Content Platform Engine, Version 5.2.1              

Activation de SSL pour Content Platform Engine

Lors de l'activation de SSL, un certificat serveur est ajouté au serveur de services d'annuaire (dans un but d'authentification). En outre, le certificat d'autorité de certification est ajouté à deux emplacements différents sur le serveur Content Platform Engine (le chemin du kit JDK sert aux autorisations). Assurez-vous que le certificat approprié est ajouté à chacun des trois emplacements.

Procédure

Pour activer SSL pour Content Platform Engine :

  1. Obtenez et installez un certificat serveur et un certificat d'autorité de certification sur le service d'annuaire. Ces certificats sont disponibles auprès d'autorités de certification indépendantes, telles que VeriSign. Vous pouvez aussi créer vos propres certificats si vous disposez d'un logiciel de gestion des certificats adéquat.
  2. Activez SSL sur le service d'annuaire et définissez le numéro de port SSL. Le port SSL par défaut est 636 ; cependant, si plusieurs services d'annuaire utilisent SSL sur le serveur, il est possible que vous deviez utiliser un autre numéro de port. Reportez-vous à la documentation du serveur d'annuaire pour obtenir des instructions.
  3. Sur le serveur Content Platform Engine, ajoutez le certificat d'autorité de certification au fichier de clés du serveur d'applications, s'il n'y est pas déjà.
  4. Sur le serveur Content Platform Engine, ajoutez le certificat d'autorité de certification au fichier de clés JDK (Java™), s'il n'y est pas déjà. Vous pouvez utiliser le fichier de clés par défaut ou en créer un à l'emplacement de votre choix.
    • Pour utiliser le fichier de clés Java JDK par défaut, effectuez les opérations suivantes :
      1. Déterminez la version de Java utilisée par le serveur d'applications, et l'emplacement de JAVA_HOME.
      2. Utilisez l'outil de clé pour importer le certificat d'autorité de certification dans le fichier de clés Java dans %JAVA_HOME%\jre\lib\security\cacerts.
      3. Pour plus de sécurité, modifiez le mot de passe par défaut.
    • Pour utiliser votre propre fichier de clés (plutôt que le fichier de clés JDK par défaut) :
      1. Ajoutez les paramètres système qui suivent à la ligne de commande Java dans le script de démarrage du serveur d'applications :
        -Djavax.net.ssl.trustStore= chemin_de_votre_fichier_de_clés
        -Djavax.net.ssl.trustStorePassword= mot_de_passe_de_votre_fichier_de_clés
      2. Utilisez l'outil de clé Java pour importer le certificat d'autorité de certification dans votre fichier de clés.
  5. Démarrez Administration Console for Content Platform Engine si ce n'est déjà fait :
    1. Sur un ordinateur quelconque, ouvrez un navigateur et accédez à la page de connexion d'Administration Console for Content Platform Engine :
      • Dans un environnement à disponibilité standard, la page de connexion est à l'adressehttp://serveur_CPE:port/acce. serveur_CPE est le nom du système sur lequel Content Platform Engine est déployé. port est le port HTTP utilisé par le serveur d'applications sur lequel Content Platform Engine est déployé.
      • Dans un environnement à haute disponibilité, la page de connexion est à l'adresse http://serveur_virtuel:port/acce. serveur_virtuel est le nom de l'équilibreur de charge ou du serveur proxy sur lequel les clusters de Content Platform Engine sont déployés. port est le numéro de port de l'équilibreur de charge ou du serveur proxy.
    2. Connectez-vous en tant qu'utilisateur admin_gcd.
  6. Utilisez IBM® Administration Console for Content Platform Engine pour définir le numéro de port pour qu'il corresponde au numéro de port SSL sur le serveur d'annuaire :
    1. Sélectionnez le noeud du domaine dans le panneau de navigation.
    2. Sélectionnez Properties dans le panneau des détails, ouvrez la liste déroulante des configurations d'annuaire, et sélectionnez le type du serveur d'annuaire.
    3. Définissez la valeur Directory Server Port pour qu'elle corresponde au port SSL sur le serveur d'annuaire.
    4. Cliquez sur Close (fermer).
  7. Procurez-vous un autre certificat serveur et un autre certificat d'autorité de certification pour Content Platform Engine.
  8. Créez votre propre fichier de clés d'identité sur le serveur Content Platform Engine, et ajoutez-y le certificat serveur.
  9. A l'aide de l'outil d'administration du serveur d'applications, activez SSL et pointez vers le fichier de clés d'identité que vous avez créé. Les instructions varient selon le type de serveur d'applications : consultez la documentation de votre serveur pour obtenir une procédure détaillée.
    Option Description
    WebSphere Application Server Configurez un répertoire SSL. Dans le panneau de gauche de la console administrative de WebSphere, naviguez vers Sécurité > SSL. Dans le panneau de droite, sélectionnez votre répertoire JSSE (Java Secure Socket Extension) et indiquez le nom et le mot de passe du fichier de clés et du fichier de clés certifiées.
    Oracle WebLogic Server Définissez un fichier de clés d'identité personnalisé. Dans le panneau de gauche de la console administrative WebLogic, naviguez vers nom_de_domaine > Servers > nom_de_serveur. Dans le panneau de droite, sélectionnez Keystores et SSL et indiquez les informations sur les fichiers de clés.
    JBoss Application Server Consultez la documentation de votre serveur d'applications.
    Important : (WebLogic seulement) Le nom contenu dans le certificat doit correspondre au nom d'hôte indiqué dans le serveur d'applications WebLogic. Si le nom contenu dans le certificat est un nom qualifié complet (par exemple, Host1.filenet.com), le même nom qualifié complet doit figurer dans la zone Host (WebLogic > Authentication Provider > onglet Active Directory > zone Host).
  10. Configurez les clients de façon qu'ils utilisent une URL spécifique pour la connexion à Content Platform Engine, basée sur le type de serveur d'applications et de protocole de transport du client. Le tableau ci-dessous contient les ports par défaut et des exemples d'URL :
    Tableau 1. Ports par défaut et exemples d'URL
    Protocole SSL Port par défaut Serveur d'applications Exemple d'URL
    HTTP non 9080 WebSphere Application Server http://mycorp.com:9080/wsi/FNCEWS40MTOM/
    HTTPS oui 9443 WebSphere Application Server https://mycorp.com:9443/wsi/FNCEWS40MTOM/
    IIOP non 2809 WebSphere Application Server iiop://mycorp.com:2809/FileNetEngine
    IIOP oui 2809 WebSphere Application Server

