[16.0.0.3 and later]

Configuration de certificats tiers pour une collectivité existante

Vous pouvez mettre en place des certificats tiers pour une collectivité existante.

Pourquoi et quand exécuter cette tâche

Pour mettre en place des certificats tiers pour une collectivité existante, vous devez changer le magasin de clés et le magasin de clés de confiance affichés dans l'image ci-dessous :

Diagramme affichant les magasins de clés de la collectivité devant être modifiés
Conseil : Vous trouverez l'utilitaire keytool dans votre répertoire d'installation Java™.
Important : Tous les membres et contrôleurs doivent utiliser des certificats d'autorité de certification (AC).

Procédure

  1. Récupérez un certificat personnel SSL de contrôleur qui soit signé par une autorité de certification tierce. Par exemple, le certificat est disponible dans controller_pers_cert.jks et dans member_pers_cert.jks.
  2. Récupérez le certificat de signataire du certificat personnel du contrôleur et celui du certificat personnel des membres. Par exemple, ils sont disponibles respectivement dans les fichiers controller_signer_cert.cer et member_signer_cert.cer.
  3. Configurez le côté du contrôleur de collectivité.
    1. Arrêtez le contrôleur et les membres.
    2. Accédez au répertoire {controller_server_dir}/resources/collective.
    3. Supprimez les certificats dans serverIdentity.jks.
    4. Importez le certificat personnel du contrôleur dans le fichier serverIdentity.jks. Vous pouvez utiliser à cet effet l'utilitaire keytool fourni avec le JDK.
      keytool -importkeystore -srckeystore 
      controller_pers_cert.jks -destkeystore
                 serverIdentity.jks
    5. Supprimez les signataires du fichier collectiveTrust.jks.
    6. Ajoutez les signataires du certificat du contrôleur et du certificat personnel des membres au fichier collectiveTrust.jks.
      keytool -import -trustcacerts -file 
      controller_signer_cert.cer
              -keystore collectiveTrust.jks -alias "controllerSignerAlias"
      keytool -import -trustcacerts -file member_signer_cert.cer
                    -keystore collectiveTrust.jks -alias 
      "MemberSignerAlias"
    7. Accédez au répertoire {controller_server_dir}/resources/security.
    8. Remplacez le contenu de key.jks par celui de serveIdentity.jks.
    9. Remplacez le contenu de trust.jks par celui de collectiveTrust.jks.
    10. Démarrez le contrôleur de collectivité.
  4. Configurez chaque côté membre de collectivité.
    1. Pour le membre, récupérez un certificat personnel qui soit signé par le certificat de signataire de membre. Vous pouvez utiliser un seul et même certificat personnel pour tous les membres ou bien créer un certificat différent pour chaque membre. Par exemple, le certificat est disponible dans member_pers_cert.jks.
    2. Accédez à {member_server_dir}/resources/collective.
    3. Supprimez les certificats de serverIdentity.jks.
    4. Ajoutez le certificat personnel des membres signé par l'autorité de certification au fichier serverIdentity.jks.
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    5. Supprimez les signataires du fichier collectiveTrust.jks.
    6. Ajoutez les signataires du certificat du contrôleur au fichier collectiveTrust.jks.
      keytool -importkeystore -srckeystore member_pers_cert.jks -destkeystore  
      serverIdentity.jks
    7. Remplacez le contenu de key.jks par celui de serveIdentity.jks.
    8. Remplacez le contenu de trust.jks et controllerTrust.jks par celui des magasins de clés de confiance homologues dans le contrôleur.

Icône indiquant le type de rubrique Rubrique Tâche

Nom du fichier : tagt_wlp_setup_exist_collective.html