Configuración del almacén de claves

Para supervisar transacciones HTTPS, importe claves en KT5Keystore para todos los servidores web que desea supervisar.

Acerca de esta tarea

Puede exportar los certificados SSL desde los servidores web que está supervisando e impórtelos en el almacén de claves HTTP utilizando IBM Key Management (iKeyman), o especifique el archivo stash del almacén de claves del servidor web (.kdb) en el almacén de claves HTTPS. Cuando instala o configura Supervisión de tiempo de respuesta, se le solicita la ubicación del archivo keys.kdb.

Si no tiene archivos stash del almacén de claves (.kdb y .sth), compruebe que el proveedor CMS está habilitado en la versión de Java para poder utilizar iKeyman para configurar la base de datos de claves:
  1. Vaya al directorio dir_instalación/ibm-jre/jre/lib/security. Por ejemplo:
    • Linux /opt/ibm/apm/agent/JRE/lx8266/lib/security
    • Windows C:\Program Files\IBM\APM\ibm-jre\jre\lib\security
  2. En el archivo java.security, añada la sentencia siguiente a la lista de proveedores de seguridad como se muestra, donde número es la última secuencia de número de la lista.
    security.provider.número=com.ibm.security.cmskeystore.CMSProvider
    La lista de proveedores tiene un aspecto parecido al del ejemplo siguiente:
    ## Lista de proveedores y su orden de preferencia #
security.provider.1=com.ibm.jsse.IBMJSSEProvider
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.security.jgss.IBMJGSSProvider
security.provider.4=com.ibm.security.cert.IBMCertPath
security.provider.5=com.ibm.security.cmskeystore.CMSProvider
...
#
  3. Guarde los cambios y cierre el archivo.
Restricción: Supervisión de tiempo de respuesta no puede descifrar tráfico utilizando el intercambio de claves Diffie-Hellman.

Procedimiento

Para habilitar la supervisión de transacciones HTTPS, recopile los certificados SSL de los servidores web que desea supervisar e importe los certificados y los archivos de ocultación de almacén de claves en el almacén de claves HTTPS mediante iKeyman. En el ejemplo siguiente se utiliza iKeyman para exportar los certificados de un servidor IBM HTTP Server e importarlos en el almacén de claves HTTPS:

  1. Instale un agente Supervisión de tiempo de respuesta en cada servidor web HTTPS que desea supervisar.
  2. Ejecute IBM Key Management (iKeyman) desde el directorio bin de IBM Java ejecutando uno de los mandatos siguientes, en función del sistema operativo.
    • AIXLinux /opt/ibm/apm/agent/JRE/lx8266/bin/ikeyman
      Nota: Debe tener X-Window en el entorno para que iKeyman funcione adecuadamente.
    • Windows c:\IBM\APM\java\java80_x64\jre\bin\ikeyman
  3. Cree una base de datos del almacén de claves nueva. En el cuadro de diálogo Nuevo, complete los pasos siguientes:
    1. Desde la lista Tipo de base de datos de claves, seleccione CMS.
      Si CMS no está disponible en la lista, es posible que el proveedor de CMS no esté habilitado. Habilite el proveedor de CMS en el archivo de seguridad de Java.
    2. En el campo Nombre de archivo, especifique el nombre del archivo del almacén de claves HTTPS y pulse Aceptar.
      Por ejemplo, keys.kdb.
  4. En el cuadro de diálogo Indicador de solicitud de contraseña, complete los pasos siguientes:
    1. En los campos Contraseña y Confirmar contraseña, escriba y confirme la contraseña para acceder a keys.kdb.
      No establezca una hora de caducidad a menos que desee volver a crear la base de datos del almacén de claves y reiniciar el agente Supervisión de tiempo de respuesta periódicamente.
    2. Seleccione ¿Guardar la contraseña en un archivo stash? para almacenar la contraseña de keys.kdb en un formato cifrado en un archivo stash, keys.sth.

      Nota: el agente de Tiempo de respuesta sólo da soporte a la versión 1 de contraseñas ocultas. A partir de APM 8.1.4, ejecute el mandato siguiente para almacenar la contraseña de keys.kdb en un archivo de ocultación cifrado, keys.sth.

      En Linux:
      cp keyfile.sth keyfile.sth.new-format
      cd /opt/IBM/ccm/agent/lx8266/gs/bin
      #export LD_LIBRARY_PATH=/opt/ibm/apm/agent/lx8266/gs/lib64:$LD_LIBRARY_PATH
      ./gsk8capicmd_64 -keydb -stashpw -db /opt/IBM/ccm/agent/keyfiles/keyfile.kdb -v1stash
      En Windows:
      copy server.sth server.sth.backup
      set PATH=c:\IBM\APM\GSK8_x64\lib64;%PATH%
      C:\IBM\APM\GSK8_x64\bin\gsk8capicmd_64 -keydb -stashpw -db .\server.kdb -pw passw0rd -v1stash
  5. En la sección Contenido de base de datos de claves de la ventana iKeyman, realice los pasos siguientes:
    1. Seleccione Certificados personales.
    2. Pulse Importar.
    3. En el diálogo Importar clave, desde la lista Tipo de archivo de claves, seleccione CMS.
    4. Examine en busca del archivo del almacén de claves, pulse Abrir, y después pulse Aceptar.
    5. En el cuadro de diálogo Indicador de solicitud de contraseña, escriba la contraseña del almacén de datos.
    6. Seleccione la clave de la lista y pulse Aceptar.
    7. En el cuadro de diálogo Cambiar etiquetas, seleccione el nombre de etiqueta de la clave. En el campo Especificar una etiqueta nueva, indique el nombre de host del servidor y pulse Aplicar.
      Nota: Necesitará este valor cuando configure Supervisión de tiempo de respuesta, de modo que tome nota de él.
    8. Pulse Aceptar.
  6. Guarde el almacén de claves HTTPS.

