades certificadoras (CA) de
confianza en la base de datos de claves:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña correcta y pulse
OK (Aceptar).
En el marco de contenido Key Database (Base de
datos de claves), seleccione Signer Certificates (Certificados de
firmante).
Pulse Signer Certificates (Certificados de
firmante), Personal Certificates (Certificados
personales) o Certificate Requests (Peticiones de
certificados) para ver la lista de las CA en la ventana
Key Information (Información de claves).
Recepción de un certificado de CA
Utilice este procedimiento para recibir un certificado que se le envíe
electrónicamente desde una autoridad certificadora (CA) que esté
designada como una CA de confianza por omisión (consulte la lista en Autoridades certificadoras).
Si
la CA que emite el certificado firmado por CA o no es una CA de confianza
en la base de datos de claves, primero debe almacenar el certificado de
la CA y designar la CA como una CA de confianza. Seguidamente ya puede
recibir el certificado firmado por CA en la base de datos. No puede
recibir un certificado firmado por CA de una CA que no sea de
confianza (consulte Almacenamiento de un certificado de CA).
Para recibir un certificado firmado por CA en una base de datos de
claves:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, seleccione Key Database File
–> Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
Asegúrese de que el nombre de archivo del listado
DB-Type (Tipo-BD) es correcto.
En la ventana Key Database ((Base de datos de
claves), seleccione Personal Certificates (Certificados personales) y, a
continuación, pulse Receive (Recibir).
En el recuadro de diálogo Receive Certificate from a
File (Recibir certificado de un archivo), escriba el nombre de un
archivo codificado en Base 64 válido en el campo de texto
Certificate filename (Nombre de archivo de
certificados). Pulse OK (Aceptar).
Para cerrar el programa de utilidad del gestor de claves, pulse
Key Database File –> Exit (Archivo de base de
datos de claves > Salir) en el menú principal.
Almacenamiento de un certificado de CA
Sólo los certificados firmados por las CA de confianza se aceptan para
establecer conexiones seguras. Para añadir una CA a la lista de
autoridades de confianza, debe obtener y almacenar el certificado como de
confianza. Siga este procedimiento para almacenar un certificado de una CA
nueva, antes de recibirlo en la base de datos:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
En el marco de contenido Key Database (Key
Database), seleccione (Certificados de firmante) y,
a continuación, pulse Add (Añadir).
En el recuadro de diálogo Add CA's Certificate from a
File (Añadir certificado de CA de un archivo), seleccione el nombre
de archivo de certificado de datos codificados en Base 64 o utilice la
opción Examinar (Examinar). Pulse OK (Aceptar).
En el recuadro de diálogo Label (Etiqueta),
escriba el nombre de etiqueta y pulse OK (Aceptar).
Utilice el recuadro de selección para designar el certificado como
de confianza (por omisión).
Nota:
Visualice el recuadro de selección
después de crear el certificado mediante el botón
"View/Edit" (Ver/Editar). El recuadro de selección aparecerá en el panel pero no se
visualizará durante la adición del certificado.
Visualización de la clave por omisión en una base de
datos de claves
Visualice la entrada de clave por omisión del siguiente modo:
Inicie el programa de utilidad de gestión de claves.
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o acepte el valor por omisión,
key.kdb. Pulse OK (Aceptar).
En el recuadro de diálogo Password Prompt
(Solicitud de contraseña), escriba la contraseña y pulse
OK (Aceptar).
En el marco de contenido Key Database (Base de
datos claves), seleccione Personal Certificates
(Certificados personales) y seleccione el nombre de etiqueta del
certificado de CA.
En la ventana Key Information (Información de
claves), pulse View/Edit (Ver/Editar) para visualizar la
información de claves por omisión del certificado.
Especificaciones de cifrado soportadas
Los algoritmos de cifrado y hashes utilizados para SSL versiones 2 y
3 aparecen enumerados en las tablas siguientes.
Generación de pares de claves: tamaños de clave pública de RSA
512–1024
SSL Versión 2
Versión para EE.UU.
Versión para
exportar
RC4 US
RC4 Export
RC2 US
RC2 Export
DES 56-bit
no aplicable
Triple DES US
no aplicable
RC4 Export
no aplicable
RC2 Export
no aplicable
SSL Versión 3
Versión para EE.UU.
Versión para
exportar
Triple DES SHA US
DES SHA Export
DES SHA Export
RC2 MD5 Export
RC2 MD5 Export
RC4 MD5 Export
RC4 SHA US
NULL SHA
RC4 MD5 US
NULL MD5
RC4 MD5 Export
NULL NULL
RC4 SHA 56 bits
no aplicable
DES CBC SHA
no aplicable
NULL SHA
no aplicable
NULL MD5
no aplicable
NULL NULL
no aplicable
Estas especificaciones SSL también pueden configurarse editando
directamente el archivo de configuración de proxy. Para obtener detalles,
consulte los apartados de referencia del Apéndice B. Directivas del archivo de configuración para
obtener información sobre las siguientes directivas:
Sólo está disponible una versión de cifrado de 128 bits de Caching Proxy. Ya no
se puede acceder a la versión de 56 bits. Si está actualizando una versión
anterior, puede instalar Caching Proxy directamente en la versión de 128 o 56 bits
instalada actualmente. Si previamente utilizaba un navegador de 56 bits
(de exportación), debe actualizarlo a un navegador de 128 bits para
aprovechar el cifrado de 128 bits del proxy.
Después de actualizar Caching Proxy de la versión de 56 bits a la versión de 128
bits, si el tamaño de clave utilizado para cifrar los certificados se establece
en 1024, no es necesario modificar la configuración. No
obstante, si el tamaño de clave se establece en 512, para aprovechar el
cifrado de 128 bits del proxy, debe crear nuevos certificados con un
tamaño de clave de 1024. Cree claves nuevas mediante el programa de
utilidad IBM Key Manager (iKeyman).
Inicie el gestor de claves. Por ejemplo, utilice el mandato siguiente:
/opt/ibm/edge/lb/java/jre/bin/ikeyman
En el menú principal, pulse Key Database File –>
Open (Archivo de base de datos de claves > Abrir).
En el recuadro de diálogo Open (Abrir), escriba
el nombre de la base de datos de claves o pulse
key.kdb si está utilizando el valor por omisión, y
pulse OK (Aceptar).
Si el recuadro de diálogo Password Prompt se
abre, escriba la contraseña y pulse OK (Aceptar).
En el menú principal, pulse Create –> New
Certificate Request (Crear > Nueva petición de certificado).
En la ventana New Key and Certificate Request
(Nueva clave y petición de certificado), especifique la siguiente
información:
Key Label (Etiqueta de clave): escriba un nombre que se
utilice para identificar la clave y el certificado de la base de datos.
Keysize (Tamaño de clave): seleccione
1024.
Organization Name (Nombre de la organización):
escriba el nombre de la organización que se vaya a asociar con la clave.
Country (País): escriba el código del país. Debe especificar dos
caracteres como mínimo, por ejemplo, US.
Certificate request file name (Nombre de archivo
de petición de certificado): escriba un nombre para el archivo de
petición, u opcionalmente, utilice un nombre por omisión.
