Fichier de configuration client ssl.client.props

Utilisez le fichier ssl.client.props pour configurer les paramètres SSL (Secure Sockets Layer) pour les clients. Dans les versions précédentes de WebSphere Application Server, les propriétés SSL étaient indiquées dans les fichiers sas.client.props ou soap.client.props ou bien en tant que propriétés système. En consolidant les configurations, WebSphere Application Server vous permet de gérer la sécurité de manière comparable à la sécurité côté serveur. Vous pouvez configurer le fichier ssl.client.props avec plusieurs configurations SSL.

Etablissement de la configuration SSL pour les clients

Les environnements d'exécution du client dépendent des configurations WebSphere Application Server ssl.client.props.

[AIX Solaris HP-UX Linux Windows]Utilisez le script setupCmdLine.bat sur la ligne de commande pour indiquer la propriété système com.ibm.SSL.ConfigURL.

[z/OS]Utilisez le script setupCmdLine.sh sur la ligne de commande pour indique la propriété système com.ibm.SSL.ConfigURL.

[AIX Solaris HP-UX Linux Windows]La propriété com.ibm.SSL.ConfigURL fait référence à l'adresse URL d'un fichier qui désigne le fichier ssl.client.props. Vous pouvez référencer la variable CLIENTSSL sur la ligne de commande de tout script utilisant le fichier setupCmdLine.bat.

[z/OS]La propriété com.ibm.SSL.ConfigURL fait référence à l'adresse URL d'un fichier qui désigne le fichier ssl.client.props. Vous pouvez référencer la variable CLIENTSSL sur la ligne de commande de tout script utilisant le fichier setupCmdLine.sh.

[IBM i]Utilisez le script setupCmdLine sur la ligne de commande pour spécifier la propriété système com.ibm.SSL.ConfigURL. Le script setupclient définit également la variable CLIENTSSL. La propriété com.ibm.SSL.ConfigURL fait référence à l'adresse URL d'un fichier qui désigne le fichier ssl.client.props. Vous pouvez référencer la variable CLIENTSSL sur la ligne de commande de tout script qui utilise le fichier setupCmdLine.

Lorsque vous spécifiez la propriété système com.ibm.SSL.ConfigURL, la configuration SSL est disponible dans tous les protocoles qui utilisent SSL. Les configurations SSL référencées dans le fichier ssl.client.props ont aussi des alias que vous pouvez référencer. Dans les exemples de code suivants du fichier sas.client.props, toutes les propriétés SSL sont remplacées par une propriété qui désigne une configuration SSL dans le fichier ssl.client.props :
com.ibm.ssl.alias=DefaultSSLSettings
L'exemple de code suivant montre une propriété dans le fichier soap.client.props qui est semblable à la propriété com.ibm.SSL.ConfigURL. Cette propriété fait référence à une configuration SSL différente du coté client :
com.ibm.ssl.alias=DefaultSSLSettings
Dans le fichier ssl.client.props, vous pouvez modifier la configuration SSL administrative pour éviter de modifier le fichier soap.client.props.
Conseil : La prise en charge des propriétés SSL est toujours indiquée dans les fichiers sas.client.props et soap.client.props. Toutefois, envisagez de déplacer les configurations SSL vers le fichier ssl.client.props, parce que ce fichier est le nouveau modèle de configuration pour le client SSL.
[IBM i][z/OS]Quand vous configurez un client qui n'appelle pas setupCmdLine.sh pour se connecter à un serveur d'applications avec la sécurité, la propriété système suivante doit être définie dans la configuration du client :
-Djava.security.properties=profile_root/properties/java.security 

Propriétés du fichier ssl.client.props

Cette section décrit en détail les propriétés par défaut du fichier ssl.client.props, par sections dans le fichier. Si vous spécifiez les propriétés système javax.net.ssl, elles remplaceront les paramètres contenus dans le fichier ssl.client.props.

Propriétés globales :

[AIX Solaris HP-UX Linux Windows][z/OS]Les propriétés communes SSL sont des propriétés spécifiques au processus qui incluent la validation FIPS (Federal Information Processing Standard), l'alias par défaut SSL, la propriété user.root pour spécifier l'emplacement de la racine des chemins de clés et de fichiers de clés certifiées, etc.

[IBM i]Les propriétés communes SSL sont des propriétés spécifiques au processus qui incluent la validation FIPS (Federal Information Processing Standard), l'alias par défaut SSL, le profile_root du profil pour spécifier l'emplacement de la racine des chemins de clés et de fichiers de clés certifiées, etc.

