Configuración del almacén de claves de MobileFirst Server

improve this page | report issue

Visión general

Un almacén de claves es un repositorio de claves de seguridad y certificados que se utiliza para verificar y autenticar las partes involucradas en la transacción de red. El almacén de claves de MobileFirst Server define la identidad de las instancias de MobileFirst Server y se utiliza para firmar digitalmente las señales de OAuth y los paquetes de Direct Update. Además, cuando un adaptador se comunica con un servidor de fondo utilizando la autenticación HTTPS mutua (SSL), el almacén de claves se utiliza para validar la identidad de cliente SSL de la instancia de MobileFirst Server.

Para establecer la seguridad en un nivel de producción, durante el desplazamiento de desarrollo a producción, el administrador debe configurar MobileFirst Server para utilizar almacén de claves definido por usuario. El almacén de claves de MobileFirst Server predeterminado está pensado para que sea utilizado durante el desarrollo.

Notas

  • Para utilizar el almacén de claves para verificar la autenticidad de un paquete de Direct Update, vincule estadísticamente la aplicación con la clave pública de la identidad de MobileFirst Server que se define en el almacén de claves. Consulte Implementación de un Direct Update seguro en el lado del cliente.
  • Debe tenerse en cuenta la reconfiguración del almacén de claves de MobileFirst Server después de la producción. La modificación de la configuración puede provocar los siguientes posibles efectos:
    • Es posible que el cliente necesite adquirir una nueva señal de OAuth en lugar de una señal firmada con el almacén de claves previo. En la mayoría de los casos, este proceso es transparente para la aplicación.
    • Si la aplicación de cliente está limitada a una clave pública que no coincide con la identidad de MobileFirst Server en la nueva configuración del almacén de claves, Direct Update falla. Para continuar obteniendo actualizaciones, enlace la aplicación con la clave pública nueva y vuelva a publicar la aplicación. De forma alternativa, vuelva a modificar la configuración del almacén de claves para que coincida con la clave pública a la que la aplicación está vinculada. Consulte Implementación de un Direct Update seguro en el lado del cliente.
    • Para la autenticación SSL mutua, si el alias y la contraseña de identidad de cliente SSL configuradas en el adaptador no se encuentran en el almacén de claves o no coinciden con las certificaciones SSL, la autenticación SSL falla. Consulte la información de configuración del adaptador en el paso 2 del siguiente procedimiento.

Configuración

  1. Cree un almacén de claves Java (JKS) o un archivo de almacén de claves PKCS 12 con un alias que contenga un par de claves que definan la identidad de MobileFirst Server. Si ya tiene un archivo de almacén de claves adecuado, vaya al paso siguiente.

    Nota: El tipo de algoritmo de clave-pareja que se debe utilizar es RSA. La siguiente información explica cómo establecer el tipo de algoritmo en RSA al utilizar el programa de utilidad keytool.

    Puede utilizar herramientas de terceros para crear el archivo de almacén de claves. Por ejemplo, puede generar el archivo del almacén de claves JKS ejecutando el programa de utilidad keytool de Java con el mandato siguiente, (donde <keystore name> es el nombre del almacén de claves y <alias name> es su alias seleccionado):

    keytool -keystore <keystore name> -genkey -alias <alias name> -keylag RSA

    El siguiente mandato de muestra genera un archivo JKS my_company.keystore con un alias my_alias:

    keytool -keystore my_company.keystore -genkey -alias my_alias -keyalg RSA

    El programa de utilidad solicita que se proporcionen parámetros de entrada diferentes, incluidas las contraseñas del archivo de almacén de claves y del alias.

    Nota: Debe establecer la opción -keyalg RSA para establecer el tipo de algoritmo de claves generadas en RSA en lugar del tipo DSA predeterminado.

    Para utilizar el almacén de claves para la autenticación SSL mutua entre un adaptador y un servidor de fondo, añada también un alias de identidad de cliente SSL de Mobile Foundation en el almacén de claves. Puede hacerlo utilizando el mismo método que utilizó para crear el archivo de almacén de claves con el alias de identidad de MobileFirst Server, pero proporcionando en su lugar el alias y la contraseña para la identidad del cliente SSL.

  2. Configure MobileFirst Server para utilizar su almacén de claves: Siga estos pasos para configurar MobileFirst Server para utilizar su almacén de claves:

    • Adaptador Javascript En la barra lateral de navegación de MobileFirst Operations Console, seleccione Valores de tiempo de ejecución y luego seleccione el separador Almacén de claves. Siga las instrucciones del separador para configurar el almacén de MobileFirst Server definido por el usuario. Los pasos incluyen la carga del archivo de almacén de claves, indicando el tipo y proporcionando la contraseña del almacén de claves, el nombre del alias de identidad de MobileFirst Server y la contraseña del alias. Si se ha configurado correctamente, el Estado cambia a Definido por el usuario, o se muestra un error y el estado se queda en Predeterminado. El alias de identidad de cliente SSL (si se utiliza) y la contraseña se configuran en el archivo del descriptor del adaptador relevante en los subelementos <sslCertificateAlias> y <sslCertificatePassword> del elemento <connectionPolicy>. Consulte Elemento connectionPolicy del adaptador HTTP.

    • Adaptador Java Para configurar la autenticación SSL mutua para el adaptador Java el almacén de claves del servidor debe actualizarse. Esto se puede conseguir siguiendo estos pasos:

      • Copie el archivo del almacén de claves en <ServerInstallation>/mfp-server/usr/servers/mfp/resources/security

      • Edite el archivo server.xml <ServerInstallation>/mfp-server/usr/servers/mfp/server.xml.

      • Actualice la configuración del almacén de claves con el nombre de archivo correcto, contraseña y tipo <keyStore id=“defaultKeyStore” location=<Keystore name> password=<Keystore password> type=<Keystore type> />

Si se despliega utilizando el servicio Mobile Foundation en IBM Cloud, puede subir el archivo de almacén de claves a Configuración avanzada antes de desplegar el servidor.

Inclusive terminology note: The Mobile First Platform team is making changes to support the IBM® initiative to replace racially biased and other discriminatory language in our code and content with more inclusive language. While IBM values the use of inclusive language, terms that are outside of IBM's direct influence are sometimes required for the sake of maintaining user understanding. As other industry leaders join IBM in embracing the use of inclusive language, IBM will continue to update the documentation to reflect those changes.
Last modified on February 27, 2020