Importación de claves de Internet Information Services

Para extraer claves de Internet Information Services e importarlas en KT5Keystore, siga estos pasos:

  1. Instale un agente Supervisión de tiempo de respuesta en cada servidor web HTTPS que desea supervisar.
  2. Exporte un archivo .pfx desde Internet Information Services:
    1. En el menú Inicio de Windows, seleccione Herramientas administrativas > Internet Information Services (IIS) Manager.
    2. Seleccione el servidor web y sitio cuya clave privada desea exportar, a continuación pulse con el botón derecho del ratón y seleccione Propiedades en el menú contextual.
    3. Seleccione la pestaña Seguridad del directorio y a continuación seleccione Certificado del servidor en la sesión Comunicaciones seguras.
    4. En Asistente de certificados de IIS, pulse Siguiente.
    5. Seleccione Exportar el certificado actual a un archivo .pfx y pulse Siguiente.
    6. Especifique la vía de acceso y el nombre de archivo y pulse Siguiente.
    7. Especifique una contraseña de exportación para la clave y pulse Siguiente.
    8. Pulse Siguiente en todas las páginas subsiguiente y a continuación pulse Finalizar.
  3. Extraiga los certificados personales y de firmante del archivo .pfx:
    1. Ejecute IBM Key Management (iKeyman) desde el directorio bin de IBM Java utilizando el mandato c:\IBM\APM\java\java80_x64\jre\bin\ikeyman. Asegúrese de que esté establecida la variable de entorno JAVA_HOME.
    2. En la base de datos del almacén de claves, seleccione Archivo > Abrir.
    3. En la lista Tipo de base de datos de claves, seleccione PKCS12.
    4. Especifique el nombre y la vía de acceso del archivo .pfx que ha creando anteriormente y a continuación pulse Aceptar. Cuando se le solicite, especifique la contraseña y a continuación pulse Aceptar.
    5. Seleccione Contenido de base de datos de claves > Certificados personales y a continuación pulse Exportar/Importar.
    6. Seleccione un tipo de acción de Exportar clave y un Tipo de archivo de clave de PKCS12. Especifique un nombre de archivo y una ubicación para la clave exportada y pulse Aceptar. Cuando se le solicite, especifique una contraseña de exportación y a continuación pulse de nuevo Aceptar.
    7. Si el certificado personal lo ha firmado una entidad emisora de certificados, seleccione Contenido de base de datos de claves > Certificados de firmante y pulse Extraer. Seleccione el tipo de archivo predeterminado, especifique un nombre de archivo y ubicación para el certificado exportado y a continuación pulse Aceptar.
  4. Extraiga los archivos .cer de firmante (si es necesario):
    1. Si se ha extraído un archivo de certificados de firmante del archivo .pfx, vaya al directorio donde se ha guardado y realice una copia nueva con la extensión .cer. Pulse dos veces la copia nueva para abrirla utilizando el visor de certificados de Windows.
    2. En la pestaña Ruta de certificación puede visualizar la cadena de certificado de firmante. El elemento más bajo de la cadena deberá ser el certificado personal. Para todos los certificados que hay sobre él, realice lo siguiente:
      1. Seleccione un certificado y pulse Ver certificado.
      2. Seleccione Detalles y pulse Copiar en archivo.
      3. Acepte todos los valores predeterminados en el asistente de exportación de certificados y especifique un nombre de archivo con la extensión .cer.
  5. Cree una base de datos del almacén de claves nueva. En el cuadro de diálogo Nuevo, complete los pasos siguientes:
    1. En la lista Tipo de base de datos de claves, seleccione CMS y especifique un nombre de archivo y una ubicación. Cuando se le solicite, escriba una contraseña para el nuevo almacén de claves.
      Nota: Asegúrese de seleccionar ¿Desea ocultar la contraseña en un archivo?.
    2. Si se han extraído certificados de firmante del archivo .pfx, realice lo siguiente:
      1. Seleccione Contenido de base de datos de claves > Certificados de firmante.
      2. Para cada certificado de firmante, pulse Añadir y añada el archivo .cer.
    3. Seleccione Contenido de base de datos de claves > Certificados personales y pulse Importar.
    4. Seleccione el tipo de archivo de claves PKCS12 y el nombre y la ubicación del archivo .p12. Cuando se le solicite, escriba la contraseña.
    5. Guarde el almacén de claves y salga del programa de utilidad de gestión de claves.
    6. Copie los archivos .kdb y .sth en KT5Keystore en la máquina del dispositivo Supervisión de tiempo de respuesta.
    7. Coloque los archivos de base de datos de IBM Key Management (.kdb) y stash (.sth) en un directorio seguro y asegúrese de que solo los pueda leer el usuario Administrador o root (o el ID de usuario utilizado para instalar el agente de Supervisión de tiempo de respuesta).