Mises à jour des configurations dynamiques dans SSL

Lors de l'exécution de la connexion SSL (Secure Sockets Layer), des mises à jour de configuration dynamiques affectent les points de contact SSL de communications entrantes et sortantes. Pour les noeuds SSL de communications entrantes, les modifications implémentées par le canal SSL sont uniquement affectées par les modifications dynamiques. Pour les points de contact SSL de communications sortantes, toutes les connexions sortantes héritent des nouvelles modifications de configuration.

Dans cette édition, la fonction de mise à jour dynamique vous offre plus de souplesse et d'efficacité. Vous pouvez modifier les configurations SSL sans redémarrer WebSphereApplication Server pour que les modifications soient prises en compte.

Pour effectuer des modifications dynamiques dans la console d'administration, cliquez sur Sécurité > Gestion des certificats SSL et des clés, puis cochez la case Mettre à jour dynamiquement la phase d'exécution lorsque des changements de configuration SSL se produisent. Vous devez sauvegarder les modifications, puis synchroniser le fichier security.xml avec les systèmes distants. Un système distant doit pouvoir confirmer que dynamicallyUpdateSSLConfig=true est défini dans le fichier security.xml.

Le module d'exécution SSL recharge la configuration SSL modifiée et crée un objet SSLEngine pour les connexions modifiées qui sont associées aux points de contact de communications entrantes. Les nouvelles communications sortantes utilisent la nouvelle configuration tandis que les connexions existantes utilisent l'ancien objet SSLEngine et ne sont pas affectées.

Conseil : Apportez des modifications dynamiques à la configuration SSL en dehors des heures de pointe. Les retards de synchronisation peuvent affecter négativement les connexions lorsque vous effectuez ces opérations au cours des heures les plus chargées.
Vous pouvez activer ou désactiver alternativement l'attribut dynamicallyUpdateSSLConfig dans le fichier security.xml afin de vérifier que mises à jour ont réussi. Pour cela, exécutez les actions suivantes :
  1. Définissez dynamicallyUpdateSSLConfig=On.
  2. Sauvegardez la configuration mise à jour.
  3. Synchronisez le fichier security.xml avec les systèmes distants.
  4. Définissez l'attribut dynamicallyUpdateSSLConfig à la valeur Off.
Vous devez vérifier que tous les noeuds reçoivent les modifications avant de désactiver l'attribut dynamicallyUpdateSSLConfig. Testez les modifications dans un environnement de test avant de mettre à jour l'environnement de production.
Conseil : Certaines modifications SSL, telles que les modifications administratives, peuvent entraîner l'indisponibilité du serveur si celles-ci n'ont pas été testées au préalable. Lorsqu'une modification interdit l'établissement de relations de confiance entre deux points de contact, ces derniers ne peuvent pas communiquer entre eux. De plus, si les mises à jour des connexions SSL administratives entraînent l'indisponibilité du serveur, vous pouvez être contraint de désactiver le noeud après avoir apporté les corrections nécessaires à l'aide du gestionnaire de déploiement. A partir de la ligne de commande, vous pouvez synchroniser manuellement le serveur pour extraire les nouvelles modifications SSL, puis redémarrer les noeuds.

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_ssldynconfigupdates
Nom du fichier : csec_ssldynconfigupdates.html