Tableau 1. Propriétés du fichier ssl.client.props. Ce tableau répertorie les propriétés du fichier ssl.client.props.
Propriété Valeur par défaut Description
com.ibm.ssl.defaultAlias DefaultSSLSettings Spécifie l'alias par défaut utilisé en l'absence d'alias spécifié par le protocole qui appelle l'API JSSEHelper pour récupérer une configuration SSL. Cette propriété est l'arbitre final du coté client pour établir quelle configuration SSL utiliser.
com.ibm.ssl.validationEnabled false Lorsque sa valeur est true, cette propriété valide chaque configuration SSL lorsqu'elle est chargée. N'utilisez cette propriété qu'à des fins de débogage pour éviter une surcharge de performances inutile pendant la production.
com.ibm.ssl.performURLHostNameVerification false Lorsque sa valeur est true, cette propriété impose la vérification du nom de l'hôte URL. Lorsque des connexions URL HTTP sont effectuées sur des serveurs cibles, le nom commun (CN) du certificat du serveur doit correspondre au nom de l'hôte cible. En l'absence de correspondance, le vérificateur du nom de l'hôte refuse la connexion. La valeur par défaut false omet cette vérification. En tant que propriété globale, elle définit le vérificateur de nom d'hôte par défaut. Tout objet javax.net.ssl.HttpsURLConnection peut décider d'activer la vérification du nom d'hôte pour cette instance spécifique en appelant la méthode setHostnameVerifier avec sa propre instance HostnameVerifier.
Eviter les incidents Eviter les incidents: Cette propriété ne s'applique pas aux canaux SSL.gotcha
com.ibm.security.useFIPS false Lorsque sa valeur est true, des algorithmes conformes à FIPS sont utilisés pour SSL et d'autres applications spécifiques à JCE (Java™ Cryptography Extension). Cette propriété n'est généralement pas activée sauf si elle est requises par l'environnement d'exploitation.
com.ibm.websphere.security.FIPSLevel false Indique le niveau de la norme de sécurité à utiliser. Les valeurs admises sont 140-2, SP800-131 et transition. La propriété com.ibm.security.useFIPS doit être paramétrée sur true pour activer la suite B. La propriété doit être entrée dans le fichier ssl.client.props de la section des propriétés globales, de préférence à la suite de com.ibm.security.useFIPS.
com.ibm.websphere.security.suiteB false Indique le niveau de la norme de sécurité Suite B à utiliser. Les valeurs admises sont 128 et 192. Pour activer la propriété com.ibm.security.useFIPS, paramétrez-la sur true. La propriété doit être entrée dans le fichier ssl.client.props de la section des propriétés globales, de préférence à la suite de com.ibm.security.useFIPS.
[z/OS]user.root [z/OS]${WASROOT} [z/OS]Cette propriété peut être utilisée par les propriétés d'emplacement de clés et de fichiers de clés en tant que propriété unique pour spécifier le chemin de la racine des clés et des fichiers de clés certifiées. ${WASROOT} est le répertoire racine du profil en cours. En général, cette propriété est la racine du profil. Toutefois, vous pouvez la modifier en un répertoire racine sur la machine locale qui possède les autorisations de lecture et d'écriture potentielle sur ce répertoire.

Propriétés de création de certificat :

Utilisez les propriétés de création de certificat pour préciser les valeurs par défaut de certificats auto-signés pour les attributs majeurs d'un certificat. Vous pouvez définir le nom distinctif (DN), la date d'expiration, la taille de la clé, et l'alias qui sont stockés dans le fichier de clés.
Tableau 2. Propriétés de création de certificat. Ce tableau répertorie les propriétés de création de certificat.
Propriété Valeur par défaut Description
com.ibm.ssl.defaultCertReqAlias default_alias Cette propriété spécifie l'alias par défaut à utiliser pour référencer le certificat auto-signé créé dans le fichier de clés. Si un alias portant ce nom existe déjà, l'alias par défaut est reçoit pour suffixe _#, où le symbole (#) est un entier qui commence par 1 et augmente jusqu'à trouver un alias unique.
com.ibm.ssl.defaultCertReqSubjectDN cn=${nomhôte}, o=IBM,c=US Cette propriété utilise le nom distinctif (DN) de la propriété que vous avez défini pour le certificat lors de sa création. La variable ${nomhôte} est étendue au nom d'hôte dans lequel elle réside. Vous pouvez utiliser des DN correctement formés comme spécifié par le certificat X.509.
com.ibm.ssl.defaultCertReqDays 365 Cette propriété précise la période de validité du certificat. Elle et peut être d'un seul jour et peut aller jusqu'au nombre maximal de jours qu'un certificat peut avoir, soit environ 15 ans.
com.ibm.ssl.defaultCertReqKeySize 1024 Cette propriété est la taille de clé par défaut. Les valeurs valides dépendent des fichiers de règles de sécurité JVM (Java Virtual Machine) installés. Par défaut, les machines JVM sont livrées avec un fichier de règles d'exportation qui limite la taille de la clé à 1024. Pour obtenir une taille plus grande, comme 2048, vous pouvez télécharger les fichiers de règles limitées sur le site Web.

