Soporte de Producto / CSR - IBM - Websphere MQ
ESign S.A. le da la bienvenida, tanto si es un cliente antiguo que nos formula una pregunta técnica como si es la primera vez que nos visita, siempre tendremos una respuesta para usted. Queremos ayudarle. Nuestro negocio es el servicio de atención al cliente.

Generar un CertificateSigningRequest (CSR) utilizando IBM Websphere MQ

Para generar una CSR, primero es necesario crear un par de claves para el servidor. Estos dos elementos son un par de claves de certificados digitales y no pueden separarse. Si pierde su contraseña o el archivo de clave pública/privada y crea uno nuevo, su certificado SSL dejará de coincidir con su clave privada. Deberá solicitar un certificado SSL nuevo por el que se le podrá cobrar. Verisign recomienda que para obtener información adicional tome contacto con el fabricante de la aplicación.

El CSR necesita contar con los siguientes atributos:

Locality or City (L): el campo localidad es el nombre de la ciudad. Por ejemplo, Santiago, Lima.

Country Name (C): utilice un código de 2 letras sin puntuación para el país. Por ejemplo CL, PE, US.

State or Province (S): escriba utilice un código de 2 letras sin puntuación para el país. Por ejemplo CL, PE, US.el estado complete; no abrevie el nombre del estado o provincial. Por ejemplo, Valparaíso.

Organization (O): si su compañía o departamento tiene un carácter especial como & o @, debe ingresar el nombre de la organización sin el carácter especial. Por ejemplo XY & Z Corporation debe ser ingresado como XY and Z Coporation.

OrganizationalUnit (OU): este campo es opcional, pero suele ser utilizado por la organización para identificar el certificado. La Unidad Organizacional (OU) es el nombre del departamento o suborganización a cargo de generar la solicitud.

Common Name (CN): el common name se compone de HOST + DOMINIO. Por ejemplo www.company.com o mail.company.com.

Los certificados Verisign solo pueden ser utilizados en los servidores con el common name que se especifica en el CSR. Por ejemplo un certificado para “dominio.com” recibirá una alerta si accede a un sitio www.dominio.com o seguro.dominio.com, porque www.dominio.com y seguro.dominio.com son diferentes de “dominio.com”. No ingrese direcciones de email, la frase secreta o nombres opcionales de la compañía cuando genere el CSR.

Genere el par de llaves y el CSR

  1. Prepare su sistema para utilizar la utilidad iKeyman

Inicie la interfaz grafica de iKeyman (GUI) utilizando el comando gsk7ikm (UNIX) o el comando strmqikm (Windows)

Nota: para utilizar la interfaz gráfica del iKeyman, asegúrese de que su maquina puede ejecutar el sistema X Windows.

  • Asegúrese de lo siguiente:
    • Establezca la variable de entorno DISPLAY. Por ejemplo: export DISPLAY = mipc: 0.
    • Asegúrese que la ruta del usuario contiene /usr/bin
    • Establezca la variable de entorno JAVA_HOME:
      1. AIX: export JAVA_HOME =/usr/mqm/ssl/jre
      2. HP-UX: export JAVA_HOME =/opt/mqm/ssl
      3. Linux: export JAVA_HOME =/opt/mqm/ssl/jre
      4. Solaris: export JAVA_HOME =/opt/mqm/ssl
  1. Configuración del repositorio de llaves
  • Abra el iKeyman GUI, o use líneas de comando de UNIX o Windows para hacer lo siguiente:

Utilizando iKeyman GUI

Seleccione New en el menú Key Database File. Haga clic en Key databasetype, y seleccione CMS. Escriba un nombre de archivo y una ubicación en los campos File Name y Location, y escriba una password.

