Cas d'utilisation du fichier DomainZipFile pour différents niveaux de sécurité dans des modèles.
Le fichier DomainZipFile.zip peut s'utiliser dans les modèles Basic Runtime, Basic Runtime Sample et Advanced Runtime.
Il n'est pas nécessaire d'utiliser une couche SSL pour connecter les packages de script de modèles au dispositif DataPower. Si vous n'utilisez pas SSL, vous n'avez pas besoin de créer de fichier DomainZipFile.zip, sauf si un script d'interface CLI est nécessaire pour personnaliser le domaine DataPower créé par le modèle. Dans ce cas, si vous n'utilisez pas au minimum une authentification de serveur, les données ne seront pas chiffrées. Il s'agit d'un risque de sécurité car les informations des utilisateurs et de mots de passe sont transmises à DataPower au cours du scriptage du client sur une connexion http, et cette opération est protégée par les certificats du fichier DomainZipFile.zip.
Si l'hôte DataPower n'est pas configuré pour valider le certificat du client, vous n'avez pas à utiliser d'authentification mutuelle entre le client de script et le dispositif DataPower. Nous recommandons d'utiliser au minimum une authentification de serveur.
Les scénarios de cas d'utilisation de cette rubrique décrivent différents niveaux de sécurité.
Pour des raisons de sécurité déjà mentionnées, nous recommandons de n'utiliser cette option que pour des scénarios de développement. Si vous ne souhaitez pas utiliser de couche Secure Sockets Layer (SSL), procédez comme suit :
Définissez les paramètres pour SCP_host à Unset
. Si vous utilisez les modèles Basic Runtime ou Advanced Runtime, SCP_host est dans le script de package SOA Policy Gateway 2.0.0.0 - Security. Si vous utilisez le modèle Basic Runtime Sample, SCP_host est dans le script SOA Policy Gateway 2.0.0.0. Ceci définit le script dans le modèle pour qu'il ne récupère pas le fichier DomainZipFile.zip à l'aide de SCP.
Unsetdans les mêmes packages de script à partir de l'étape 1 :
Pour des raisons de sécurité déjà mentionnées, nous recommandons de n'utiliser cette option que pour des scénarios de développement. Vous ne souhaitez pas utiliser SSL, mais un script d'interface CLI est nécessaire :
Définissez les paramètres pour SCP_host à Unset
. Si vous utilisez les modèles Basic Runtime ou Advanced Runtime, SCP_host est dans le script de package SOA Policy Gateway 2.0.0.0 - Security. Si vous utilisez le modèle Basic Runtime Sample, SCP_host est dans le script SOA Policy Gateway 2.0.0.0. Ceci définit le script dans le modèle pour qu'il ne récupère pas le fichier DomainZipFile.zip à l'aide de SCP.
Unset, vous n'avez pas besoin de fichier DomainZipFile.zip, sauf si vous avez un script d'interface CLI à exécuter dans les modèles Basic Runtime et Advanced Runtime.
Mettez le fichier du script d'interface CLI que vous souhaitez utiliser dans la racine du fichier DomainZipFile.zip. Voici un exemple de structure du fichier DomainZipFile.zip :
/cli.cli
Ce fichier est exécuté à la fin du package de script de DataPower Domain. cli.cli est un exemple de nom de fichier. Le nom de fichier ne doit contenir aucun espace.
Examinez le profil de proxy SSL pour l'interface XML Management et localisez le profil CryptoProfile. Crypto Profile doit contenir les données d'identification qui détiennent les certificats utilisés pour protéger l'interface XML Management.
Ajoutez ces certificats au fichier DomainZipFile.zip.
Unsetcomme valeur pour les paramètres suivants de ces scripts:
Facultatif : si un script d'interface CLI est obligatoire :
Mettez le fichier du script d'interface CLI que vous souhaitez utiliser dans la racine du fichier DomainZipFile.zip. Voici un exemple de structure du fichier DomainZipFile.zip :
/cli.cli
Ce fichier est exécuté à la fin du package de script de DataPower Domain. cli.cli est un exemple de nom de fichier. Le nom de fichier ne doit contenir aucun espace.
Ajoutez ces certificat au fichier DomainZipFile.zip.
Le certificat client et le fichier de clés client peuvent contenir les données du certificat ou du fichier de clés avant la ligne du fichier qui contient : -----BEGIN CERTIFICATE-----.
Unsetcomme valeur pour les paramètres suivants de ces scripts:
Unset:
Les commandes curl utilisées par les packages de script supposent que le type de fichier est .pem, en conséquence --key-type et --cert-type sont définis à PEM par défaut. Les fichiers de certificats et de clés peuvent contenir ce contenu avant -----BEGIN CERTIFICATE----- dans le fichier de certificats ou de clés particulier.
Facultatif : si un script d'interface CLI est requis en utilisant les modèles Basic Runtime ou Advanced Runtime :
Mettez le fichier du script d'interface CLI que vous souhaitez utiliser dans la racine du fichier DomainZipFile.zip. Voici un exemple de structure du fichier DomainZipFile.zip :
/cli.cli
Ce fichier est exécuté à la fin du package de script de DataPower Domain. cli.cli est un exemple de nom de fichier. Le nom de fichier ne doit contenir aucun espace.