Vérification du retrait de certificat :

Pour activer la vérification de retrait de certificat, vous pouvez définir une combinaison de propriétés OCSP( Online Certificate Status Protocol). Ces propriétés ne sont utilisées que si vous affectez la valeur IbmPKIX à la propriété com.ibm.ssl.trustManager. De plus, pour que la vérification du retrait réussisse sur le client, vous devez désactiver l'invite d'échange des signataires. Pour désactiver l'invite d'échange des signataires, affectez la valeur false à la propriété com.ibm.ssl.enableSignerExchangePrompt. Pour plus d'informations, voir la documentation sur l'activation de la vérification du retrait de certificat avec le gestionnaire d'accréditation IbmPKIX par défaut.

Propriétés de configuration SSL :

Utilisez la section propriétés de configuration SSL pour établir plusieurs configurations SSL. Pour la spécification d'une nouvelle configuration SSL, définissez la propriété com.ibm.ssl.alias parce que l'interpréteur commence une nouvelle configuration SSL avec ce nom d'alias. La configuration SSL est référencée au moyen de la propriété de l'alias d'un autre fichier, telle que sas.client.props ou soap.client.props, via la propriété de l'alias par défaut. Les propriétés indiquées dans le tableau suivant vous permettent de créer un objet javax.net.ssl.SSLContext, parmi d'autres objets SSL.
Tableau 3. Propriétés de configuration SSL. Ce tableau répertorie les propriétés de configuration SSL.
Propriété Valeur par défaut Description
com.ibm.ssl.alias DefaultSSLSettings Cette propriété correspond au nom de cette configuration SSL et doit être la première propriété d'une configuration SSL parce qu'elle fait référence à celle-ci. Si vous modifiez le nom de cette propriété après son référencement ailleurs dans la configuration, le module d'exécution prend par défaut la propriété com.ibm.ssl.defaultAlias à chaque fois que le référence est introuvable. L'erreur fichier reconnu est null ou fichier de clés est null peut apparaître lorsque vous lancez une application au moyen d'une référence SSL qui n'est plus valide.
com.ibm.ssl.protocol SSL_TLS Cette propriété est le protocole d'établissement de liaison SSL utilisé pour cette configuration SSL. Cette propriété essaie d'abord TLS (Transport Layer Security) mais accepte tout protocole d'établissement de liaison distant dont SSLv3 et TLSv1. Les valeurs admises pour cette propriété sont SSL_TLS, SSL, SSLv2 (côté client uniquement), SSLv3, TLS, TLSv1, SSL_TLSv2, TLSv1.1 et TLSv1.2.
com.ibm.ssl.securityLevel STRONG Cette propriété spécifie le groupe de chiffrement utilisé pour l'établissement de liaison SSL. La valeur retenue généralement est STRONG, qui spécifie un code de chiffrement de 128 bits ou supérieur. La valeur MEDIUM assure un code de chiffrement de 40 bits. La valeur WEAK assure un code de chiffrement qui n'effectue aucun chiffrement mais signe l'intégrité des données. Si vous spécifiez votre propre liste de codes de chiffrement, supprimez la mise en commentaire de la propriété com.ibm.ssl.enabledCipherSuites.
Remarque : Quand vous utilisez les propriétés système javax.net.ssl, cette valeur est toujours HIGH.
com.ibm.ssl.trustManager IbmX509 Cette propriété spécifie le gestionnaire de sécurité que vous devez utiliser pour valider le certificat envoyé par le serveur cible. Ce gestionnaire de sécurité ne vérifie pas la liste de révocation de certificat (CRL). Vous pouvez décider de modifier cette valeur en IbmPKIX pour la vérification CRL au moyen des listes de distribution de CRL de ce certificat, ce qui est une méthode standard de vérification CRL. Lorsque vous souhaitez effectuer une vérification CRL personnalisée, vous devez implémenter un gestionnaire de sécurité personnalisé et spécifier celui-ci dans la propriété com.ibm.ssl.customTrustManagers. L'option IbmPKIX peut affecter les performances car elle nécessite IBMCertPath pour la validation de la relation de confiance. Si la vérification CRL n'est pas nécessaire, utilisez IbmX509. Si vous utilisez les propriétés du protocole OCSP (Online Certificate Status Protocol), affectez la valeur IbmPKIX à cette propriété.
com.ibm.ssl.keyManager IbmX509 Cette propriété désigne le gestionnaire de clé par défaut à utiliser pour choisir l'alias du client dans le fichier de clés spécifié. Ce fichier de clés utilise la propriété com.ibm.ssl.keyStoreClientAlias pour spécifier l'alias du fichier de clés. En l'absence de cette propriété, le choix est délégué à JSSE (Java Secure Socket Extension). JSSE choisit généralement le premier alias qu'elle trouve.
com.ibm.ssl.contextProvider IBMJSSE2 Cette propriété permet de choisir le fournisseur JSSE pour la création de contexte SSL. Il est recommandé de choisir IBMJSSE2 par défaut lorsque vous utilisez une machine virtuelle Java (JVM). Le module d'extension client peut utiliser le fournisseur SunJSSE lors de l'utilisation d'une JVM Sun.
com.ibm.ssl.enableSignerExchangePrompt true Cette propriété indique s'il faut afficher l'invite d'échange de signataires en l'absence de signataires dans le fichier de clés certifiées. L'invite affiche des informations sur le certificat distant de sorte que WebSphere Application Server puisse décider de faire confiance ou non au signataire. Il est très important de valider la signature du certificat. Cette signature est la seule information fiable qui peut garantir que le certificat n'a pas été modifié par rapport au certificat du serveur original. Dans les scénarios automatisés, désactivez cette propriété pour éviter les exceptions d'établissement de liaison SSL. Exécutez le script retrieveSigners qui établit l'échange de signataires SSL pour télécharger des signataires du serveur avant d'exécuter le client. Si vous utilisez les propriétés du protocole OCSP (Online Certificate Status Protocol), affectez la valeur false à cette propriété.
