Configuration par défaut du plug-in de serveur Web dans SSL

Lorsque vous créez une définition de serveur Web, WebSphere Application Server associe le plug-in de serveur Web à un magasin de clés CMS (Certificate Management Services) pour un noeud spécifique. Le magasin de clés contient tous les signataires de la cellule en cours avec le certificat auto-signé ou chaîné qui appartient au noeud. Le plug-in peut communiquer en toute sécurité avec WebSphere Application Server même lorsque le plug-in est configuré avec l'authentification client SSL (Secure Sockets Layer) activée.

Lorsque la définition de serveur Web a la valeur serveurweb1 sur le noeud noeud01monhôte, WebSphere Application Server crée la configuration de magasin de clés. La portée du magasin de clés est définie au niveau du serveur serveurweb1 ; le magasin de clés peut donc être visualisé uniquement par ce serveur. Les autres processus ne peuvent pas utiliser cette définition de magasin de clés.

[IBM i]Le mot de passe par défaut de ce magasin de clés est WebAS. Vous pouvez le modifier par le biais de la console d'administration ou de la commande AdminTask appropriée. De plus, vous ne pouvez créer qu'une seule entrée CMSKeyStore pour chaque portée de gestion. Si un magasin de clés CMS existe pour la portée (cellule):cell01monhôte:(noeud):noeud01monhôte:(serveur):serveurweb1, vous ne pouvez pas créer une autre entrée CMSKeyStore. WebSphere Application Server utilise le nom de plug-in pour créer un certificat auto-signé, si ce dernier n'a pas déjà été défini pour ce noeud particulier. Si ce dernier existe déjà pour le noeud, le certificat est placé dans le magasin de clés CMS et tous les signataires de la cellule sont ajoutés par défaut.

[AIX Solaris HP-UX Linux Windows][z/OS]L'exemple de code suivant qui provient du fichier security.xml présente les entrées de configuration du plug-in de serveur Web.
<keyStores xmi:id="KeyStore_1132357815719" name="CMSKeyStore" 
password="{xor}HRYNFAtrbxEwOzpvbhw6MzM=" provider="IBMCMSProvider" 
location="C:\WASX_e0540.11\AppServer\profiles\AppSrv01/config/cells
/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb" 
type="CMSKS" fileBased="true" createStashFileForCMS="true" 
managementScope="ManagementScope_1132357815718"/>
<managementScopes xmi:id="ManagementScope_1132357815718" scopeName="
(cell):myhostCell01:(node):myhostNode01:(server):webserver1" scopeType="server"/>
[AIX Solaris HP-UX Linux Windows][z/OS]L'exemple de code suivant indique comment le magasin de clés CMS et le fichier de dissimulation sont générés dans le fichier security.xml.
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01\nodes
\myhostNode01\servers\webserver1\plugin-key.kdb
C:\WebSphere\AppServer\profiles\Dmgr01\config\cells\myhostCell01
\nodes\myhostNode01\servers\webserver1\plugin-key.sth
Le mot de passe par défaut de ce magasin de clés est WebAS. Vous pouvez le modifier par le biais de la console d'administration ou de la commande AdminTask appropriée. L'exemple de code suivant décrit la commande AdminTask que vous pouvez utiliser pour créer ce magasin de clés CMS.
$AdminTask createCMSKeyStore /config/cells/myhostCell01/nodes/myhostNode01
/servers/webserver1/plugin-key.kdb myhost.austin.ibm.com
Notez les caractéristiques suivantes dans l'exemple précédent :
  • Vous ne pouvez créer qu'une seule entrée CMSKeyStore pour chaque portée de gestion. Si un magasin de clés CMS existe pour la portée (cellule):cell01monhôte:(noeud):noeud01monhôte:(serveur):serveurweb1, vous ne pouvez pas créer une autre entrée CMSKeyStore.
  • L'URI (Uniform Resource Identifier) du nom de magasin de clés est/config/cells/myhostCell01/nodes/myhostNode01/servers/webserver1/plugin-key.kdb
  • Le nom d'hôte à l'emplacement du plug-in est myhost.austin.ibm.com. WebSphere Application Server utilise le nom pour créer un certificat chaîné, si ce dernier n'a pas déjà été défini pour ce noeud particulier. Si un certificat chaîné existe déjà pour le noeud, il est placé dans le magasin de clés CMS et tous les signataires de la cellule sont ajoutés par défaut.

Lorsque des noeuds supplémentaires sont fédérés, leurs signataires ne sont pas automatiquement ajoutés à chaque serveur Web pour le magasin de clés CMS. Pour que le plug-in de serveur Web puisse communiquer avec un noeud nouvellement fédéré, vous devez échanger manuellement les signataires avec le magasin de clés CMSKeyStore. Utilisez pour cela la fonction de gestion des certificats de magasins de clés disponible dans la console d'administration. Pour plus d'informations, voir Ajout des certificats de signataire SSL corrects au magasin de clés du plug-in.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslwebserverplugconf
Nom du fichier : csec_sslwebserverplugconf.html