

Certificats SSL de routage dynamique
Trois types de certificats SSL sont concernés par le routage dynamique dans Liberty : le certificat de membre, le certificat de contrôleur et le certificat de routage dynamique. Chacun de ces trois types de certificats possède un certificat de signataire SSL associé. Un certificat de signataire SSL garantit la validité du certificat qu'il signe.
- Certificat de membre
- Certificat présenté par un membre de la collectivité lorsque le serveur Web tente de passer par un proxy pour une demande de client à un membre via SSL.
- Certificat de contrôleur
- Certificat présenté par un collecteur de collectivité au plug-in lorsque celui-ci tente de se connecter au service de routage dynamique sur un contrôleur de collectivité.
- Certificat de routage dynamique
- Certificat présenté par le plug-in au contrôleur lorsque le plug-in tente de se connecter au service de routage dynamique sur un contrôleur de collectivité.
Pour la communication SSL des demandes transmises aux membres de la collectivité via un proxy, le serveur Web doit pouvoir être sûr que le certificat de membre est valide. Pour que le serveur Web puisse considérer que le certificat de membre est valide, le certificat signataire de membre doit être présent dans le magasin de clés du serveur Web.
Le magasin de clés est le fichier .kdb qui est référencé avec l'élément <Property Name="Keyfile" value=…/> xml dans le fichier plugin-cfg.xml.
- Le plug-in doit approuver le certificat de contrôleur comme valide.
- Le contrôleur doit approuver le certificat de routage dynamique comme valide.
- Le certificat de routage dynamique doit être autorisé à accéder au service de routage dynamique.
- Le sujet de certificat correspond au sujet de certificat par défaut utilisé par le service de routage dynamique.
Le sujet de certificat par défaut est créé par défaut lorsque la commande dynamicRouting
setup ou les options genKeystore sont utilisées. Le sujet de certificat par défaut est le suivant :
DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer
Le sujet de certificat par défaut correspond à la valeur de l'attribut certificateSubject de l'élément XML <dynamicRouting> dans le fichier server.xml du contrôleur de collectivité. S'il est spécifié, ce sujet de certificat est utilisé à la place du sujet de certificat par défaut lorsque les options setup ou genKeystore de la commande dynamicRouting sont utilisées. Examinez l'exemple suivant :
<dynamicRouting certificateSubject=”CN=Plugin,OU=ops,O=MyCompany,L=Raleigh,ST=NC,C=US”/>
- Le sujet de certificat correspond à un utilisateur auquel le rôle Administrateur est affecté dans le registre de sécurité. Un certificat de routage dynamique ayant un sujet avec le rôle d'administrateur permet l'accès aux fonctions administratives dans la collectivité à partir de la zone démilitarisée. Si ce type de certificat est utilisé pour accéder au service de routage dynamique, un message d'erreur est consigné dans le journal, mais la communication aboutit.
Les options setup et genKeystore de la commande dynamicRouting génèrent des magasins de clés avec tous les certificats requis pour garantir une communication réseau sécurisée entre le serveur Web et les serveurs d'une collectivité. Aucune modification n'est nécessaire si vous désirez utiliser la configuration de sécurité par défaut.
- Les certificats de signataire de membre de toutes les collectivités doivent être présents dans le fichier .kdb référencé par
l'élément XML <Property Name="Keyfile" value=…/> dans le fichier plugin-cfg.xml. Remarque : Ceci est obligatoire uniquement si le plug-in utilise le protocole SSL pour les demandes de client transitant par un proxy.
<Property Name="Keyfile" Value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key.kdb"/>
- Le certificat de signataire de contrôleur doit être présent dans le fichier .kdb référencé par l'élément XML
<Property name="keyring" value=…/> de l'élément
<Connector> du contrôleur dans le fichier plugin-cfg.xml.
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- Le certificat de signataire de routage dynamique doit être présent dans le répertoire suivant de tous les contrôleurs :
${server.output.dir}/resources/ collective/collectiveTrust.jks)
- Le certificat de routage dynamique d'une collectivité doit être présent dans le fichier .kdb référencé par l'élément
XML <Property name="keyring" value=…/> de l'élément
<Connector> du contrôleur dans le fichier plugin-cfg.xml. Examinez l'exemple suivant :
<Property name="keyring" value="/opt/IBM/WebSphere/Plugins/config/webserver1/plugin-key-collective1.kdb"/>
- Le sujet de certificat dans le certificat de routage dynamique correspond à l'une des options suivantes :
“DC=com.ibm.ws.dynamic.routing,OU=dynamicrouting,CN=WebServer”
La valeur de l'attribut certificateSubject de l'élément XML <dynamicRouting> dans les fichiers server.xml des contrôleurs d'une collectivité.
- Un utilisateur auquel est affecté le rôle Administrateur dans la collectivité (non recommandé).