com.ibm.ssl.keyStoreClientAlias Valeur par défaut Cette propriété permet de référencer un alias du fichier de clés spécifié lorsque la cible ne demande pas d'authentification du client. Lorsque WebSphere Application Server créé un certificat auto-signé pour la configuration SSL, cette propriété établit l'alias et se substitue à la propriété globale com.ibm.ssl.defaultCertReqAlias.
com.ibm.ssl.customTrustManagers Supprimé de la mise en commentaire par défaut Cette propriété vous permet de spécifier un ou plusieurs gestionnaires de sécurité personnalisés, séparés par des virgules. Ces gestionnaires de sécurité peuvent être sous la forme algorithme|fournisseur ou nomclasse. Par exemple, IbmX509|IBMJSSE2 est dans le format algorithme|fournisseur et l'interface com.acme.myCustomTrustManager est dans le format nomclasse. Cette classe doit implémenter l'interface javax.ibm.wsspi.net.ssl.X509TrustManager. La classe peut aussi implémenter l'interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo. Ces gestionnaires de sécurité s'exécutent en plus du gestionnaire de sécurité par défaut qui est spécifié par l'interface com.ibm.ssl.trustManager. Ces gestionnaires de sécurité ne remplacement pas ce gestionnaire de sécurité par défaut.
com.ibm.ssl.customKeyManager Supprimé de la mise en commentaire par défaut Cette propriété vous permet d'avoir un gestionnaire de clés par défaut et un seul. Le gestionnaire de clés remplace le gestionnaire de clés par défaut spécifié dans la propriété com.ibm.ssl.keyManager. Le format du gestionnaire de clés est algorithme|fournisseur or nomclasse. Voir les exemples de format pour la propriété com.ibm.ssl.customTrustManagers. La classe doit implémenter l'interface javax.net.ssl.X509KeyManager. La classe peut aussi implémenter l'interface com.ibm.wsspi.ssl.KeyManagerExtendedInfo. Le gestionnaire de clés est responsable de la sélection des alias.
com.ibm.ssl.dynamicSelectionInfo Supprimé de la mise en commentaire par défaut Cette propriété permet une association dynamique avec la configuration SSL. La syntaxe d'une association dynamique est protocole_sortant, hôte_cible, ou port_cible. Pour les spécifications multiples, utilisez la barre verticale( | ) comme délimiteur. Vous pouvez remplacer chacune de ces valeurs par un astérisque (*) pour indiquer une valeur générique. Les valeursprotocole_sortant incluent : IIOP, HTTP, LDAP, SIP, BUS_CLIENT, BUS_TO_WEBSPHERE_MQ, BUS_TO_BUS et ADMIN_SOAP. Lorsque vous voulez que le critère de sélection dynamique choisisse la configuration SSL, supprimez la mise en commentaire de la propriété par défaut et ajoutez des informations de connexion. Par exemple, ajoutez à une ligne l'élément suivant
com.ibm.ssl.dynamicSelectionInfo=HTTP,
.ibm.com,443|HTTP,.ibm.com,9443
com.ibm.ssl.enabledCipherSuites Supprimé de la mise en commentaire par défaut Cette propriété vous permet de spécifier une liste d'algorithmes de cryptographie personnalisée et de substituer à la sélection du groupe de la propriété com.ibm.ssl.securityLevel. La liste valide des codes de chiffrement varie en fonction du fournisseur et des fichiers de règles JVM appliqués. Pour les algorithmes de cryptographie, utilisez un espace comme délimiteur.
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Cette propriété fait référence à un nom de configuration d'un fichier de clés. Si vous n'avez pas encore défini le fichier de clés, le reste des propriétés du fichier de clés doit suivre cette propriété. Après avoir défini le fichier de clés, vous pouvez spécifier cette propriété pour référencer la configuration de fichier de clés précédemment spécifiée. Les nouvelles configurations de fichier de clés du fichier ssl.client.props ont un nom unique.
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Cette propriété fait référence un nom de configuration de fichier de clés certifiées. Si vous n'avez pas encore défini le fichier de clés certifiées, le reste des propriétés du fichiers de clés certifiées doit suivre cette propriété. Après avoir défini le fichier de clés certifiées, vous pouvez spécifier cette propriété pour référencer la configuration de fichier de clés certifiées précédemment spécifiée. Les nouvelles configurations de fichier de clés certifiées du fichier ssl.client.props doivent avoir un nom unique.
[z/OS]Les valeurs par défaut des propriétés de configuration du fichier de clés et du fichier de clés certifiées dépendent de la configuration de sécurité que vous sélectionnez sur le panneau Sélection de la sécurité administrative de l'outil de gestion des profils z/OS. Les options suivantes sont disponibles sur le panneau Sélection de la sécurité administrative :
  • Si vous définissez la première option, Utiliser un produit de sécurité z/OS, les valeurs par défaut des propriétés de configuration pour le fichier de clés et le fichier de clés certifiées pointent vers un fichier de clés de type JCERACFK. Ce type utilise des clés et des certificats stockés et gérés par un produit de sécurité z/OS tel que RACF. Pour plus d'informations, voir la section des fichiers de clés z/OS dans la rubrique des configurations des fichiers de clés.
  • Si vous indiquez la deuxième option, Utiliser la sécurité WebSphere Application Server, ou la troisième option, Ne pas activer la sécurité, les valeurs par défaut des propriétés de configuration du fichier de clés et du fichier de clés certifiées pointent vers un fichier de clés comprenant un fichier PKCS12. Pour plus d'informations sur les fichiers de clés, voir la section des fichiers de clés basés sur des fichiers IBMJCE (JCEKS, JKS et PKCS12)" de la rubrique des configurations des fichiers de clés.

