Red Hat SummitCapítulo 11. Configuración de clientes para la firma de paquetes de reglas
Lea esta sección para aprender sobre la firma de paquetes de reglas y la configuración del almacenamiento de llaves.
La firma de paquetes de reglas asegura que los paquetes de reglas no se puedan dañar o alterar durante la descarga del servidor de JBoss Enterprise BRMS Platform para las aplicaciones clientes. La firma de paquetes de reglas no está habilitada por defecto.
Importante
Red Hat recomienda que se habilite la firma de paquetes de reglas en entornos de producción.
La firma de paquetes se implementa usando la criptografía de llaves públicas. Se utiliza el comando JDK
keytool para crear una llave privada y un certificado digital público correspondiente. Los paquetes firmados con una llave privada sólo se pueden verificar con el certificado que coincida. La llave privada se almacena en un archivo llamado keystore y el servidor lo utiliza para firmar automáticamente cada paquete. El certificado público se hace disponible para cada aplicación cliente en un almacén de llaves conocido como almacén de confianza. El certificado en el almacén de confianza se utiliza para verificar la autenticidad de los paquetes firmados. Los paquetes de reglas que están corruptos o que se han modificado durante la descarga serán rechanzados por el cliente ya que la firma ya no coincidirá con el certificado.
El procedimiento a continuación describe el proceso de configuración de aplicaciones cliente para la firma de paquetes de reglas. Esto implica el configurar varias propiedades en el cliente. Las propiedades se puede establecer programáticamente usando el método
System.setProperty. La clase org.drools.core.util.KeyStoreHelper contiene varias constantes que representan estas propiedades.
Antes de realizar esta tarea necesita:
- Un servidor JBoss Enterprise BRMS Platform ya instalado y configurado correctamente para la firma de paquetes de reglas.
- La URL para el almacén de confianza que contiene el certificado digital que el servidor JBoss Enterprise BRMS Platform utiliza.
- La contraseña para el almacén de confianza si hay una establecida.
Procedimiento 11.1. Configuración de clientes para la firma de paquetes de reglas
Habilitar la firma
Configure la propiedaddrools.serialization.signcomotrue.System.setProperty( KeyStoreHelper.PROP_SIGN, "true" );
System.setProperty( KeyStoreHelper.PROP_SIGN, "true" );Copy to Clipboard Copied! Toggle word wrap Toggle overflow Configure la URL TrustStore
Configure la propiedaddrools.serialization.public.keyStoreURLcon la URL en donde se encuentra el TrustStore. Si el TrustStore se encuentra en la ruta de clase del cliente entonces esto se puede lograr usando el métodogetClass().getResource().Ejemplo 11.1. Cuando el TrustStore se encuentra en la ruta de clase del cliente
URL trustStoreURL = getClass().getResource( "BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );
URL trustStoreURL = getClass().getResource( "BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );Copy to Clipboard Copied! Toggle word wrap Toggle overflow Ejemplo 11.2. Cuando el TrustStore se encuentra en un servidor web
URL trustStoreURL = new URL("http://brms.intranet/resources/BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );URL trustStoreURL = new URL("http://brms.intranet/resources/BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );Copy to Clipboard Copied! Toggle word wrap Toggle overflow Ejemplo 11.3. Cuando el TrustStore se encuentra en el sistema local de archivos
URL trustStoreURL = new URL("file:///mnt/fileserve/rules-server/BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );URL trustStoreURL = new URL("file:///mnt/fileserve/rules-server/BRMSTrustStore.keystore" ); System.setProperty( KeyStoreHelper.PROP_PUB_KS_URL, trustStoreURL.toExternalForm() );Copy to Clipboard Copied! Toggle word wrap Toggle overflow OPCIONAL: Establezca la contraseña del almacén de claves
Configure la propiedaddrools.serialization.public.keyStorePwdcon la contraseña para el almacén de confianza. Esto sólo se necesita si se requiere una contraseña para acceder el almacén de confianza.System.setProperty( KeyStoreHelper.PROP_PUB_KS_PWD, "sekretPasswordHere" );
System.setProperty( KeyStoreHelper.PROP_PUB_KS_PWD, "sekretPasswordHere" );Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- Consulte el manual del administrador BRMS para ver las instrucciones sobre cómo configurar el servidor para la firma de paquetes de reglas, http://docs.redhat.com/docs/en-US/JBoss_Enterprise_BRMS_Platform/5/html/BRMS_Administrator_Guide.
- Consulte http://en.wikipedia.org/wiki/Public-key_cryptography para obtener mayor información sobre la criptografía de claves públicas.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}