    iiop://mycorp.com:2809/FileNetEngine (par défaut)

    Même si le port par défaut pour IIOP avec SSL est 9403, utilisez le port 2809. Le serveur d'applications Web sait résoudre le numéro de port SSL.

    HTTP non 7001 WebLogic Server http://mycorp.com:7001/wsi/FNCEWS40MTOM/
    HTTPS oui 7002 WebLogic Server https://mycorp.com:7002/wsi/FNCEWS40MTOM/
    T3 (IIOP) non 7001 WebLogic Server t3://mycorp.com:7001/FileNet/Engine
    T3S (IIOP) oui 7002 WebLogic Server t3s://mycorp.com:7002/FileNet/Engine
    HTTP non 8080 JBoss Application Server http://mycorp.com:8080/wsi/FNCEWS40MTOM/
    HTTPS oui 8443 JBoss Application Server https://mycorp.com:8443/wsi/FNCEWS40MTOM/
    JNP non 1099 JBoss Application Server jnp://mycorp.com:1099/FileNet/Engine

    Les valeurs de port dans le tableau ci-dessus sont des valeurs par défaut. Si vous modifiez les ports d'écoute de votre serveur d'applications, il est possible que vous deviez modifier les numéros de port utilisés par le client Content Platform Engine.

  11. (Oracle WebLogic Server version 10.3.2 ou antérieure sous AIX, HPUX, HPUXi, Linux, Linux on System z, Solaris) : supprimez tous les certificats pour lesquels le chiffrement RSA SHA 256 apparaît dans le fichier de clés (cacerts). Par exemple, si vous utilisez la version 1.6 SR7 d'IBM JRE, supprimez les trois certificats suivants : secomscrootca2, keynectisrootca et globalsignr3ca.


Dernière mise à jour : Mars 2016
p8pin261.htm

© Copyright IBM Corp. 2013, 2016.