Groupe de commandes SSLMigrationCommands pour l'objet AdminTask

Vous pouvez utiliser les langages de script Jython ou Jacl pour migrer des configurations de fichiers de clés. Utilisez les commandes du groupe SSLMigrationCommands pour convertir les certificats autosignés en des certificats personnels chaînés et activer les fichiers de clés inscriptibles.

Le groupe de commandes SSLMigrationCommands pour l'objet AdminTask comprend les commandes suivantes :

Commande convertSelfSignedCertificatesToChained

La commande convertSelfSignedCertificatesToChained convertit des certificats autosignés spécifiques en des certificats personnels chaînés.

Remarque : Les certificats chaînes représentent le type de certificat par défaut dans WebSphere Application Server version 7.0. La commande convertSelfSignedCertificatesToChained récupère des informations à partir du certificat autosigné (comme le nom distinctif d'émission cible, la taille et la durée de vie) et crée un certificat chaîné avec ces mêmes informations. Le nouveau certificat chaîne remplace le certificat autosigné. Les certificats de signataire du certificat autosigné répartis dans les configurations de sécurité sont remplacés par les certificats de signataire du certificat racine utilisé pour signer le certificat chaîne.

Syntaxe

La syntaxe de la commande est la suivante :
wsadmin>$AdminTask convertSelfSignedCertificatesToChained
                     [-certificateReplacementOption ALL_CERTIFICATES | DEFAULT_CERTIFICATES | KEYSTORE_CERTIFICATES]
                     [-keyStoreName keystore_name]
                     [-keyStoreScope keystore_scope]
                     [-rootCertificateAlias alias_name]

Paramètres obligatoires.

certificateReplacementOption
Indique les options de remplacement des certificats autosignés de conversion. (Chaîne, obligatoire)
Indiquez la valeur du paramètre en choisissant parmi l'une options suivantes :
ALL_CERTIFICATES

Cette option recherche tous les certificats autosignés dans tous les fichiers de clés en fonction de la portée indiquée.

La portée peut être indiquée via le paramètre -keyStoreScope. Si aucune portée n'est définie via le paramètre -keyStoreScope, toutes les portées sont prises en compte.

DEFAULT_CERTIFICATES

Cette option recherche les certificats autosignés dans les fichiers de clés par défaut CellDefaultKeyStore et NodeDefaultKeyStore en fonction de la portée indiquée.

La portée peut être indiquée à l'aide du paramètre -keyStoreScope. Si aucune portée n'est définie via le paramètre -keyStoreScope, toutes les portées sont prises en compte.

KEYSTORE_CERTIFICATES

Cette option remplace uniquement les certificats autosignés du fichier de clés qui sont indiqués par le paramètre -keyStoreName.

Si aucune portée n'est définie via le paramètre -keyStoreScope, la portée par défaut est utilisée.

Paramètres facultatifs

keyStoreName
Indique le nom d'un fichier de clés dans lequel rechercher les certificats autosignés à convertir. Utilisez ce paramètre avec l'option KEYSTORE_CERTIFICATES sur le paramètre certificateReplacementOption. (Chaîne, facultatif)
keyStoreScope
Indique le nom de la portée dans laquelle rechercher les certificats autosignés à convertir. (Chaîne, facultatif)
rootCertificateAlias
Indique le certificat racine à utiliser à partir du magasin racine par défaut servant à signer le certificat chaîné. La valeur par défaut est root. (Chaîne, facultatif)

Exemples

Syntaxe d'un exemple de mode différé :

  • Avec Jacl :
    $AdminTask convertSelfSignedCertificatesToChained {-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS}
  • A l'aide de la chaîne Jython :
    AdminTask.convertSelfSignedCertificatesToChained('[-certificateReplacementOption ALL_CERTIFICATES -keyStoreName testKS]')
  • En langage Jython :
    AdminTask.convertSelfSignedCertificatesToChained(['-certificateReplacementOption', 'ALL_CERTIFICATES', '-keyStoreName', 'testKS'])
    Eviter les incidents Eviter les incidents: Pour vérifier si la migration a réussi, accédez au fichier security.xml et remplacez la valeur par défaut de dynamicallyUpdateSSLConfig par false dans ce fichier. Pour plus d'informations, voir la section relative aux mises à jour de configuration dynamique dans SSL dans le centre de documentation.gotcha

Exemple d'utilisation en mode interactif :

  • Avec Jacl :
    $AdminTask exchangeSigners {-interactive}
  • En langage Jython :
    AdminTask.exchangeSigners('-interactive')

Commande enableWritableKeyrings

La commande enableWritableKeyrings modifie le fichier de clés et active la prise en charge SAF inscriptible. Le système utilise cette commande lors de la migration. La commande crée des objets de fichiers de clés inscriptibles supplémentaires pour la région de contrôle et des fichiers de clés de la région serviteur pour les fichiers de clés SSL.

