[AIX Solaris HP-UX Linux Windows][IBM i]

Mise à jour des configurations SSL vers des définitions de configuration version 8.5 après la migration

Lors de la migration vers la Version 9.0, vous pouvez convertir le format de la configuration SSL ou continuer d'utiliser celui de la version antérieure. Si vous détectez des erreurs liées aux scripts d'administration existants pour les configurations SSL, utilisez cette tâche pour convertir manuellement votre configuration SSL au format de la Version 9.0.

Avant de commencer

Configurations prises en charge Configurations prises en charge:

Cet article traite de la migration de configuration de profil. Pour faire migrer vos applications vers la dernière version, utilisez le kit d'outils de migration de WebSphere Application Server. Pour plus d'informations, voir Migration Toolkit on WASdev.

sptcfg

Pourquoi et quand exécuter cette tâche

[IBM i][AIX Solaris HP-UX Linux Windows]Lors de la migration vers la Version 9.0, vous pouvez utiliser la Commande WASPreUpgrade pour enregistrer la configuration de la version déjà installée dans un répertoire de sauvegarde dédié à la migration. Lorsque la migration est terminée, vous pouvez lancer la WASPostUpgrade command pour extraire la configuration sauvegardée et le script WASPostUpgrade pour migrer la configuration précédente. Le paramètre -scriptCompatibility de la commande WASPostUpgrade permet de spécifier si les définitions de configuration 6.1 doivent être conservées ou si leur format doit être mis à niveau vers des définitions de configuration Version 9.0. Cette étape n'est pas nécessaire si vous avez utilisé la valeur par défaut (-scriptCompatibility true) lors de la migration. Sinon, si vous avez affecté la valeur false au paramètre scriptCompatibility lors de la migration, vous remarquez que les scripts d'administration existants pour configurations SSL ne fonctionnent pas correctement. Dans ce cas, utilisez cette tâche afin de convertir vos définitions de configuration SSL version 6.1 vers la Version 9.0. Ce processus crée une configuration SSL basée sur la configuration existante.

Pour modifier la configuration SSL existante, procédez comme suit :
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$racine_install/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$racine_install/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH" 
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>

Procédure

  1. Créez un fichier de clés qui référence les attributs de fichier de clés de la configuration antérieure.
    1. Dans la configuration existante, recherchez les attributs keyFileName, keyFilePassword et keyFileFormat.
      keyFileName="${racine_install}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
    2. Créez un objet fichier de clés (KeyStore) à l'aide des attributs keyFileName, keyFilePassword et keyFileFormat. Pour cet exemple, indiquez le nom "DefaultSSLSettings_KeyStore".
      Fonction obsolète Fonction obsolète: A l'aide de Jacl :
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation 
      ${racine_install}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword 
      password -keyStorePasswordVerify password }
      depfeat
      L'objet de configuration résultant dans le fichier security.xml est le suivant :
      <keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password" 
      provider="IBMJCE" location="$racine_install/etc/MyServerKeyFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
      Remarque : Si vous indiquez les valeurs cryptoHardware dans la configuration, créez l'objet KeyStore avec celles-ci. Associez le paramètre -keyStoreLocation à l'attribut libraryFile, le paramètre -keyStoreType à l'attribut tokenType et le paramètre -keyStorePassword à l'attribut password.
      <cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
  2. Créez un fichier de clés certifiées qui référence les attributs de fichier de clés certifiées de la configuration existante.
    1. Recherchez les attributs trustFileName, trustFilePassword et trustFileFormat dans la configuration existante.
      trustFileName="$racine_install/etc/MyServerTrustFile.jks" trustFilePassword="password" 
      trustFileFormat="JKS"
    2. Créez un objet fichier de clés (KeyStore) à l'aide des attributs trustFileName, trustFilePassword et trustFileFormat. Pour cet exemple, indiquez le nom "DefaultSSLSettings_TrustStore".
      Fonction obsolète Fonction obsolète: A l'aide de Jacl :
      $AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation 
      $racine_install/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password 
      -keyStorePasswordVerify password }
      depfeat
      L'objet de configuration résultant dans le fichier security.xml est le suivant :
      <keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password" 
      provider="IBMJCE" location="$racine_install/etc/MyServerTrustFile.jks" type="JKS" fileBased="true" 
      managementScope="ManagementScope_1"/>
  3. Créez une configuration SSL avec le nouveau fichier de clés et le nouveau fichier de clés certifiées. Incluez d'autres attributs extraits de la configuration existante et encore valides.

    Utilisez un nouvel alias pour la configuration SSL mise à jour. Vous ne pouvez pas créer une configuration SSL portant le même nom que votre configuration existante.

    Fonction obsolète Fonction obsolète: A l'aide de Jacl :
    $AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
     -keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509 
    -clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL  }
    depfeat

Résultats

La nouvelle configuration SSL est :
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers="" 
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2" 
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
Remarque : Si vous n'indiquez pas la portée de la gestion, la valeur par défaut est utilisée.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_migratesecurity
Nom du fichier : txml_migratesecurity.html