Exemple : Activation de la vérification des révocations de certificat avec le gestionnaire d'accréditation par défaut IbmPKIX

Le gestionnaire d'accréditation IbmPKIX est activé par défaut dans WebSphere Application Server. Le gestionnaire d'accréditation IbmPKIX permet de vérifier que le retrait de certificat est effectué. Vous pouvez activer la vérification de la révocation de certificat en utilisant la console d'administration ou en mettant à jour manuellement le fichier ssl.client.props.

Le gestionnaire d'accréditation par défaut IbmPKIX

Le gestionnaire d'accréditation IbmPKIX est activé par défaut, mais la vérification de la révocation n'est pas activée par défaut. La définition suivante du gestionnaire d'accréditation pour IbmPKIX reflète la situation par défaut :
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass="" 
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey="" 
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>

Activation de la vérification de la révocation de certificat avec le gestionnaire d'accréditation par défaut IbmPKIX

Vous pouvez consulter et modifier les propriétés personnalisées du gestionnaire d'accréditation IbmPKIX à l'aide de la console d'administration.

Pour cela :
  • Cliquez sur Sécurité > Certificat SSL et gestion des clés.
  • Dans le menu Eléments connexes, cliquez sur Gestionnaires d'accréditation.
  • Cliquez sur IbmPKIX.
  • Sous Propriétés supplémentaires, sélectionnez Propriétés personnalisées.

Propriétés personnalisées d'IbmPKIX

com.ibm.jsse2.checkRevocation
Cette propriété configure le vérification de la révocation pour Java™ Virtual Machine (JVM). Cette propriété est définie sur false par défaut car les certificats par défaut de WebSphere utilisés pour les communication SSL ne contiennent pas d'information sur les points de distribution de la liste de révocation de certificat (CRL) ni sur le Online Certificate Status Protocol (OCSP).
Remarque : Etant qu'il s'agit d'une propriété JVM, cette valeur est activée pour l'intégralité du serveur d'applications. Si la propriété est définie dans les gestionnaires de relations de confiance à différentes portées, la valeur activée est utilisée à partir du gestionnaire de relations de confiance IbmPKIX dont la portée est la plus spécifique. Par exemple, la propriété drun gestionnaire d'accréditation IbmPKIX définie au niveau du noeud remplace la propriété d'un gestionnaire d'accréditation IbmPKIX définie au niveau de la cellule. Cette propriété est ignorée pour le gestionnaire d'accréditation IbmX509.
Valeur par défaut
false
com.ibm.security.enableCRLDP
Cette propriété configure la vérification des points de distribution de la CRL pour le gestionnaire d'accréditation PKIX.
Remarque : Si vous activez la révocation des points de distribution de la CRL, les certificats utilisés pour la couche SSL doivent contenir un distribution valide et ce point de distribution doit être accessible, sinon la communication SSL échouera et le serveur ne fonctionnera pas correctement.
Valeur par défaut
false

Pour les certificats qui ne contiennent pas de point de distribution de CRL interne, les propriétés suivantes peuvent être utilisées afin que l'état de révocation soit vérifié sur un serveur LDAP distant contenant la liste de révocations de certificat (CRL).

com.ibm.security.ldap.certstore.host
Cette propriété indique le nom d'hôte du serveur LDAP qui contient les certificats sécurisés ou les listes de révocations de certificat. Le système hôte du serveur LDAP cible délivre les certificats de CA ou les listes de révocations de certificat lors de la validation d'un certificat si le fichier de clés certifiées local ne contient pas le certificat demandé. Le fichier de clés certifiées local doit contenir les certificats demandés si aucun serveur LDAP n'est spécifié. En cas d'utilisation d'un serveur LDAP, les certificats de CA racine doivent également résider dans le fichier de clés certifiées local car le serveur LDAP n'est pas un magasin de certificats sécurisés.
Remarque : Si vous activez cette propriété en plus de la propriété com.ibm.jsse2.checkRevocation, la vérification des révocations est aussi activée. Le serveur LDAP distant doit contenir une liste de révocations de certificat valide et il doit être accessible. S'il est impossible de déterminer l'état de révocation d'un certificat, la vérification échoue, la communication SSL échoue également et le serveur ne peut pas fonctionner normalement.
Valeur par défaut
Aucune
com.ibm.security.ldap.certstore.port
Cette propriété indique le port du serveur LDAP. Le port 389 est utilisé par défaut si aucun autre port de serveur LDAP n'est indiqué.
Valeur par défaut
389
Les propriétés suivantes de Java Development Kit (JDK) s'appliquent à l'activation de la vérification de la révocation de certificat avec le gestionnaire d'accréditation par défaut IbmPKIX :
  • ocsp.enable
  • ocsp.responder
  • ocsp.responderCertSubjectName
  • ocsp.responderCertIssuerName
  • ocsp.responderCertSerialNumber
Ces propriétés du JDK peuvent être définies à l'aide de la console d'administration. Vous pouvez consulter Java(TM) Certification Path API Programmer's Guide - SDK 6.0 pour une description de ces propriétés et de leurs valeurs.
Remarque : En plus de son rôle de vérification de certificat standard, le gestionnaire de relations de confiance IbmPKIX recherche les certificats qui contiennent des points de distribution de CRL. Ce processus est connu sous le nom de vérification étendue de la liste de révocation de certificat. Par défaut, la vérification de la distribution de CRL est désactivée. Pour activer la vérification de la révocation des points de distribution de CRL, vous devez définir les propriétés suivantes sur true à l'aide de la console d'administration :
  • com.ibm.security.enableCRLDP
  • com.ibm.jsse2.checkRevocation

Les propriétés OCSP et CRL affectent la vérification de la révocation de certificat. Les propriétés OCSP sont vérifiées en premier, par défaut. En cas d'erreur à la validation du certificat avec OCSP, la validation utilisera un point de distribution de CRL à la place.

Lorsque vous sélectionnez un gestionnaire de relations de confiance, ses propriétés associées sont automatiquement définies en tant que propriétés système Java afin que les fournisseurs IBMCertPath et IBMJSSE2 soient informés que le contrôle de la liste de retrait de certificats est activé ou désactivé. De même pour les propriétés OCSP, qui sont des propriétés java.security.Security.

Considérations sur le client

Vous pouvez également activer la vérification de la révocation pour les clients des applications WebSphere et les clients administratifs en fixant directement les propriétés dans le fichier ssl.client.props. Voici un exemple de fichier ssl.client.props :
#-------------------------------------------------------------------------
# Default Revocation Checking Properties
# These properties are used for certificate revocation checking with the IBM
# PKIX TrustManager.
#
# To enable CRL Distribution Points extension checking, use the system property
# com.ibm.security.enableCRLDP.
#
# OCSP checking is not enabled by default. It is enabled by setting the
# ocsp.enable property to "true".  Use of the other ocsp properties is optional.
#
# Note: Both OCSP and CRLDP checking is only effective if revocation checking
# has also been enabled by setting com.ibm.jsse2.checkRevocation to "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
Remarque : Pour que ces propriétés soient effectives, vous devez vérifier que le gestionnaire d'accréditation IbmPKIX est initialisé en fixant com.ibm.ssl.trustManager=IbmPKIX.

De plus, pour que la vérification de la révocation soit traitée correctement sur le client, vous devez désactiver l'invite d'échange du signataire. Pour ce faire, modifiez la valeur de la propriété com.ibm.ssl.enableSignerExchangePrompt et définissez la sur false dans le fichier ssl.client.props.


Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7enablecert_revoc
Nom du fichier : rsec_7enablecert_revoc.html