FileNet P8 Application Engine, FileNet P8 Content Engine, Version 5.0.+              

Activation du protocole SSL pour Content Engine

Lors de l'activation de SSL, un certificat serveur est ajouté au serveur de services d'annuaire (dans un but d'authentification). En outre, le certificat d'autorité de certification est ajouté à deux emplacements différents sur le serveur Content Engine (le chemin du kit JDK sert aux autorisations). Assurez-vous que le certificat approprié est ajouté à chacun des trois emplacements.

Pour activer pour Content Engine :

  1. Obtenez et installez un certificat serveur et un certificat d'autorité de certification sur le service d'annuaire. Ces certificats sont disponibles auprès d'autorités de certification indépendantes, telles que VeriSign. Vous pouvez aussi créer vos propres certificats si vous disposez d'un logiciel de gestion des certificats adéquat.
  2. Activez SSL sur le service d'annuaire et définissez le numéro de port SSL. Le port SSL par défaut est 636 ; cependant, si plusieurs services d'annuaire utilisent SSL sur le serveur, il est possible que vous deviez utiliser un autre numéro de port. Reportez-vous à la documentation du serveur d'annuaire pour obtenir des instructions.
  3. Sur le serveur Content Engine, ajoutez le certificat d'autorité de certification au fichier de clés du serveur d'applications, s'il n'y est pas déjà.
  4. Sur le serveur Content Engine, ajoutez le certificat d'autorité de certification au fichier de clés JDK (Java), s'il n'y est pas déjà. Vous pouvez utiliser le fichier de clés par défaut, ou en créer un à l'emplacement de votre choix.
    • Pour utiliser le fichier de clés Java JDK par défaut, effectuez les opérations suivantes :
      1. Déterminez la version de Java utilisée par le serveur d'applications, et l'emplacement de JAVA_HOME.
      2. Utilisez l'outil de clé pour importer le certificat d'autorité de certification dans le fichier de clés Java dans %JAVA_HOME%\jre\lib\security\cacerts.
      3. Pour plus de sécurité, modifiez le mot de passe par défaut.
    • Pour utiliser votre propre fichier de clés (plutôt que le fichier de clés JDK par défaut) :
      1. Ajoutez les paramètres système qui suivent à la ligne de commande Java dans le script de démarrage du serveur d'applications :
        -Djavax.net.ssl.trustStore= chemin_de_votre_fichier_de_clés
        -Djavax.net.ssl.trustStorePassword= mot_de_passe_de_votre_fichier_de_clés
      2. Utilisez l'outil de clé Java pour importer le certificat d'autorité de certification dans votre fichier de clés.
  5. Utilisez Enterprise Manager pour activer SSL pour Content Engine et faites correspondre le numéro de port au port SSL du serveur d'annuaire.
  6. Obtenez un autre certificat serveur et un autre certificat d'autorité de certification pour Content Engine.
  7. Créez votre propre fichier de clés d'identité sur le serveur Content Engine, et ajoutez-y le certificat serveur.
  8. A l'aide de l'outil d'administration du serveur d'applications, activez SSL et pointez vers le fichier de clés d'identité que vous avez créé. Les instructions varient selon le type de serveur d'applications : consultez la documentation de votre serveur pour obtenir une procédure détaillée.
    Option Description
    WebSphere Application Server Configurez un répertoire SSL. Dans le panneau de gauche de la console administrative de WebSphere, naviguez vers Sécurité > SSL. Dans le panneau de droite, sélectionnez votre répertoire JSSE (Java Secure Socket Extension) et indiquez le nom et le mot de passe du fichier de clés et du fichier de clés certifiées.
    Oracle WebLogic Server Définissez un fichier de clés d'identité personnalisé. Dans le panneau de gauche de la console administrative WebLogic, naviguez vers nom_de_domaine > Servers > nom_de_serveur. Dans le panneau de droite, sélectionnez Keystores et SSL et indiquez les informations sur les fichiers de clés.
    JBoss Application Server Consultez la documentation de votre serveur d'applications.
    Important : (WebLogic seulement) Le nom contenu dans le certificat doit correspondre au nom d'hôte indiqué dans le serveur d'applications WebLogic. Si le nom contenu dans le certificat est un nom qualifié complet (par exemple, Host1.filenet.com), le même nom qualifié complet doit figurer dans la zone Host (WebLogic > Authentication Provider > onglet Active Directory > zone Host).
  9. Configurez les clients de façon qu'ils utilisent une URL spécifique pour la connexion à Content Engine, basée sur le type de serveur d'applications et de protocole de transport du client. Le tableau ci-dessous contient les ports par défaut et des exemples d'URL :
    Protocole SSL Port par défaut Serveur d'applications Exemple d'URL
    HTTP non 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS oui 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP non 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP oui 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (par défaut)

    Même si le port par défaut pour IIOP avec SSL est 9403, utilisez le port 2809. Le serveur d'applications Web sait résoudre le numéro de port SSL.

    HTTP non 7001 WebLogic http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS oui 7002 WebLogic https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) non 7001 WebLogic t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) oui 7002 WebLogic t3s://mycorp.com:7002/FileNet/Engine
    HTTP non 8080 JBoss http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS oui 8443 JBoss https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP non 1099 JBoss jnp://mycorp.com:1099/FileNet/Engine

    Les valeurs de port dans le tableau ci-dessus sont des valeurs par défaut. Si vous modifiez les ports d'écoute de votre serveur d'applications, il est possible que vous deviez modifier les numéros de port utilisés par le client Content Engine.



Commentaires

Dernière mise à jour : Novembre 2010


© Copyright IBM Corp. 2010.
Ce centre de documentation utilise la technologie Eclipse. (http://www.eclipse.org)