Extraction des signataires à l'aide de l'utilitaire retrieveSigners sur le client

Le client requiert les certificats de signataire du serveur pour pouvoir communiquer avec WebSphere Application Server. Utilisez la commande retrieveSigners pour obtenir le certificat signataire sur un serveur.

Avant de commencer

L'utilitaire retrieveSigners se trouve dans l'un des répertoires ci-dessous, en fonction de votre système d'exploitation : Dans cette version, un client Java™ qui n'a pas accès à une invite de console stdin doit se servir de l'utilitaire retrieveSigners pour télécharger les signataires à partir du magasin de clés d'un serveur distant, lorsque les signataires doivent participer à l'établissement d'une liaison SSL (Secure Sockets Layer). Par exemple, si un client d'applet ou une application client Java Web Start ne peut pas accéder à l'invite d'échange d'un signataire stdin, vous risquez de conclure que le client n'a pas pu répondre. Vous devez donc ajouter l'appel de la méthode WebSphere Java com.ibm.wsspi.ssl.RetrieveSignersHelper.callRetrieveSigners à votre application client afin d'extraire les signataires et d'éviter une exécution manuelle de l'utilitaire retrieveSigners.

Utilisez l'utilitaire retrieveSigners dans les situations où vous ne pouvez pas vérifier si la propriété com.ibm.ssl.enableSignerExchangePrompt= est activée ou désactivée lorsque l'application fait une demande. Attribuez la valeur false à la propriété com.ibm.ssl.enableSignerExchangePrompt= dans le fichier ssl.client.props si vous ne pouvez pas voir la console.

Sinon, vous pouvez créer la clé de serveur manuellement dans le magasin des relations de confiance.

Pourquoi et quand exécuter cette tâche

Suivez la procédure ci-dessous :

Procédure

  1. Utilisez la commande retrieveSigners pour obtenir le certificat signataire sur un serveur. Pour plus d'informations sur les paramètres retrieveSigners, voir Installation sécurisée pour l'extraction des signataires client dans SSL.
  2. Si le client et le serveur se trouvent sur le même ordinateur, vous n'avez besoin que des paramètres remoteKeyStoreName et localKeyStoreName. Le magasin de clés classique à référencer sur un système distant est CellDefaultTrustStore dans un environnement déployé sur un réseau et NodeDefaultTrustStore sur un serveur d'applications.
  3. Lorsque vous extrayez de signataires d'un serveur distant, ajoutez ces paramètres obligatoires liés à la connexion : –host host, –port port, –conntype {RMI | SOAP}.
  4. Utilisez le paramètre –autoAcceptBootstrapSigner si vous souhaitez activer l'automatisation de l'extraction du signataire. Ce paramètre ajoute automatiquement au serveur tous les signataires nécessaires à l'établissement de la connexion.

Résultats

Après l'exécution, la commande affiche le résumé SHI-1 des signataires ajoutés. Le résultat est le suivant :
[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\AppSrv01\bin\retrieveSigners.bat 
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:
[IBM i]

/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/AppSrv01/bin/retrieveSigners
CellDefaultTrustStore ClientDefaultTrustStore 

CWPKI0308I: Adding signer alias "default_signer" to local keystore
           "ClientDefaultTrustStore" with the following SHA digest:

Exemple

Les exemples suivants montrent comment appeler le fichier retrieveSigners.bat.

[AIX Solaris HP-UX Linux Windows][z/OS]Pour extraire des signataires sur le même système, entrez :
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore
[IBM i]Pour extraire des signataires sur le même système, entrez :
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore
[AIX Solaris HP-UX Linux Windows][z/OS]Pour extraire des signataires sur un système distant avec une connexion SOAP, entrez :
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[IBM i]Pour extraire des signataires sur un système distant avec une connexion SOAP, entrez :
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]Pour extraire des signataires sur un système distant avec une connexion RMI, entrez :
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 2809 -conntype RMI -autoAcceptBootstrapSigner
[IBM i]Pour extraire des signataires sur un système distant sur lequel la sécurité est activée, entrez :
profile_root/bin/retrieveSigners CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner
[AIX Solaris HP-UX Linux Windows][z/OS]Pour extraire des signataires sur un système distant sur lequel la sécurité est activée, entrez :
profile_root\bin\retrieveSigners.bat CellDefaultTrustStore ClientDefaultTrustStore 
-host myRemoteHost -port 8879 -conntype SOAP -user testuser -password testuserpwd 
-autoAcceptBootstrapSigner

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslretrievesignclient
Nom du fichier : tsec_sslretrievesignclient.html