Création d'une configuration SSL pour la portée noeud à l'aide de scripts

Une configuration SSL (Secure Socket Layer) fait référence à de nombreux objets de configuration. Pour vous aider à effectuer des sélections valides avant la création de la configuration SSL, affichez les informations sur les objets de configuration existants. Les informations sur les objets existants sont également utiles lorsque vous créez une configuration SSL pour la portée noeud à l'aide de la commande createSSLConfig de l'objet AdminTask.

Avant de commencer

Avant de commencer cette tâche, assurez-vous que l'outil wsadmin est démarré. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.

Eviter les incidents Eviter les incidents: Le fichier security.xml est restreint. Par conséquent, si vous devez le modifier, vérifiez que votre ID utilisateur dispose des autorisations pour le rôle administrateur. Si vous utilisez un ID utilisateur disposant des autorisations pour le rôle opérateur, vous pouvez exécuter une synchronisation de noeud, mais les modifications apportées au fichier security.xml ne sont pas synchronisées.gotcha

Pourquoi et quand exécuter cette tâche

Pour exploiter efficacement les informations décrites dans cette tâche, familiarisez-vous avec les instructions fournies dans la rubrique Création d'une configuration SSL (Secure Sockets Layer).

Pour créer une configuration de connexion sécurisée (SSL) pour la portée noeud, procédez comme suit :

Procédure

  1. Affichez la liste des objets de configuration existants. Procédez de l'une des façons suivantes :
    • Répertoriez quelques objets de configuration pouvant être nécessaires lors de la création d'une configuration SSL.
      Par exemple, vous pouvez afficher les portées de gestion déjà définies. Si celle dont vous avez besoin n'existe pas, vous devrez la créer.
      • Avec Jacl :

        $AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
      • Avec Jython :
        AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Cet exemple présente une portée cellule et une portée noeud existantes que vous pouvez utiliser. Pour créer une autre portée, utilisez la commande createManagementScope. Les paramètres de portée (scopeName) valides sont la cellule (cell), le groupe de noeuds (nodeGroup), le noeud (node), le serveur (server), le cluster (cluster) et le noeud final (endPoint). Pour plus d'informations sur les limitations de portée, reportez-vous à l'article Gestion centrale des configurations SSL (Secure Sockets Layer).
    • Répertoriez les fichiers de clés existant dans la configuration, y compris les fichiers de clés certifiées.
      • Avec Jacl :

        $AdminTask listKeyStores -all true
      • Avec Jython :
        AdminTask.listKeyStores('-all true')
      Exemple de sortie :
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      L'exemple précédent ne répertorie que les fichiers de clés compris dans la portée de gestion par défaut, également désignée portée cellule. Pour obtenir les fichiers de clés applicables à d'autres portées, indiquez le paramètre scopeName, par exemple :
      • Avec Jacl :

        $AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
      • Avec Jython :
        $AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
      Exemple de sortie :
      CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
      CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
      CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
      NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
      NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
    • Répertoriez les gestionnaires de clés ou les gestionnaires d'accréditation spécifiques. Assurez-vous d'afficher le nom d'objet des gestionnaires d'accréditation. Vous avez besoin du nom d'objet pour la configuration SSL car vous pouvez indiquer plusieurs instances de gestionnaire d'accréditation.
      • Avec Jacl :

        $AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
      • Avec Jython :
        AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
      Exemple de sortie :
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
      IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
      IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
  2. Créez la configuration SSL pour la portée noeud en mode interactif. Nous disposons désormais des informations nécessaires pour effectuer une sélection. A présent, nous devons déterminer si ces objets sont suffisants ou si nous devons en créer d'autres. Dans l'immédiat, nous allons réutiliser des objets dont nous disposons déjà dans la configuration, puis enregistrer la création d'instances dans des documents de définition de tâche propres à ces objets.
    • Avec Jacl :

      $AdminTask createSSLConfig -interactive
    • Avec Jython :
      AdminTask.createSSLConfig ('[-interactive]')
    Exemple de sortie :
    Create a SSL Configuration.
    
    *SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
    Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Client Key Alias (clientKeyAlias): default
    Server Key Alias (serverKeyAlias): default
    SSL Type (type): [JSSE]
    Client Authentication (clientAuthentication): [false]
    Security Level of the SSL Configuration (securityLevel): [HIGH]
    Enabled Ciphers SSL Configuration (enabledCiphers):
    JSSE Provider (jsseProvider): [IBMJSSE2]
    Client Authentication Support (clientAuthenticationSupported): [false]
    SSL Protocol (sslProtocol): [SSL_TLS]
    Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
    *Trust Store Name (trustStoreName): NodeDefaultTrustStore
    Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    *Key Store Name (keyStoreName): NodeDefaultKeyStore
    Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    Key Manager Name (keyManagerName): IbmX509
    Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
    
    Create SSL Configuration
    
    F (Finish)
    C (Cancel)
    
    Select [F, C]: [F] F
    WASX7278I: Generated command line: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName 
    (cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default 
    -trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName 
    NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName 
    NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName 
    IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
  3. Enregistrez les modifications apportées à la configuration. Pour plus d'informations, reportez-vous à la rubrique Enregistrement des modifications de configuration avec l'outil wsadmin.
  4. Dans un environnement de déploiement en réseau uniquement, synchronisez le noeud. Pour plus d'informations, reportez-vous à l'article Synchronisation des noeuds à l'aide de l'outil wsadmin.

Résultats

Le nom de l'objet de configuration SSL que vous avez créé, par exemple (cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), apparaît dans le fichier security.xml.
Exemple de sortie du fichier security.xml :
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE" 
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default" 
clientAuthentication="false" securityLevel="HIGH"  jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS" 
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1" 
keyManager="KeyManager_1134610924357"/>
</repertoire>

Que faire ensuite

Une fois que vous avez créé l'objet de configuration SSL, l'étape suivante consiste à l'utiliser. Plusieurs méthodes permettent d'associer des configurations SSL à des protocoles. Par exemple, vous pouvez :
  • définir la configuration SSL sur l'unité d'exécution par programme ;
  • associer la configuration SSL à un protocole sortant ou à un hôte et à un port cible ;
  • associer directement la configuration SSL à l'aide de l'alias ;
  • centraliser la gestion des configurations SSL par leur association à des groupes ou à des zones de configuration SSL et permettre ainsi leur utilisation selon le groupe d'origine du noeud final.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_sslconfigadmintask
Nom du fichier : txml_sslconfigadmintask.html