Utilisation de la commande retrieveSigners dans SSL pour activer la confiance entre serveurs

Vous pouvez ajouter un certificat de signataire au fichier trust.p12 d'un serveur, ce qui permet à ce serveur de communiquer en toute sécurité avec un autre serveur. Pour ce faire, utilisez la commande retrieveSigners pour ajouter un signataire au fichier trust.p12 d'un serveur après avoir apporter des modifications au fichier ssl.client.props.

Avant de commencer

Le serveur qui communiquera en tant que client doit être identifié avant que la confiance entre serveurs ne soit établie. Modifiez le fichier ssl.client.props et exécutez la commande retrieveSigners sur le serveur qui communique en tant que client. Si les deux serveurs ont un rôle de client, les étapes suivantes s'appliqueront aux deux serveurs.

Pourquoi et quand exécuter cette tâche

Le fichier ssl.client.props est installé par défaut pour configurer les communications SSL (Secure Socket Layer) des clients. Ceci permet au comportement par défaut de la commande retrieveSigners de fonctionner avec les fichiers trust.p12 et key.p12 du client se trouvant dans le répertoire racine_profil/etc. Vous pouvez ajouter un certificat de signataire au fichier trust.p12 d'un serveur, ce qui permet à ce serveur d'être un client qui communique avec un autre serveur. L'utilisation de la commande retrieveSigners pour ajouter un signataire au fichier trust.p12 d'un serveur nécessite certaines modifications dans le fichier ssl.client.props.

Procédure

  1. Ouvrez le fichier ssl.client.props. Le fichier ssl.client.props se trouve dans le répertoire racine_profil/properties.
  2. Supprimez la mise en commentaire de la section de ssl.client.props qui commence par la propriété com.ibm.ssl.alias=AnotherSSLSettings
  3. Supprimez la mise en commentaire de la section de ssl.client.props qui commence par la propriété com.ibm.ssl.trustStoreName=AnotherTrustStore.
  4. Entrez l'emplacement du magasin de tiers dignes de confiance que le signataire doit ajouter. Si vous utilisez le magasin de tiers dignes de confiance pour un gestionnaire de déploiement, alors il se trouve dans racine_profil/config/cells/nom de cellule/trust.p12. Si vous utilisez un fichier de clés certifiées pour un serveur d'applications, il se trouve dans profile_root/config/cells/nomCellule/nodes/nomNoeud/trust.p12.
  5. Mettez à jour les propriétés restantes dans cette section avec les valeurs associées au magasin de tiers dignes de confiance en cours d'utilisation. Vous trouverez une description des propriétés dans le fichier de configuration des clients ssl.client.props.
  6. Facultatif : Supprimez la mise en commentaire et mettez à jour la section qui commence par la propriété com.ibm.ssl.trustStoreName=AnotherKeyStore. La plupart des scénarios exigent uniquement l'ajout d'un signataire au magasin de tiers dignes de confiance. Cet exemple ajoute uniquement un signataire au magasin de tiers dignes de confiance, mais vous pouvez également ajouter un signataire au magasin de clés en mettant à jour les propriétés de la même façon que pour le magasin de tiers dignes de confiance avec les étapes 3 à 5.
  7. Sauvegardez les modifications apportées à ssl.client.props.
  8. Exécutez la commande retrieveSigners. Pour plus d'informations, consultez la page relative à la commande retrieveSigners.
    retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879

    Exemple de sortie :
    CWPKI0308I: Adding signer alias "default_1" to local keystore
                         "AnotherTrustStore" with the following SHA digest:
                         F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06

Résultats

Une fois que toutes les étapes ont été réalisées avec succès, le serveur ayant le rôle de client possède le certificat de signature de l'autre serveur. Ainsi, ce serveur peut établir une connexion SSL avec l'autre serveur.

Exemple

L'exemple indique la section modifiée du fichier ssl.client.props supposant que le fichier trust.p12 du serveur est en cours d'utilisation. Tout magasin de tiers dignes de confiance existant peut être utilisé si les propriétés sont fournies pour ce magasin de tiers dignes de confiance.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=

# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true

# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true

Que faire ensuite

Une fois le signataire ajouté, modifiez le fichier ssl.client.props pour commenter les sections qui ont été utilisées en vue d'ajouter le certificat de signataire.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_retrievesigners_servertrust
Nom du fichier : tsec_retrievesigners_servertrust.html