Configurations de fichiers de clés :

Les configurations SSL font référence à des configurations de fichiers de clés visant à identifier l'emplacement de certificats. Les certificats représentent l'identité de clients qui utilisent la configuration SSL. Vous pouvez spécifier des configurations de fichiers de clés avec d'autres propriétés de configuration SSL. Il est toutefois recommandé de spécifier des configurations de fichiers de clés dans la section du fichier ssl.client.props après que la propriété com.ibm.ssl.keyStoreName identifie le démarrage d'une nouvelle configuration de fichiers de clés. Après avoir entièrement défini la configuration de fichiers de clés, la propriété com.ibm.ssl.keyStoreName peut faire référence à cette configuration en tout autre point du fichier.
[AIX Solaris HP-UX Linux Windows][IBM i]
Tableau 4. Propriétés de configuration du fichier de clés. Ce tableau répertorie les propriétés de configuration d'un fichier de clés.
Propriété Valeur par défaut Description
com.ibm.ssl.keyStoreName ClientDefaultKeyStore Cette propriété indique le nom du fichier de clés tel qu'il est référencé par le module d'exécution. D'autres configurations SSL peuvent faire référence à ce nom plus bas dans le fichier ssl.client.props pour éviter la duplication.
com.ibm.ssl.keyStore ${user.root}/etc/key.p12 Cette propriété indique l'emplacement du fichier de clés dans le format requis par la propriété com.ibm.ssl.keyStoreType. En général, cette propriété fait référence au nom de fichiers de clés. Toutefois, pour les types de jetons cryptographiques, cette propriété fait référence à un fichier DLL (Dynamic Link Library).
Eviter les incidents Eviter les incidents: Si vous utilisez une carte cryptographique 4764, le nom du fichier de clés de la configuration du client doit être défini comme fichier 4764.cfg dans une structure de répertoires de votre choix et le com.ibm.ssl.keyStoreType correspondant doit avoir la valeur PKCS11. Le fichier 4764.cfg N'EST PAS fourni avec WebSphere Application Server.gotcha
com.ibm.ssl.keyStorePassword WebAS Cette propriété est le mot de passe par défaut qui est le nom de la cellule du profil lors de sa création. Le mot de passe est généralement codé au moyen d'un algorithme {xor}. Vous pouvez utiliser iKeyman pour modifier le mot de passe du fichier de clés puis modifier cette référence. Si vous ignorez le mot de passe et si le certificat est créé pour vous, modifiez le mot de passe de cette propriété puis supprimez le fichier de clés de l'emplacement où il se trouve. Relancez le client pour recréer le fichier de clés en utilisant le nouveau mot de passe, mais seulement si le nom de fichier de clés se termine par DefaultKeyStore et si la propriété fileBased est true. Supprimez en même temps le fichier de clés et le fichiers de clés certifiées pour qu'un échange de signataires correct puisse intervenir lorsque ces deux fichiers sont recréés ensemble.
com.ibm.ssl.keyStoreType PKCS12 Cette propriété est le type de fichiers de clés. Utilisez la valeur par défaut, PKCS12, en raison de son interopérabilité avec d'autres applications. Vous pouvez spécifier cette propriété en tant que type de fichiers de clés valides pris en charge par la machine JVM sur la liste des fournisseurs.
com.ibm.ssl.keyStoreProvider IBMJCE La propriété IBM® Java Cryptography Extension est le fournisseur de fichier de clés du type de fichier de clés. Le fournisseur est généralement IBMJCE ou IBMPKCS11Impl pour des unités de chiffrement.
com.ibm.ssl.keyStoreFileBased true Cette propriété indique au module d'exécution que le fichier de clés se trouve dans le système de fichiers.
com.ibm.ssl.keyStoreReadOnly false Cette propriété indique à l'environnement d'exécution de WebSphere Application Server si le fichier de clés peut être modifié pendant la phase d'exécution.

