Configuración de los nodos HTTPInput y HTTPReply para utilizar SSL (HTTPS)

Este tema de la tarea explica cómo configurar los nodos HTTPInput y HTTPReply para comunicarse con otras aplicaciones utilizando HTTP sobre SSL. La tarea incluye los pasos necesarios para el sistema Windows pero los tareas necesarias para cualquier otra plataforma son casi idénticas.

Creación un archivo de almacén de claves para almacenar los certificados del intermediario

WebSphere Message Broker incluye un Java Runtime Environment (JRE) que proporciona un programa de manipulación de almacén de claves, que se denomina keytool. Para invocar este mandato, realice los pasos siguientes:

  1. Seleccione Inicio > IBM WebSphere Message Brokers 6.0 > Consola de mandatos para abrir la consola de mandatos de intermediario.
  2. En la consola de mandatos, escriba el mandato siguiente:
    "%MQSI_FILEPATH%\jre\bin\keytool"
    Esto visualiza las opciones de ayuda y, por consiguiente, valida que el mandato funciona.
  3. Utilice el mandato keytool para crear el almacén de claves: En la consola de mandatos, escriba el mandato siguiente:
    "%MQSI_FILEPATH%\jre\bin\keytool" -genkey -keypass contraseña
    -keystore archivo almacénclaves -alias tomcat
    contraseña
    contraseña utilizada para el almacén de claves
    archivo de almacén de claves
    nombre totalmente calificado del archivo de almacén de claves. Este archivo se denomina normalmente .keystore y suele estar ubicado en el directorio inicial de usuarios de intermediario de mensajes.
    Entonces el mandato solicita algunos detalles personales que se utilizan para generar los certificados. Una vez entrados todos los valores, se habrá generado o añadido (si ya existe uno) un almacén de claves.

    Estos valores se pueden establecer en los valores necesarios pero las propiedades del intermediario se deben cambiar para reflejar estos valores. -genkey genera todos los archivos de certificado que son necesarios para que HTTPS funcione pero no son certificados oficiales y no es aconsejable utilizarlos en un sistema de producción. Deberá adquirir un certificado real en una organización de certificados. Consulte al administrador del sistema para obtener información sobre la política de la empresa para la creación de certificados. Para importar un certificado generado por una entidad emisora de certificados, utilice la opción -import en lugar de la opción -genkey.

Ahora el almacén de claves ya se ha creado y está preparado para que lo utilice el intermediario.

Configuración del intermediario para utilizar SSL en un puerto determinado

El intermediario necesita que se establezcan varias propiedades para poder utilizar HTTP sobre SSL. Todas estas propiedades se pueden cambiar utilizando el mandato mqsichangeproperties. Cambie las propiedades como se indica a continuación:

Asegúrese de que todas estas propiedades se establecen con valores correctos para el sistema. Sólo se tiene que establecer la propiedad enableSSLConnector. Las otras tres propiedades tienen valores por omisión. Sin embargo, es aconsejable cambiar estos valores por omisión. El mandato mqsichangeproperties lista los valores por omisión para todas las propiedades.

Creación de un flujo de mensajes para procesar peticiones HTTPS

El flujo de mensajes más simple que muestra la funcionalidad de HTTPS en funcionamiento es el que contiene un nodo HTTPInput conectado directamente a un nodo HTTPReply. Las dos propiedades importantes a establecer en el nodo HTTPInput son:

  • Selector de URL. Por ejemplo /* o /testHTTPS
  • Utilizar HTTPS. Marque el recuadro si desea utilizar HTTPS

/* significa que el nodo HTTPInput comparará cualquier petición que se envíe al escucha http en un puerto designado. Esto es útil para realizar pruebas, pero no se recomienda para la producción.

Ahora puede desplegar el flujo de mensajes en el intermediario. Si se han seguido todos los demás pasos hasta este punto, aparecerá un mensaje BIP3132 en las anotaciones del sistema local (las anotaciones de sucesos en Windows) indicando que el escucha https se ha iniciado.

Ahora ya puede probar el sistema.

Prueba del ejemplo

El método más simple para probar si HTTPS está configurado correctamente consiste en utilizar un navegador web para realizar una petición al intermediario a través de HTTPS.

Inicie un navegador de web y escriba el siguiente URL:
 https://sistprallocal:7083/testHTTPS
Cambie los valores del URL para reflejar los cambios que ha realizado en la configuración de intermediario. Cuando aparezca una ventana emergente solicitándole que acepte el certificado, seleccione sí a las preguntas. Entonces el intermediario renovará y visualizará la estructura de una página html vacía. En los navegadores Mozilla, tendrá el mismo aspecto que el ejemplo siguiente:
<html>   
  <body/> 
</html>
y en Internet Explorer, se visualizará la información siguiente:
El documento XML debe tener un elemento de nivel superior. Error
al procesar el recurso 'https://sistprallocal:7083/testHTTPS'

Estas respuesta significan que se ha devuelto una página en blanco, lo que muestra que la configuración ha funcionado correctamente. Para añadir contenido a la página que de devuelve, puede añadir un nodo Compute al flujo.

Puede utilizar otro cliente HTTPS para procesar las peticiones HTTPS. Lea la documentación del cliente para obtener información sobre cómo se debe configurar para realizar conexiones de cliente sobre SSL.

En lugar del navegador Web, se puede utilizar otro cliente HTTPS, por ejemplo un cliente Java o .net. En función del tipo de cliente, es posible que el certificado que se ha creado con keytool se tenga que exportar del archivo de almacén de claves del escucha http y, a continuación, importar al propio almacén de claves del cliente. Consulte la documentación del cliente para obtener información sobre cómo debe configurar el cliente para realizar conexiones de cliente sobre SSL.

Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión
Copyright IBM Corporation 1999, 2006 Última actualización: 22/08/2006
ap12234_