Utilizando iKeycmd (UNIX)

Utilice el siguiente comando:

      Gsk7cmd –keydb –create –dbfilename –pw password –type cms –expire days –stash

Utilizando iKeycmd (Windows)

Utilice el siguiente comando:

      Runmqckm –keydb –create –db filename –pw password –type cms­–expire days –stash, donde:

  • -dbfilename es el nombre completo para la base de datos de llaves CMS, con una extensión cms
  • -pwpassword es la contraseña para la base de datos de llaves CMS, con una extensión.cms
  • -typecms es el tipo de base de datos
  • -expire days es el tiempo de expiración, en días, de la contraseña de la base de datos. El valor por defecto es de 60 días.
  • -stash dice iKeycmd para guardar la contraseña de base datos de llaves en un archivo.

En Windows el archivo de base de datos de llaves (.KDB) se crea con permisos de lectura para todos los usuarios, por lo que es necesario cambiar los permisos. En Unix se crean los archivos, .kdb y –sth. Los permisos de acceso para el archivo de base de datos de llaves se establecen para dar acceso sólo al usuario que utiliza el iKeyman o el iKeycmd.

  • Si está utilizando UNIX, ejecute chmod para dar acceso a MCA. Por ejemplo:
    • chmodg+r /var/mqm/qmgrs/QM1/ssl/key.kdb
    • chmodg+r /var/mqm/qmgrs/QM1/ssl/key.sth
  • si está utilizando queue manager, cambie la ubicación del  repositorio de llaves. Por ejemplo:
    • ALTER QMGR SSLKEYR ('/var/mqm/qmgrs/QM1/ssl/MyKey')
  1. Genere un CSR

Utilizando el iKeyman

  • Inicie la interfaz grafica de iKeyman (GUI) utilizando el comando gsk7ikm (Unix) o strmqikm (Windows).
  • En el iKeyman GUI, haga clic en Open desde el menú Key Database File. Seleccione CMS en el tipo de base de tatos.
  • Haga clic en Browse para llegar al directorio que contiene la base de datos.
  • Seleccione el archivo que contiene la base de datos de llave, por ejemplo key.kdb
  • Haga clic en Open
  • Ingrese la password de la base de datos y haga clic en OK
  • Seleccione el menú Create y haga clic en New CertificateRequest
  • Escriba lo siguiente en el campo Key Label:
    • Para el queuemaneger, ibmwebspheremq seguido por el nombre de su queue manager. Por ejemplo, para QM1, escriba ibmwebspheremqmq1.
    • Para Websphere MQ Client, ibmwebspheremq seguido de su nombre de inicio de sesión. Por ejemplo, imbwebspheremqminombredeusuario.
  • Escriba los valores para el Common Name, Organization, OrganizationalUnit, City/Locality, State/Province y seleccione un país de la lista Country.
  • Ingrese un nombre para el archivo en Enter the name of a file in which to store the certificate request, puede aceptar el valor por defecto certreq.arm, o puede escribir una ruta nueva.
  • Haga clic en OK. Cuando la ventana de confirmación se muestre, haga clic en OK nuevamente.

Utilizando el iKeycmd (interfaz por línea de comando)

  • Para generar un CSR en iKeycmd (utilizando líneas de comando en UNIX), utilice los siguientes comandos:

gsk7cmd -certreq -create -dbfilename -pw password -label label -dndistinguished_name -size key_size-file filename

  • Para generar un CSR en iKeycmd (utilizando lineas de commando en Windows), utilice los siguientes comandos:

runmqckm -certreq -create -dbfilename -pw password -label label -dndistinguished_name -size key_size-file filename, donde:

-dbfilename es el nombre completo para la base de datos de llaves CMS, con una extensión cms

-pwpassword es la contraseña para la base de datos de llaves CMS, con una extensión.cms

-labellabel es la etiqueta que tendrá la llave privada que acompaña al certificado

-dndistinguished_name es el nombre completo del X.500, entre comillas dobles. Note que Common Name, Organization, Organizational Unit, City/Locality, State/Province y Country son los atributos requeridos.

-sizeKey_size es el largo de la llave. Esta debe ser al menos de 2048 bits.

-file filename es el nombre para el archivo del CSR

Durante el proceso de verificación es posible que e-Sign VeriSign tenga que ponerse en contacto con su organización. Asegúrese de proporcionar una dirección de correo electrónico, un número de teléfono y número de fax que se comprobará de inmediato. Estos campos no forman parte del certificado.