![[16.0.0.3 and later]](../ng_v16003plus.gif)
Configuration de collectivités avec des certificats tiers
SSL protège la communication entre les contrôleurs et les membres. Chaque serveur d'une collectivité a sa propre identité qui est composée de son nom d'hôte, de son annuaire d'utilisateurs et de son nom de serveur. Chaque serveur appartenant à une collectivité comprend deux magasins de clés appelés par défaut serverIdentity.jks et collectiveTrust.jks. Le magasin par défaut contient les certificats SSL requis pour déclarer sa propre identité et pour établir une communication sécurisée avec les autres membres et les autres contrôleurs de la collectivité. Pour qu'une application établisse une connexion entrante HTTPS, chaque serveur a deux magasins de clés supplémentaires appelés, par défaut, key.jks et trust.jks.
Avant de commencer
Vous devez construire la collectivité Liberty. Pour plus d'informations, voir Configuration d'une collectivité Liberty et Sécurité de la collectivité dans la documentation du produit.
Pour établir la connexion SSL sécurisée entre le contrôleur de collectivité et le membre de la collectivité, un ensemble de certificats SSL est créé par l'utilitaire de la collectivité. Le nom distinctif (DN) de chaque certificat contient soit OU=controllerRoot, soit OU=memberRoot, selon que le certificat est utilisé côté contrôleur ou côté membre. Ils sont ajoutés aux magasins de clés respectifs du contrôleur ou du membre. Ces certificats permettent de garantir que la connexion SSL sécurisée est établie entre les différents constituants d'une collectivité.
Vous pouvez utiliser les certificats SSL signés par l'autorité de certification tierce pour obtenir la même connexion SSL sécurisée entre les différents serveurs Liberty d'une collectivité.
- rootkeys.jks
- Le magasin de clés existe uniquement du côté du contrôleur de collectivité et il contient deux certificats personnels auto-signés portant les noms d'alias controllerroot
et memberroot. Le système utilise ces certificats pour signer les certificats personnels du contrôleur de collectivité et les certificats personnels du membre de la collectivité dans cet ordre. Conseil : Après avoir créé le contrôleur, au besoin, vous pouvez remplacer les certificats dans le magasin de clés rootkeys.jks par vos propres certificats signés par une autorité de certification (AC).
- serverIdentity.jks
- Le magasin de clés contient le certificat personnel du contrôleur du côté du contrôleur et le certificat personnel du membre du côté du membre, qui est automatiquement créé lors de l'opération de création de la collectivité. Par défaut, le certificat personnel du contrôleur est signé par controllerroot et le certificat personnel du membre est signé par memberroot dans rootKeys.jks.
- collectiveTrust.jks
- Le magasin de clés de confiance contient les certificats des signataires ayant signé le certificat personnel du contrôleur et du membre, par exemple : controllerroot et memberroot.
- key.jks
- Le magasin de clés contient le certificat personnel du contrôleur du côté du contrôleur et le certificat personnel du membre du côté du membre, qui est automatiquement créé lors de l'opération de création de la collectivité. Par défaut, le certificat personnel du contrôleur est signé par controllerroot et le certificat personnel du membre est signé par memberroot.
- trust.jks
- Le magasin de clés de confiance contient les certificats des signataires ayant signé le certificat du contrôleur et le certificat personnel du membre, par exemple : controllerroot et memberroot.
L'image suivante affiche les certificats du contrôleur et du membre :

Pourquoi et quand exécuter cette tâche
Configurez et modifiez un paramètre de collectivité de manière à ce que les certificats SSL signés par l'autorité de certification tierce puissent être utilisés. Ajoutez une nouvelle configuration au fichier server.xml de façon à prendre en charge les certificats SSL signés par l'autorité de certification tierce. Cette configuration est utilisée pour identifier les certificats utilisés pour les opérations de la collectivité quand il ne s'agit pas de la configuration par défaut.
<collectiveCertificate rdn="name=value"></collectiveCertificate>.
- name
- Tout nom d'attribut figurant dans le nom distinctif de certificat
- value
- Valeur de l'attribut rdn contenu dans le nom distinctif
<collectiveCertificate rdn="EMAIL=abcd@xyz.com"></collectiveCertificate>