[z/OS]Dans le tableau suivant, les valeurs dans la colonne "Valeurs par défaut avec un produit de sécurité z/OS" correspondent aux valeurs par défaut utilisée lorsque l'option Utiliser un produit de sécurité z/OS est définie dans le panneau de sélection de la sécurité d'administration de l'outil de gestion de profil z/OS. Il s'agit de la première option du panneau Sélection de la sécurité administrative. Les valeurs de la colonne "Valeurs par défaut de la sécurité WebSphere Application Server" correspondent aux valeurs par défaut utilisées lorsque l'option Utiliser WebSphere Application Server est sélectionnée dans le panneau Sélection de la sécurité administrative de l'outil de gestion des profils z/OS. Il s'agit de la deuxième option du panneau Sélection de la sécurité administrative.

[z/OS]
Tableau 5. Propriétés de configuration du fichier de clés. Ce tableau répertorie les propriétés de configuration d'un fichier de clés.
Propriété Valeurs par défaut avec un produit de sécurité z/OS Valeurs par défaut pour la sécurité WebSphere Application Server Description
com.ibm.ssl.keyStoreName ClientDefaultKeyStore ClientDefaultKeyStore Cette propriété indique le nom du fichier de clés tel qu'il est référencé par le module d'exécution. D'autres configurations SSL peuvent faire référence à ce nom plus bas dans le fichier ssl.client.props pour éviter la duplication.
com.ibm.ssl.keyStore

safreyring:///votre_fichier_de_clés

Cette valeur est définie sur le panneau Personnalisation de la couche SSL de l'outil de gestion des profils z/OS.

${user.root}/etc/key.p12 Cette propriété indique l'emplacement du fichier de clés dans le format requis par la propriété com.ibm.ssl.keyStoreType. En général, cette propriété fait référence au nom de fichiers de clés. Toutefois, pour les types de jetons cryptographiques, cette propriété fait référence à un fichier DLL (Dynamic Link Library).
com.ibm.ssl.keyStorePassword mot de passe WebAS Cette propriété est le mot de passe par défaut qui est le nom de la cellule du profil lors de sa création. Le mot de passe est généralement codé au moyen d'un algorithme {xor}. Vous pouvez utiliser iKeyman pour modifier le mot de passe du fichier de clés puis modifier cette référence. Si vous ignorez le mot de passe et si le certificat est créé pour vous, modifiez le mot de passe de cette propriété puis supprimez le fichier de clés de l'emplacement où il se trouve. Relancez le client pour recréer le fichier de clés en utilisant le nouveau mot de passe, mais seulement si le nom de fichier de clés se termine par DefaultKeyStore et si la propriété fileBased est true. Supprimez en même temps le fichier de clés et le fichiers de clés certifiées pour qu'un échange de signataires correct puisse intervenir lorsque ces deux fichiers sont recréés ensemble.
com.ibm.ssl.keyStoreType JCERACFKS PKCS12 Cette propriété est le type de fichiers de clés. Utilisez la valeur par défaut, PKCS12, en raison de son interopérabilité avec d'autres applications. Vous pouvez spécifier cette propriété en tant que type de fichiers de clés valides pris en charge par la machine JVM sur la liste des fournisseurs. Le type peut être JCERACFKS, JCECCARACFKS ou JCECCAKS pour les unités de chiffrement.
com.ibm.ssl.keyStoreProvider IBMJCE IBMJCE La propriété IBM Java Cryptography Extension est le fournisseur de fichier de clés du type de fichier de clés. Le fournisseur est généralement IBMJCE ou IBMPKCS11Impl pour des unités de chiffrement.
com.ibm.ssl.keyStoreFileBased false true Cette propriété indique au module d'exécution que le fichier de clés se trouve dans le système de fichiers.
com.ibm.ssl.keyStoreReadOnly true false Cette propriété indique à l'environnement d'exécution de WebSphere Application Server si le fichier de clés peut être modifié pendant la phase d'exécution. Par exemple, vous ne pouvez pas modifier les fichiers de clés en lecture seule à l'aide de la console d'administration ou de scripts. Les fichiers de clés SAF, qui sont utilisés par WebSphere Application Server for z/OS, sont toujours en lecture seule.

