Modification de l'invite d'échange automatique du signataire sur le client

Pour communiquer avec WebSphere Application Server, les clients doivent obtenir un certificat signataire du serveur. Les clients peuvent utiliser la commande retrieveSigners pour se connecter à un serveur afin d'obtenir le signataire approprié. Une invite s'affiche et vous demande si vous souhaitez ajouter un signataire au magasin de tiers dignes de confiance. Si la configuration SSL (Secure Sockets Layer) utilise un script automatisé qui peut s'interrompre, utilisez l'invite pour obtenir le certificat.

Avant de commencer

La propriété com.ibm.ssl.enableSignerExchangePrompt dans le fichier racine_profil/properties/ssl.client.props contrôle l'invite de certificat signataire. Par défaut, cette propriété est définie sur true, ce qui signifie que l'invite est activée.

Pourquoi et quand exécuter cette tâche

Suivez cette procédure pour désactiver et activer l'invite d'échange de signataire sur le client :

Procédure

  1. Ouvrez le fichier racine_profil/properties/ssl.client.props à l'aide d'un éditeur.
  2. Situez la section qui contient les informations de configuration SSL pour le client que vous utilisez.
  3. Modifiez la valeur de la propriété com.ibm.ssl.enableSignerExchangePrompt pour utiliser la valeur false si vous ne souhaitez pas afficher l'invite d'échange de signataire, ou true si vous souhaitez qu'elle s'affiche.
  4. Sauvegardez et fermez le fichier.

Résultats

Lorsque la propriété com.ibm.ssl.enableSignerExchangePrompt prend la valeur false, aucune invite ne s'affiche lorsqu'un signataire n'est pas sécurisé. Dans ce cas, l'établissement de liaison échoue. Une fois que le signataire approprié pour la connexion établie est installé dans le magasin des relations de confiance, l'établissement de connexion SSL peut aboutir.

Lorsque la propriété com.ibm.ssl.enableSignerExchangePrompt prend la valeur gui ou true, une fenêtre d'invite d'échange de signataire s'affiche, et vous devez accepter ou refuser le certificat. Si vous acceptez le certificat, il est installé automatiquement dans le magasin de relations de confiance et l'établissement de liaison aboutit. Si vous refusez le certificat, il n'est pas installé dans le magasin de relations de confiance et l'établissement de liaison n'aboutit pas car le certificat n'est pas sécurisé.

Lorsque la propriété com.ibm.ssl.enableSignerExchangePrompt prend la valeur stdin, une invite ASCII d'échange automatique de signataire s'affiche, et vous devez accepter ou refuser le certificat. Si vous acceptez le certificat, il est installé automatiquement dans le magasin de relations de confiance et l'établissement de liaison aboutit. Si vous refusez le certificat, il n'est pas installé dans le magasin de relations de confiance et l'établissement de liaison n'aboutit pas car le certificat n'est pas sécurisé.

L'invite se présente comme sur l'exemple suivant :

Exemple

[AIX Solaris HP-UX Linux Windows][z/OS]
C:\WebSphere\AppServer\profiles\dmgr\bin>serverStatus -all
ADMU0116I: Tool information is being logged in file
           C:\WebSphere\AppServer\profiles\Dmgr\logs\serverStatus.log
ADMU0128I: Starting tool with the dmgr profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: dmgr

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
C:/WebSphere/AppServer/profiles/Dmgr/etc/trust.p12.
[IBM i]
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/bin/serverStatus -all
ADMU0116I: Tool information is being logged in file
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/logs/serverStatus.log
ADMU0128I: Starting tool with the default profile
ADMU0503I: Retrieving server status for all servers
ADMU0505I: Servers found in configuration:
ADMU0506I: Server name: server1

*** SSL SIGNER EXCHANGE PROMPT ***
SSL signer from target host 192.174.1.5 is not found in truststore 
/QIBM/UserData/WebSphere/AppServer/V85/ND/profiles/default/etc/trust.p12.

Vérifiez que la valeur simplifiée correspond à l'affichage sur le serveur dans les informations de signataire suivantes :

Subject DN:    CN=hostname.austin.ibm.com, O=IBM, C=US
Issuer DN:     CN=hostname.austin.ibm.com, O=IBM, C=US
Serial number: 1128544457
Expires:       Thu Oct 20 15:34:17 CDT 2006
SHA-1 Digest:  91:A1:A9:2D:F2:7D:70:0F:04:06:73:A3:B4:A4:9C:56:9D:A8:A3:BA
MD5 Digest:    88:72:C5:88:00:1C:A7:FA:D6:EB:04:88:AC:A1:C9:13

Add signer to the truststore now? (y/n) y
A retry of the request might need to occur.
ADMU0508I: The Application Server "server1" is STARTED.

Que faire ensuite

Les clients peuvent déclencher des communications pour les différents processus à l'aide des certificats signataires fournis par WebSphere Application Server.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslsignautoxchgclient
Nom du fichier : tsec_sslsignautoxchgclient.html