Paramètres obligatoires.

-keyStoreName
Indique le nom qui identifie de manière unique le fichier de clés que vous souhaitez supprimer. (Chaîne, obligatoire)

Paramètres facultatifs

-controlRegionUser
Indique l'utilisateur de la région de contrôle à utiliser pour activer les fichiers de clés inscriptibles. (Chaîne, facultatif)
-servantRegionUser
Indique l'utilisateur de la région serviteur à utiliser pour activer les fichiers de clés inscriptibles. (Chaîne, facultatif)
-scopeName
Indique le nom qui identifie de manière unique la portée de la gestion. Par exemple : (cell):localhostNode01Cell. (Chaîne, facultatif)

Exemples

Syntaxe d'un exemple de mode différé :

  • A l'aide de la chaîne Jython :
    AdminTask.enableWritableKeyrings('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • En langage Jython :
    AdminTask.enableWritableKeyrings(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Exemple d'utilisation en mode interactif :

  • En langage Jython :
    AdminTask.enableWritablekeyrings('-interactive')

Commande convertSSLConfig

La commande convertSSLConfig migre les configurations SSL existantes vers le format d'objet de nouvelle configuration pour les configurations SSL.

Paramètres obligatoires.

-sslConversionOption
Indique comment le système convertit la configuration SSL. Indiquez la valeur CONVERT_SSLCONFIGS pour convertir les objets de configuration SSL de l'ancien objet de configuration SSL vers le nouvel objet de configuration SSL. Indiquez la valeur CONVERT_TO_DEFAULT pour convertir la configuration SSL en une configuration SSL centralisée, ce qui supprime également le référencement direct de la configuration SSL à partir des serveurs.

Paramètres facultatifs

Aucune.

Exemples

Syntaxe d'un exemple de mode différé :

  • A l'aide de la chaîne Jython :
    AdminTask.convertSSLConfig('[-keyStoreName testKS -controlRegionUser CRUser1 -servantRegionUser SRUser1]')
  • En langage Jython :
    AdminTask.convertSSLConfig(['-keyStoreName', 'testKS', '-controlRegionUser', 'CRUser1', '-servantRegionUser', 'SRUser1'])

Exemple d'utilisation en mode interactif :

  • En langage Jython :
    AdminTask.convertSSLConfig('-interactive')

Commande convertSSLCertificates

La commande convertSSLCertificates convertit les certificats personnels SSL en certificat personnel créé avec l'algorithme de signature souhaité ou répertorie les certificats personnels SSL qui ne sont pas créés avec l'algorithme de signature souhaité.

Paramètres obligatoires.

Aucune

Paramètres facultatifs

-convertSSLCertAction
Spécifiez LIST pour répertorier les certificats qui ne sont pas créés avec l'algorithme de signature indiqué dans le paramètre -signatureAlgorithm ou spécifiez REPLACE pour remplacer les certificats SSL n'étant pas créés avec l'algorithme de signature fourni dans le paramètre -signatureAlgorithm par des certificats créés avec l'algorithme de signature indiqué dans le paramètre -signatureAlgorithm. La valeur par défaut est LIST.
-signatureAlgorithm
Spécifie l'algorithme de signature à vérifier et signale quels certificats personnels ne sont pas créés avec cet algorithme ou l'algorithme de signature utilisé pour créer de nouveaux certificats personnels devant remplacer ceux qui ne sont pas créés avec l'algorithme de signature. Les algorithmes de signature valides sont notamment SHA1withRSA, SHA256withRSA, SHA384withRSA, SHA512withRSA, SHA1withECDSA, SHA256withECDSA, SHA384withECDSA, SHA512withECDSA. La valeur par défaut est SHA256withRSA.
Remarque : Les algorithmes de signature plus renforcés nécessiteront la mise en place du fichier de règles sans restriction pour pouvoir créer des certificats avec eux. Les algorithmes de signature SHA384 et SHA512 sont également concernés. Pour utiliser des certificats avec des algorithmes de signature EC (Elliptical Curve), votre configuration SSL doit être définie pour les utiliser. Elle doit utiliser le protocole TLSv1.2 et les chiffrements EC doit être configurés.

Exemples

Syntaxe d'un exemple de mode différé :

  • A l'aide de la chaîne Jython :
    AdminTask.convertSSLCertificates('[- convertSSLCertAction list -signatureAlgorithm SHA256withRSA')
  • En langage Jython :
    AdminTask.convertSSLCertificates(['-convertSSLCertAction', 'list', '-signatureAlgorithm', 'SHA256withRSA'])

Exemple d'utilisation en mode interactif :

  • En langage Jython :
    AdminTask.convertSSLCertificates('-interactive')

Icône indiquant le type de rubrique Rubrique de référence



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rxml_7sslmigration
Nom du fichier : rxml_7sslmigration.html