Configuración del almacén de claves de certificados para decodificar los elementos cifrados de SAML

SAML 2.0 da soporte a elementos XML cifrados. El proveedor de identidades, idP, crea la aserción y puede cifrar una parte de la aserción o toda la aserción. El servidor de comunidades de Sametime necesita descifrar los elementos cifrados para poder validar la aserción. Este cifrado está basado en la criptografía asimétrica, utilizando dos claves relacionadas: una clave privada y una clave pública. Normalmente el idP utiliza la clave pública para cifrado y el servidor de Sametime utiliza la clave privada para el descifrado.

Acerca de esta tarea

El cifrado de SAML es una característica opcional. Si su idP no cifra los elementos de SAML, omita este paso. Si su idP está configurado para cifrar los elementos de SAML, configure el servidor de comunidades de Sametime con la clave privada y el idP deberá utilizar la clave pública correspondiente para el cifrado.

Configurar un almacén de claves es similar a configurar un almacén de confianza, como se describe en el tema Configuración de almacén de confianza de certificados para la validación de firmas de SAML. La diferencia entre un almacén de confianza y un almacén de claves es que el almacén de confianza se utiliza para la validación de firmas y, por tanto, no requiere una clave privada, mientras que el almacén de claves se utiliza para descifrar los elementos y debe contener una clave privada. La clave privada se especifica añadiendo el certificado de claves privadas bajo "Certificados personales" en el almacén de claves.

El almacén de claves puede ser un archivo P12 (PKCS#12), JKS (almacén de claves de Java) o KDB (base de datos de claves de IBM). Puede utilizar un archivo de almacén de certificados existente o puede crear uno nuevo. Si va a crear un nuevo almacén de certificados, el formato recomendado es P12 (PKCS#12). Puede utilizar la herramienta iKeyMan para crear y editar el almacén de certificados, como se describe en el tema Utilización de iKeyMan para gestionar certificados para TLS.

Cuando tenga el almacén de claves, especifique el archivo de almacén de claves y la contraseña en la configuración de Sametime. Si tiene previsto utilizar el mismo almacén de claves para TLS y SAML, o si no está utilizando TLS, únicamente necesita un solo archivo de almacén de claves en la configuración de Sametime. En este caso, se le recomienda que utilice los valores de la configuración de TLS, en Integrated Solutions Console. Como mínimo, especifique el archivo del almacén de claves y la contraseña en la columna "Conexiones de aplicación del servidor". Para obtener una lista completa de los valores disponibles, consulte el tema Configuración de TLS.

Procedimiento

Si tiene previsto utilizar un almacén de claves diferente para TLS y SAML, especifique el almacén de confianza utilizando los siguientes valores específicos de SAML en la sección [Config] del archivo sametime.ini:

STSAML_KEY_STORE_FILE=archivo de almacén de claves
STSAML_KEY_STORE_TYPE=tipo de almacén de claves
STSAML_KEY_STORE_PASSWORD=contraseña de almacén de claves
STSAML_KEY_STORE_PASSWORD_STASH_FILE=archivo de ocultación de contraseña del almacén de claves
STSAML_KEY_LABEL=Alias de certificado en almacén de claves

Nota: Si el servidor de Sametime se está ejecutando en este momento, este valor entra en vigor la próxima vez que se reinicie el servidor de Sametime.