Configurations de fichiers de clés certifiées :

Les configurations SSL désignent des configurations de fichiers de clés certifiées ayant pour objet de contenir des certificats de signataires pour des serveurs reconnus par ce client. Vous pouvez spécifiez ces propriétés avec d'autres propriétés de configuration SSL. Toutefois, il est recommandé de spécifier des configurations de fichiers de clés certifiées dans cette section du fichier ssl.client.propsaprès que la propriété com.ibm.ssl.trustStoreName a identifié le démarrage d'une nouvelle configuration de fichiers de clés certifiées. Après avoir entièrement défini la configuration de fichiers de clés certifiées, la propriété com.ibm.ssl.trustStoreName peut faire référence à cette configuration en tout autre point du fichier.

Un fichier de clés certifiées est un fichier de clés que JSSE utilise pour l'évaluation de sécurité. Un fichier de clés certifiées contient les signataires exigé par WebSphere Application Server avant que ce dernier ne puisse faire confiance à la connexion distante pendant l'établissement de liaison. Si vous configurez la propriété com.ibm.ssl.trustStoreName=ClientDefaultKeyStore vous pouvez référencer le fichier de clés comme fichiers de clés certifiées. Une configuration supplémentaire n'est pas requise pour le fichier de clés certifiées parce que tous les signataires générés par l'échange de signataires sont importés dans le fichier de clés certifiées où ils sont appelés par le module d'exécution.

[z/OS]Dans le tableau suivant, les valeurs dans la colonne "Valeurs par défaut avec un produit de sécurité z/OS" correspondent aux valeurs par défaut utilisée lorsque l'option Utiliser un produit de sécurité z/OS est définie dans le panneau de sélection de la sécurité d'administration de l'outil de gestion de profil z/OS. Il s'agit de la première option du panneau Sélection de la sécurité administrative. Les valeurs de la colonne "Valeurs par défaut avec la sécurité WebSphere Application Server" correspondent aux valeurs par défaut utilisées lorsque l'option Utiliser WebSphere Application Server est sélectionnée dans le panneau Sélection de la sécurité administrative de l'outil de gestion des profils z/OS. Il s'agit de la deuxième option du panneau Sélection de la sécurité administrative.

[AIX Solaris HP-UX Linux Windows][IBM i]
Tableau 6. Propriétés de configuration du fichier de clés certifiées. Ce tableau répertorie les propriétés de configuration du fichier de clés certifiées.
Propriété Valeur par défaut Description
com.ibm.ssl.trustStoreName ClientDefaultTrustStore Cette propriété indique le nom du fichier de clés certifiées tel qu'il est référencé par le module d'exécution. D'autres configurations SSL peuvent faire référence à ce nom plus bas dans le fichier ssl.client.props pour éviter la duplication.
com.ibm.ssl.trustStore ${user.root}/etc/trust.p12 Cette propriété indique l'emplacement du fichier de clés certifiées dans le format requis par le type de fichiers référencé par la propriété com.ibm.ssl.trustStoreType. En général, cette propriété fait référence au nom de fichiers de clés certifiées. Toutefois, pour les types de jetons cryptographiques, cette propriété fait référence à un fichier DLL.
Eviter les incidents Eviter les incidents: Si vous utilisez une carte cryptographique 4764, le nom du fichier de clés de la configuration du client doit être défini comme fichier 4764.cfg dans une structure de répertoires de votre choix et le com.ibm.ssl.keyStoreType correspondant doit avoir la valeur PKCS11. Le fichier 4764.cfg N'EST PAS fourni avec WebSphere Application Server.gotcha
com.ibm.ssl.trustStorePassword WebAS Cette propriété indique le mot de passe par défaut qui est le nom de la cellule du profil lors de sa création. Le mot de passe est généralement codé au moyen d'un algorithme {xor}. Vous pouvez utiliser iKeyman pour modifier le mot de passe du fichier de clés puis modifier cette référence dans la propriété. Si vous ignorez le mot de passe et si le certificat est créé pour vous, modifiez le mot de passe de cette propriété puis supprimez le fichier de clés certifiées de l'emplacement où il se trouve. Relancez le client pour recréer le fichier de clés certifiées en utilisant le nouveau mot de passe, mais seulement si le nom de fichier de clés se termine par DefaultTrustStore et si la propriété fileBased est true. Il est recommandé de supprimer en même temps le fichier de clés et le fichiers de clés certifiées pour qu'un échange de signataires correct puisse intervenir lorsque ces deux fichiers sont recréés ensemble.
com.ibm.ssl.trustStoreType PKCS12 Cette propriété est le type de fichiers de clés certifiées. Utilisez la valeur par défaut PKCS12 en raison de son interopérabilité avec d'autres applications. Vous pouvez spécifier cette propriété en tant que type de fichiers de clés certifiées valides pris en charge par la fonctionnalité JVM sur la liste des fournisseurs.
com.ibm.ssl.trustStoreProvider IBMJCE Cette propriété est le fournisseur de fichiers de clés certifiées pour le type de fichiers de clés certifiées. Le fournisseur est généralement IBMJCE ou IBMPKCS11Impl pour des unités de chiffrement.
com.ibm.ssl.trustStoreFileBased true Cette propriété indique au module d'exécution que le fichier de clés certifiées se trouve dans le système de fichiers.
com.ibm.ssl.trustStoreReadOnly false Cette propriété indique à l'environnement d'exécution de WebSphere Application Server si le fichier de clés peut être modifié pendant la phase d'exécution.
[z/OS]
Tableau 7. Propriétés de configuration du fichier de clés certifiées. Ce tableau répertorie les propriétés de configuration du fichier de clés certifiées.
Propriété Valeurs par défaut avec un produit de sécurité z/OS Valeurs par défaut avec la sécurité WebSphere Application Server Description
com.ibm.ssl.trustStoreName ClientDefaultTrustStore ClientDefaultTrustStore Cette propriété indique le nom du fichier de clés certifiées tel qu'il est référencé par le module d'exécution. D'autres configurations SSL peuvent faire référence à ce nom plus bas dans le fichier ssl.client.props pour éviter la duplication.
com.ibm.ssl.trustStore

