Création d'une configuration d'ensemble de clés

Vous pouvez utiliser des ensembles de clés pour gérer plusieurs instances de clés de chiffrement. WebSphere Application Server utilise des clés pour chiffrer ou signer les données sortantes et déchiffrer ou vérifier les données entrantes pendant les opérations cryptographiques.

Avant de commencer

Vous devez disposer du droit d'accès en écriture au magasin de clés qui contiendra les clés que vous générerez à partir d'un ensemble de clés. Toutefois, si vous souhaitez générer des clés en dehors de WebSphere Application Server, vous pouvez les référencer à partir d'un magasin de clés en lecture seule contenant une clé secrète accessible lorsque vous générez les clés. Pour la création d'une paire de clés utilisant un X509Certificate et un objet PrivateKey, voir Exemple: Développement d'une classe de génération de clé ou de paire de clés pour la génération de clés automatisée.

Pourquoi et quand exécuter cette tâche

Procédez comme suit dans la console d'administration :

Procédure

  1. Déterminez si vous désirez créer l'ensemble de clés avec une portée cellule ou à un niveau inférieur (par exemple, au niveau du noeud, du serveur ou du cluster) :
    • Pour créer un ensemble de clés au niveau de la cellule, cliquez sur Sécurité > Gestion des certificats SSL et des clés > Ensembles de clés.
    • Pour créer un jeu de clés au-dessous du niveau de la cellule, cliquez sur Sécurité > Gestion des certificats SSL et des clés > Gérer les configurations de sécurité des noeuds finals > {Entrant | Sortant} > Jeu de clés configuration_ssl >.
  2. Cliquez sur Nouveau pour créer un ensemble de clés.
  3. Entrez un nom de jeu de clés. Par exemple, CellmyKey.
  4. Entrez un nom de préfixe d'alias de clé. Par exemple, myKey. Cette zone spécifie le préfixe des alias de clé lorsque la nouvelle clé est générée et stockée dans le magasin de clés. Le préfixe est suivi du numéro de version de la référence de clé. Par exemple, si ce numéro est 2, le nom d'alias de clé complet est maClé_2. Si la référence de clé possède déjà un alias défini pour une clé figurant dans le magasin, WebSphere Application Server ignore cette zone.
  5. Entrez un mot de passe de clé. Le mot de passe de clé protège la clé dans le magasin de clés. WebSphere Application Server fait abstraction du mot de passe si vous avez déjà indiqué un mot de passe pour la référence d'alias de clé. Pour vérifier la présence d'un mot de passe de référence de clé, cliquez sur Historique de clés actives dans Propriétés supplémentaires. Le mot de passe de référence de clé protège les clés qui sont générées par une classe de générateur de clés.
  6. Entrez de nouveau le mot de passe pour le confirmer.
  7. Facultatif : Entrez le nom de classe du générateur de clés. Par exemple, com.ibm.ws.security.ltpa.LTPAKeyGenerator. Le nom de classe génère des clés. Si la classe implémente com.ibm.websphere.crypto.KeyGenerator, une méthode getKey renvoie un objet java.security.Key défini dans le magasin de clés à l'aide de la méthode setKey sans chaîne de certificat. Si la classe implémente com.ibm.websphere.crypto.KeyPairGenerator, une méthode getKeyPair renvoie un objet com.ibm.websphere.crypto.KeyPair contenant soit un objet java.security.PublicKey et java.security.PrivateKey, soit java.security.cert.Certificate et java.security.PrivateKey. La classe de générateur de clé et l'API KeySetHelper spécifient les détails des clés générées.
  8. Facultatif : Sélectionnez Supprimer les références de clé qui dépassent le nombre maximal de clés si vous ne souhaitez pas que les anciennes clés soient enregistrées dans le magasin de clés, une fois que WebSphere Application Server a supprimé leurs références de l'historique de clés actives. L'historique de clés actives répertorie les clés dont l'API KeySetHelper fait actuellement le suivi. Le nombre de clés de la liste est égal au nombre de clés que vous indiquez dans la zone Nombre maximal de clés référencées.
  9. Entrez une valeur numérique indiquant le nombre maximal de clés référencées. Par exemple, si vous entrez 3 et que vous sélectionnez Supprimer les références de clé qui dépassent le nombre maximal de clés, WebSphere Application Server supprime automatiquement la première version de clé du magasin de clés, à la quatrième génération de version de clé. Si vous choisissez de ne pas supprimer les anciennes clés, celles-ci ne s'affichent pas dans la liste Historique de clés actives et restent dans le magasin de clés, où vous pouvez les supprimer manuellement.
  10. Sélectionnez un magasin de clés dans la liste déroulante.
    • Sélectionnez un magasin de clés JCEKS si vous stockez une clé secrète.
    • Sélectionnez tout magasin de clés si vous stockez une paire de clés avec un X509Certificate et un objet PrivateKey.
  11. Facultatif : Sélectionnez Génère une paire de clés si le nom de classe du générateur de clés implémente l'interface com.ibm.websphere.crypto.KeyPairGenerator au lieu de l'interface com.ibm.websphere.crypto.KeyGenerator. Cette option spécifie que la clé fasse référence à une paire de clés au lieu d'une seule clé. Les paires de clés contiennent une clé publique et une clé privée. La phase d'exécution de WebSphere Application Server détermine si des paires de clés sont stockées et chargées différemment des clés uniques.
  12. Facultatif : Cliquez sur Valider si vous souhaitez sélectionner Historique de clés actives dans Propriétés supplémentaires pour ajouter des références d'alias ou générer davantage de clés.
    1. Cliquez sur Historique de clés actives.
    2. Cliquez sur Ajouter une référence d'alias de clé si vous n'utilisez pas le nom de classe du générateur de clés pour ajouter des références d'alias de clé aux clés déjà présentes dans le magasin de clés. Utilisez cette option pour extraire les clés d'un magasin de clés en lecture seule sans que l'ensemble de clés les génère.
    3. Entrez une référence d'alias.
    4. Cliquez sur Générer une clé si vous souhaitez générer une clé en utilisant le nom de classe que vous avez défini dans la sous-fenêtre des ensembles de clés. Chaque nouvelle clé est incrémentée d'un chiffre, donnant par exemple myAlias_2.
    5. Cliquez sur Appliquer.
  13. Cliquez sur le nom de l'ensemble de clés dans le chemin de navigation.
  14. Cliquez sur OK et sur Sauvegarder.

Résultats

Vous avez créé un ensemble de clés que vous pouvez gérer à l'aide du lien Historique de clés actives. Vous pouvez générer les clés manuellement pour les associer avec les ensembles de clés spécifiés.

Que faire ensuite

Une fois que vous avez généré de nouvelles clés à partir d'un ensemble de clés, vous pouvez y accéder par programmation à l'aide de l'API com.ibm.websphere.crypto.KeySetHelper. Vous devez disposer de droits de sécurité Java™ 2, si elle est activée, pour accéder aux clés contenues dans les ensembles de clés. Indiquez le nom d'ensemble de clés dans les droits à granularité fine, comme dans l'exemple de code suivant : WebSphereRuntimePermission "getKeySets.keySetName". Pour plus d'informations, voir Exemple : Récupération des clés générées depuis un groupe d'ensembles de clés. Pour générer plusieurs types de clés en même temps ou pour planifier la génération de clés en fonction d'un calendrier précis, voir Création d'une configuration de groupe d'ensembles de clés.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfkeyset
Nom du fichier : tsec_sslconfkeyset.html