TIP N° 3 : Generación e Instalación de certificado SSL en WAS
Sabías que la capa de conexión segura (Secure Sockets Layer o SSL) fue el protocolo de cifrado más ampliamente utilizado para garantizar la seguridad de las comunicaciones a través de Internet antes de ser sustituido por el TLS (Inglés) (Seguridad de la Capa de Transporte, o Transport Layer Security) en 1999. Aunque el desuso del protocolo SSL dio paso a la adopción del TLS, la mayoría de las personas sigue refiriéndose a este tipo de tecnología como «SSL». A continuación, un ejemplo práctico de como se configura en un servidor WAS....
Generación e Instalación de certificado SSL en IBM HTTP Server con WebSphere.
Versión IBM HTTP Server: 8.0.0.11
Versión WebSphere Application Server: 8.0.0.11
Apache versión: 2.2.8
Versión SO: WinServer 2008 R2.
NOTA: El procedimiento puede ser aplicado en un ambiente Linux, solo va a cambiar la forma de ejecutar las aplicaciones y los servicios.
Paso 1: Generación de solicitud de firma para el certificado (CSR).
Vamos a
utilizar la herramienta "ikeyman" del IHS de IBM. La ruta donde se encuentra su
ejecutable por defecto es "\IBM\HTTPServer\bin"
- Nos mostrará la interfaz de administración de gestión de claves de IBM.
- Debemos abrir el archivo de base de datos de claves que crearon.
- Le damos "Examinar", para buscar nuestro archivo de base de datos de claves "kdb".
- Luego de aceptar nos va a solicitar la clave de seguridad del almacén, esta clave se generó al momento de crear la base de datos de claves.
- Podrán ver la lista de certificados almacenados:
- Seleccionamos la opción Crear -> Nueva solicitud de certificado.
Se solicitarán los siguientes datos de la organización:
CN - Nombre común*
Utilice el nombre de dominio completo (FQDN) de su servidor (con o sin WWW).
www.tudominio.com
O - Nombre de la organización*
Nombre legal de su empresa/organización.
OU - Unidad organizativa*
División de su organización que maneja el certificado (es decir, departamento de TI).
L- Localidad*
La ciudad en la que se encuentra.
ST - Estado o Provincia*
El estado o provincia en el que se encuentra.
C - Código de país*
En este caso Chile (CH).
Longitud de la raíz*
2048 bits es el estándar de la industria. Solo elija 4096 bits si tiene requisitos específicos.
A continuación, un ejemplo de como debiese quedar:
- Le damos aceptar, y va a generar un archivo en este caso con el nombre "certreq.arm" en la ruta "D:\IBM\HTTPServer".
Este archivo debe ser enviado a la entidad certificadora SSL para ser firmada.
Paso 2: Con el certificado firmado, procederemos a su instalación.
La entidad certificadora nos tiene que entregar su certificado intermedio y además el certificado firmado que generamos (CSR).
Estos certificados deben ser con la extensión ".cer".
Instalación de certificado personal firmado:
- Seleccionamos "Certificados personales" y luego "Recibir".
- Debe indicar la ruta donde dejo el certificado firmado (.cer).
Instalación de certificado intermedio:
- Seleccionamos "Certificados de firmante" y luego "Añadir".
Con este procedimiento damos por finalizada la instalación de un certificado SSL en la base de datos de gestión de claves de IBM.
Paso 3: Declaración del sitio y su certificado en el servidor web Apache del IHS de IBM.
Debemos agregar un nuevo virtualhost en el archivo "httpd.conf", en la ruta "IBM\HTTPServer\conf".
Un ejemplo de como debiese quedar:
<VirtualHost IP_DEL_SERVIDOR:443>
ServerName www.arkadios.cl
ServerAlias www.arkadios.cl
ErrorLog logs/arkadios.cl.log
CustomLog logs/arkadios.cl.log common
SSLProtocolEnable TLSv12
SSLProtocolDisable SSLv3 SSLv2 TLSv10 TLSv11
SSLClientAuth None
SSLServerCert sitio_arkadios
KeyFile "D:/IBM/HTTPServer/key_database_file.kdb"
SSLStashfile "D:/IBM/HTTPServer/key_database_file.sth"
</VirtualHost>
Importante: Las tres líneas remarcadas corresponden a los datos que deben declarar que son parte de la base de datos de los certificados y la etiqueta que le asignamos al certificado que instalamos, en este caso con el nombre "sitio_arkadios".
Además, deben tener en cuenta que deben abrir el puerto de escucha 443 en el servidor web para el certificado de seguridad SSL.
Finalizamos el procedimiento, reiniciando el servicio "httpd", del servicio web de acuerdo al SO.
En Arkadios contamos con expertos certificados en cada tecnología que administramos, si necesitas ayuda no dudes en contactarnos, estaremos felices de apoyarte para lograr que tus aplicaciones y procesos terminen de la forma en que tus usuarios esperan.
https://www.arkadios.cl/contacto/