safreyring:///votre_fichier_de_clés

Cette valeur est définie sur le panneau Personnalisation de la couche SSL de l'outil de gestion des profils z/OS.

${user.root}/etc/trust.p12 Cette propriété indique l'emplacement du fichier de clés certifiées dans le format requis par le type de fichiers référencé par la propriété com.ibm.ssl.trustStoreType. En général, cette propriété fait référence au nom de fichiers de clés certifiées. Toutefois, pour les types de jetons cryptographiques, cette propriété fait référence à un fichier DLL.
com.ibm.ssl.trustStorePassword mot de passe WebAS Cette propriété indique le mot de passe par défaut qui est le nom de la cellule du profil lors de sa création. Le mot de passe est généralement codé au moyen d'un algorithme {xor}. Vous pouvez utiliser iKeyman pour modifier le mot de passe du fichier de clés puis modifier cette référence dans la propriété. Si vous ignorez le mot de passe et si le certificat est créé pour vous, modifiez le mot de passe de cette propriété puis supprimez le fichier de clés certifiées de l'emplacement où il se trouve. Relancez le client pour recréer le fichier de clés certifiées en utilisant le nouveau mot de passe, mais seulement si le nom de fichier de clés se termine par DefaultTrustStore et si la propriété fileBased est true. Il est recommandé de supprimer en même temps le fichier de clés et le fichiers de clés certifiées pour qu'un échange de signataires correct puisse intervenir lorsque ces deux fichiers sont recréés ensemble.
com.ibm.ssl.trustStoreType JCERACFKS PKCS12 Cette propriété est le type de fichiers de clés certifiées. Utilisez la valeur par défaut PKCS12 en raison de son interopérabilité avec d'autres applications. Vous pouvez spécifier cette propriété en tant que type de fichiers de clés certifiées valides pris en charge par la fonctionnalité JVM sur la liste des fournisseurs. Le type peut être JCERACFKS, JCECCARACFKS ou JCECCAKS pour les unités de chiffrement.
com.ibm.ssl.trustStoreProvider IBMJCE IBMJCE Cette propriété est le fournisseur de fichiers de clés certifiées pour le type de fichiers de clés certifiées. Le fournisseur est généralement IBMJCE ou IBMPKCS11Impl pour des unités de chiffrement.
com.ibm.ssl.trustStoreFileBased false true Cette propriété indique au module d'exécution que le fichier de clés certifiées se trouve dans le système de fichiers.
com.ibm.ssl.trustStoreReadOnly true false Cette propriété indique à l'environnement d'exécution de WebSphere Application Server si le fichier de clés peut être modifié pendant la phase d'exécution. Par exemple, vous ne pouvez pas modifier les fichiers de clés certifiées en lecture seule à l'aide de la console d'administration ou du scriptage. Les fichiers de clés SAF, qui sont utilisés par WebSphere Application Server for z/OS, sont toujours en lecture seule.

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_sslclientpropsfile
Nom du fichier : rsec_sslclientpropsfile.html