Configuración de la autenticación mutua

Para utilizar la autenticación mutua, los servidores y los agentes deben intercambiar claves. Exporte una clave de servidor como certificado e impórtela al almacén de claves del agente y, a continuación, invierta el proceso exportando la clave del agente en el almacén de claves del servidor.

Antes de empezar

Antes de intercambiar claves, asegúrese de haber establecido las siguientes propiedades:
  1. La propiedad server.jms.mutualAuth en el archivo installed.properties del servidor (en el directorio instalación_servidor/conf/server) está establecida en true.
  2. Para cada agente, la propiedad locked/agent.mutual_auth del archivo installed.properties del agente (en el directorio instalación_agente\conf\agent) se establece en true.
  3. Para cada relé de agente, la propiedad agentrelay.jms_proxy.secure en el archivo agentrelay.properties del relé (en el directorio instalación_relé\conf) se establece en true.
  4. Para cada relé de agente, la propiedad agentrelay.jms_proxy.mutualAuth en el archivo agentrelay.properties del relé se establece en true.

Procedimiento

  1. Abra una ventana de la línea de mandatos y diríjase a la instalación del servidor de conf.
  2. Ejecute el mandato siguiente:
    keytool -export -keystore server.keystore -storepass changeit 
    -alias server -file server.crt
  3. Copie el archivo exportado (certificado) en el directorio conf de instalación del agente o en el directorio conf/jms-relay de instalación del relé de agente.
  4. Importe el archivo ejecutando el siguiente mandato desde dentro del directorio conf del agente o desde el directorio jms-relay del relé de agente:
    keytool -import -keystore keystoreFile -storepass changeit 
    -alias server -file server.crt -keypass changeit -noprompt
    Para keystoreFile, utilice ibm-ucd.keystore para agentes y agentrelay.keystore para relés de agente. Debería ver el mensaje Se ha añadido el certificado al almacén de claves.
  5. Para cada agente local o relé de agente, exporte la clave ejecutando lo siguiente (cambie el nombre del argumento del archivo para que coincida con el nombre del agente):
    keytool -export -keystore ArchivoAlmacénClaves -storepass changeit
    -alias ibm-ucd_agent -file nombreAgente.crt
    Para keystoreFile, utilice ibm-ucd.keystore para agentes y agentrelay.keystore para relés de agente. Para nombreAgente, especifique un identificador de serie único para el agente o relé de agente. Debería ver el mensaje Certificado almacenado el archivo de nombreAgente.crt.
  6. Copie el archivo exportado en el directorio conf del servidor.
  7. Desde dentro del directorio conf del servidor, importe cada certificado ejecutando el siguiente mandato:
    keytool -import -keystore server.keystore -storepass changeit 
    -alias [agent_name] -file agentName.crt -keypass changeit -noprompt
    Debería ver el mensaje Se ha añadido el certificado al almacén de claves.
  8. Reinicie el servidor, agentes y relés de agente.

Qué hacer a continuación

Para conectar un relé de agente con los agentes remotos, intercambie certificados tal como se explica más arriba: cada agente remoto debe importar el certificado para el relé y el relé debe importar el certificado desde cada agente remoto. Los agentes que utilizan relés no tienen que intercambiar certificados con el servidor.

Para listar los certificados que se cargan en un almacén de claves, ejecute lo siguiente dentro del directorio del almacén de claves:

keytool -list -keystore keystoreFile -storepass changeit

Para obtener información sobre el intercambio de claves entre servidores, consulte Intercambio de almacenes de claves entre servidores.


Comentarios