Autenticación SSL

La autenticación SSL está disponible para el nodo Real Time, el escucha HTTP y el Cliente Java de WebSphere MQ.

Autenticación SSL para el nodo Real Time

La autenticación SSL en WebSphere Message Broker da soporte a un protocolo de autenticación de identificación/respuesta recíproca. Es una variante no estándar del protocolo SSL estándar de la industria en la que la criptografía de clave pública que requiere SSL se sustituye por la criptografía de clave secreta simétrica. Aunque este protocolo es seguro y cómodo de administrar, puede que sea mejor utilizar el protocolo SSL estándar de la industria exactamente como se define, en especial si ya se ha desplegado una infraestructura de criptografía de clave pública para otros fines. Existen dos versiones estandarizadas de SSL, que son las siguientes:

SSL asimétrico
Lo utilizan la mayoría de los navegadores web. En este protocolo, sólo los intermediarios tienen pares de claves públicas/privadas y los clientes conocen las claves públicas de los intermediarios. El protocolo SSL establece una conexión segura en la que el intermediario se autentica ante el cliente utilizando criptografía de clave pública, tras lo cual el cliente puede enviar su contraseña, cifrada con una clave de sesión segura, para autenticarse a sí mismo ante el intermediario.
SSL simétrico
En este protocolo los dos participantes tienen pares de claves públicas/privadas. El protocolo SSL utiliza criptografía de clave pública para llevar a cabo la autenticación recíproca.

En ambos casos, la autenticación SSL no mantiene el protocolo SSL durante toda la duración de una conexión, porque eso podría tener costos operativos de protección en todos los mensajes. El protocolo SSL permanece vigente el tiempo suficiente para llevar a cabo la autenticación recíproca y para establecer una clave de sesión secreta compartida que puede utilizar la protección de mensajes (consulte Protección de mensajes). Los mensajes se protegen luego de forma individual de acuerdo con el nivel de protección especificado para el tema concreto.

La implementación del protocolo SSL requiere un archivo PKCS (Public-Key Cryptography Standards) que contenga certificados X.509 V3 para la clave privada del intermediario y posiblemente las claves públicas de clientes y otros intermediarios. Este archivo, denominado el archivo de conjunto de claves, debe contener como mínimo un certificado para el intermediario y para la autoridad certificadora (CA) fiable que emitió y firmó el certificado del intermediario. Para el formato R de SSL, el archivo de conjunto de claves también puede tener las claves públicas de clientes y otros intermediarios que es necesario autenticar, y los certificados que dan soporte a estas claves públicas. No obstante, el protocolo SSL requiere el intercambio de claves públicas y certificados, por lo que los archivos de conjunto de claves no necesitan estar completamente preparados de este modo, siempre y cuando haya suficientes autoridades fiables para garantizar que la autenticación se lleve a cabo.

Por convenio, los archivos de conjunto de claves se cifran y protegen mediante una contraseña, que se almacena en un segundo archivo. Es necesario proteger el archivo de contraseñas con mecanismos del sistema operativo para asegurar que no está expuesto a observadores no autorizados. Un observador que conozca la contraseña puede enterarse de las claves privadas del archivo de conjunto de claves. No obstante, sólo es necesario proteger de esta forma el archivo de contraseñas, ya que el archivo de conjunto de claves está protegido por la contraseña. Sólo las claves privadas son confidenciales. Otra información del archivo de conjunto de claves, como los certificados del intermediario, pueden mostrarse sin comprometer la seguridad.

Si desea ver más información sobre la autenticación SSL para el nodo Real Time, consulte Habilitación de SSL para nodos Real-time.

Autenticación SSL para el escucha HTTP

Para obtener información sobre la autenticación SSL para el escucha HTTP, consulte Configuración de los nodos HTTPInput y HTTPReply para utilizar SSL (HTTPS) y Configuración de un nodo HTTPRequest para utilizar SSL (HTTPS).

Autenticación SSL para el Cliente Java de MQ

Para obtener información sobre la autenticación SSL para el Cliente Java de MQ, consulte Habilitación de SSL en WebSphere MQ Java Client.

Conceptos relacionados
Visión general de seguridad
Tareas relacionadas
Implementación de autenticación SSL
Habilitación de SSL para nodos Real-time
Configuración de los nodos HTTPInput y HTTPReply para utilizar SSL (HTTPS)
Configuración de un nodo HTTPRequest para utilizar SSL (HTTPS)
Habilitación de SSL en WebSphere MQ Java Client
Configuración de la seguridad del dominio de intermediarios
Referencia relacionada
Requisitos de seguridad para las tareas administrativas
Avisos | Marcas registradas | Descargas | Biblioteca | Soporte | Su opinión

Copyright IBM Corporation 1999, 2009Copyright IBM Corporation 1999, 2009.
Última actualización : 2009-02-16 13:55:56

ap12210_