Acerca de SL y los componentes de Build Forge

Los componentes de Build Forge están configurados de forma predeterminada para que utilicen determinados puertos y valores de seguridad cuando SSL está habilitada.

Configuración predeterminada de SSL

La habilitación de SSL es relativamente sencilla cuando se utilizan los certificados predeterminados. Los procedimientos de esta sección se basan en dicho caso de ejemplo.

No obstante, no resulta prudente utilizar el mismo certificado (clave privada) en cada sistema. Si la clave privada de un sistema está en peligro, podría verse en peligro toda la infraestructura. Las posibilidades de peligro se pueden reducir forzando la seguridad física.

Un sistema más seguro utiliza un certificado para cada proceso. En Build Forge ello implica hacer lo siguiente:

  • Crear un certificado para cada agente.
  • Crear un certificado para cada motor. Esto es aplicable cuando se configura la redundancia. Consulte Configuración de redundancia.
Esta configuración requiere gestión adicional de certificados. Tiene distintas opciones:

Las siguientes secciones identifican las interfaces del sistema Build Forge en las que se fuerza la seguridad de SSL.

Interfaces de cliente

Los usuarios acceden al sistema Build Forge a través de las interfaces de cliente.

Cliente web con Build Forge
Los clientes web acceden a Build Forge a través de su servidor web Apache. Cuando SSL está habilitada y se utiliza un navegador web con seguridad habilitada, se utilizan las siguientes interfaces.
  • Puerto de servidor web Apache 443
    Los clientes web acceden a Build Forge a través de su URL. Cuando SSL está habilitada, el URL es el siguiente:
    https://host/
    El host es el host en el que se ejecuta Build Forge. Si configura otro puerto distinto al 443 para proteger el acceso a Apache, los usuarios deberán especificar también el puerto:
    https://host:port/

    Los clientes web se redirigen a un servlet de autenticación que se ejecuta en el servidor Apache Tomcat.

  • Puerto de servidor de aplicaciones Apache Tomcat 8443

    Un servlet de autenticación acepta las credenciales de inicio de sesión y autentica al usuario. El servlet cifra las credenciales de modo que nunca aparezcan en texto simple por la conexión.

La configuración del puerto de escucha utilizada por el servlet Apache Tomcat se gestiona a través de un archivo de configuración. Se encuentra en <bfinstall>/Apache/tomcat/conf/server.xml. Localice la siguiente configuración del conector.
<Connector port="8443" maxHttpHeaderSize="8192" algorithm="IbmX509" 
    maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
    enableLookups="false" disableUploadTimeout="true"
    acceptCount="100" scheme="https" secure="true"
    clientAuth="false" sslProtocol="SSL_TLS" 
    keystoreFile="C:\BuildForge71.536\keystore\buildForgeKeyStore.p12"
    keystorePass="password" 
    keystoreType="PKCS12" 
    truststoreFile="C:\BuildForge71.536\keystore\buildForgeTrustStore.p12" 
    truststorePass="password" 
    truststoreType="PKCS12"/>
Cliente de programa de API con Build Forge
  • Puerto de servidor de aplicaciones Apache Tomcat 49150

    Los clientes de API acceden a Build Forge a través de su componente de capa de servicios, una aplicación que se ejecuta en el servidor de aplicaciones Apache Tomcat. Los clientes de API necesitan tener un archivo bfclient.conf válido.

    El componente de capa de servicios utiliza una configuración SSL para comunicaciones entrantes. Se define en la consola de Build Forge, en Administración > Seguridad > SSL. El valor predeterminado es SSL de entrada de JSSE predeterminado.

Interfaces internas

Build Forge está formado por un componente de interfaz web (PHP y servidor web Apache), un componente de capa de servicios y un componente de motor. Los componentes de interfaz web y motor son clientes del componente de capa de servicios. Los clientes de programa API también son clientes del componente de capa de servicios.

Entrada de la capa de servicios

Puerto de servidor de aplicaciones Apache Tomcat 49150

El componente de capa de servicios utiliza una configuración SSL para comunicaciones entrantes. Se define en la consola de Build Forge, en Administración > Seguridad > SSL. El valor predeterminado es SSL de entrada de JSSE predeterminado.

Salida de cliente de la capa de servicios

Puerto de servidor de aplicaciones Apache Tomcat 49150

El componente de interfaz web (mediante PHP) y el componente de motor utilizan ambos una configuración SSL dedicada para comunicaciones de salida con el componente de capa de servicios. Se define en la consola de Build Forge, en Administración > Seguridad > SSL. El valor predeterminado es SSL de salida de JSSE predeterminado.

Las propiedades de SSL para la configuración de salida del cliente y la configuración de entrada de la capa de servicios deben ser compatibles para que sea satisfactorio el reconocimiento de SSL. En Administración > Seguridad > SSL, las propiedades Tipo y Protocolo de reconocimiento deben coincidir.

Cada configuración SSL tiene una configuración del almacén de claves de referencia:

Las configuraciones se especifican por nombre. Debe definirlas en Administración > Seguridad > SSL. Se proporcionan varios valores predeterminados.

Interfaces externas

Las interfaces externas son las utilizadas por Build Forge para comunicarse con los sistemas externos.
  • El motor de Build Forge se comunica con los agentes.
  • El componente de capa de servicios de Build Forge se comunica con la base de datos.
Comunicaciones del motor de Build Forge con el agente
La habilitación de SSL para esta interfaz requiere lo siguiente:
  • La configuración del agente. Requiere un cambio en el archivo de configuración del agente y la colocación de certificados en el host del agente.
  • La habilitación de las comunicaciones SSL para cada recurso de servidor que utilice el agente. Esto se lleva a cabo en el panel Servidores de la consola.

Consulte Habilitación de SSL para comunicaciones de agente.

Comunicaciones del componente de capa de servicios de Build Forge con la base de datos
La configuración SSL de esta interfaz se define en el controlador de dispositivo de la base de datos.

Comentarios