Définition d'un certificat d'autorité de sécurité comme certificat par défaut à l'aide de l'outil wsadmin

Cette rubrique permet de demander à une autorité de certification (CA) externe de créer un certificat personnel. Une fois renvoyé par l'autorité de certification et sauvegardé dans le fichier de clés, le certificat est utilisable comme certificat personnel par défaut du serveur.

Avant de commencer

Vous devez configurer un objet client CA dans votre environnement. L'objet client contient toutes les informations de configuration nécessaires à la connexion à un serveur CA tiers.

Pourquoi et quand exécuter cette tâche

Après la création du profil, un certificat personnel chaîné par défaut est affecté au système. Effectuez les opérations ci-après pour modifier le serveur d'applications afin d'utiliser un certificat personnel par défaut créé par une autorité de certification externe.

Procédure

  1. Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
  2. Vérifiez que la configuration comporte un client CA. Utilisez la commande listCAClients ou getCAClient selon que vous souhaitez, respectivement, interroger votre environnement sur tous les clients CA et attributs de configuration existants ou obtenir les attributs de configuration d'un client CA déterminé. Si les commandes listCAClients ou getCAClient ne renvoient aucun attribut, vous devez créer un objet client CA pour continuer la procédure.
    • Affichez la liste de tous les objets client CA de votre configuration.
      La commande listCAClients permet de répertorier tous les clients CA présents dans la configuration. Si vous n'indiquez pas de valeur pour le paramètre -scopeName, la commande interroge la cellule ou le noeud selon que vous utilisez, respectivement, un profil de gestionnaire de déploiement ou un profil de serveur d'applications. Le paramètre -all permet d'interroger votre environnement sans utiliser de portée déterminée, comme dans l'exemple suivant :
      print AdminTask.listCAClients('-all
      true')
      La commande renvoie un tableau de listes d'attributs répertoriant les attributs par client CA, comme dans l'exemple de sortie suivant :
      '[
      [backupCAs ] [managementScope
      (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ]
      [_Websphere_Config_Da
      ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950]
      [CACertifi
      cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher
      e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck
      0] [pa
      ssword ] [host ] ]'
      '[
      [backupCAs ] [managementScope
      (cells/myCell01|security.xml#ManagementScope_1)
      ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ]
      [_Websphere_Config_Dat
      a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951]
      [CACertific
      ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere
      _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck
      0] [pas
      sword ] [host ] ]'
    • Répertoriez les attributs de configuration d'un client CA déterminé.
      La commande getCAClient permet d'afficher la liste des attributs d'un client CA déterminé, comme dans l'exemple suivant :
      print AdminTask.getCAClient('-caClientName myCAClient')
      La commande renvoie une liste d'attributs contenant les paires attribut-valeur pour le client CA spécifique, comme dans l'exemple suivant :
      '[ [backupCAs ] [managementScope
      (cells/myCell01|security.xml#ManagementSc
      ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe
      re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por
      t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u
      serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties
      ] [fre
      quencyCheck 0] [password ] [host ] ]'
  3. Facultatif : Si l'environnement ne comporte pas de client CA, configurez un objet client CA.
  4. Facultatif : Affichez le certificat personnel par défaut en cours.
    La commande listPersonalCertificates suivante permet d'afficher le certificat personnel par défaut en cours à remplacer :
    AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
  5. Demandez un certificat à une autorité de certification.
    Pour remplacer le certificat personnel par défaut en cours, vous devez au préalable demander un certificat à une autorité de certification. Vous pouvez créer une demande de certificat ou exécuter la commande createCertificateRequest pour utiliser une demande de certificat prédéfinie. Le système utilise la demande de certificat et les informations sur la configuration de l'autorité de certification extraites de l'objet client CA pour demander le certificat à l'autorité de certification. Si l'autorité de certification renvoie un certificat, la commande requestCAcertificate le stocke dans le fichier de clés indiqué et émet le message COMPLETE.
    Tableau 1. Paramètres obligatoires.. Utilisez la commande requestCACertificate et les paramètres obligatoires suivants pour demander un certificat à une autorité de certification :
    Paramètre Description Type de données
    -certificateAlias Indique l'alias du certificat. Vous pouvez indiquer une demande de certificat prédéfinie. Chaîne
    -keyStoreName Indique le nom de l'objet fichier de clés qui contient le certificat de CA. La commande listKeyStores affiche la liste des fichiers de clés disponibles. Chaîne
    -caClientName Indique le nom du client CA utilisé pour créer le certificat de CA. Chaîne
    -revocationPassword Indique le mot de passe qui permettra de révoquer le certificat ultérieurement. Chaîne
    Tableau 2. Paramètres facultatifs. Vous pouvez également utiliser les paramètres ci-après pour indiquer des options supplémentaires dans la demande de certificat. Si vous n'indiquez pas de paramètre facultatif, la commande utilise la valeur par défaut.
    Paramètre Description Type de données
    -keyStoreScope Indique la portée du fichier de clés. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. Chaîne
    -caClientScope Indique la portée de la gestion du client CA. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. Chaîne
    -certificateCommonName Indique, pour le certificat, la partie du nom distinctif (DN) correspondant au nom commun (CN). Ce nom commun peut désigner une personne, une société ou une machine. Pour les sites Web, le nom usuel est généralement le nom d'hôte DNS de l'emplacement du serveur. Chaîne
    -certificateSize Indique la taille du certificat. Les valeurs valides sont 512, 1024, 2048, 4096 et 8192. La valeur par défaut est 2048. Chaîne
    -certificateOrganization Indique la partie du nom distinctif correspondant à l'organisation. Chaîne
    -certificateOrganizationalUnit Indique la partie du nom distinctif correspondant à l'unité organisationnelle. Chaîne
    -certificateLocality Indique la partie du nom distinctif correspondant à la localité. Chaîne
    -certificateState Indique la partie du nom distinctif correspondant à la région. Chaîne
    -certificateZip Indique la partie du nom distinctif correspondant au code postal. Chaîne
    -certificateCountry Indique la partie du nom distinctif correspondant au pays. Chaîne
    Utilisez l'exemple de syntaxe de commande suivant pour demander un certificat à une autorité de certification :
    AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName 
    CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw 
    -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
    La commande renvoie l'une des deux valeurs possibles : Certificate COMPLETE ou certificate PENDING. Le message Certificate COMPLETE signifie que l'autorité de certification a renvoyé le certificat demandé, qui remplace alors le certificat personnel par défaut. Le message certificate PENDING signifie que l'autorité de certification n'a pas encore renvoyé de certificat. Utilisez la commande queryCACertificate pour afficher l'état en cours de la demande de certificat, comme dans l'exemple suivant :
    AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName 
    CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
  6. Remplacez le certificat personnel par défaut du serveur.
    L'exemple de commande replaceCertificate suivant permet de remplacer le certificat personnel par défaut existant par le certificat personnel de CA qui vient d'être créé :
    AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias
    defaultPersonalCertificate -replacementCertificateAlias newCertificate')
  7. Sauvegardez les modifications.
    Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
    AdminConfig.save()

Résultats

Le certificat personnel par défaut du serveur est un certificat créé par une autorité de certification externe.

Que faire ensuite

Vous pouvez configurer le serveur d'applications pour utiliser ce type de certificat si la création de l'objet client CA a abouti.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
Nom du fichier : txml_7percert.html