Une fois que vous avez créé une configuration SSL (Secure Sockets Layer), vous devez
lui associer une portée de gestion des communications entrantes et sortantes sécurisées. Vous pouvez centraliser la gestion des associations pour effectuer facilement les modifications concernant tous les niveaux de topologie inférieurs et associés à la configuration. La méthode de configuration recommandée et définie par défaut à partir de WebSphere Server version 6.1 est la gestion centralisée des configurations SSL.
Avant de commencer
Vous pouvez simplifier le nombre d'associations nécessaires pour une configuration SSL en associant la configuration avec la portée de gestion du plus haut niveau demandant une configuration unique. Les associations de configuration SSL présentent des comportements d'héritage. Pour cette raison, toutes les portées de niveau de topologie inférieur héritent de cette configuration SSL.
Par exemple, une association effectuée au niveau de la cellule concerne tous les noeuds, serveurs, clusters et noeuds finaux. Pour plus d'informations, voir
Gestion centrale des configurations SSL.
Une règle de priorité détermine l'association de configuration SSL utilisée à une portée particulière. Les noeuds finaux de la topologie bénéficient du plus haut niveau de priorité. Si vous établissez une association au niveau de noeud final, celle-ci se substitue à toute
association précédente effectuée à un niveau supérieur de la topologie de portée de gestion.
Pourquoi et quand exécuter cette tâche
Procédez comme suit dans la console d'administration :
Procédure
- Cliquez sur Sécurité > Certificat SSL et gestion des clés.
- Cochez la case Mettre à jour dynamiquement l'exécution lorsque des modifications de la configuration SSL surviennent si vous souhaitez que les modifications apportées à une configuration SSL existante prennent effet de façon dynamique. Toutes les communications SSL sortantes honorent les modifications SSL dynamiques. Les protocoles qui n'utilisent pas le canal SSL de la structure de canaux pour les communications entrantes, y compris les protocoles ORB Object Request Broker) et SOAP administratif, n'honorent pas les mises à jour dynamiques. Pour plus d'informations, voir
Mises à jour des configurations dynamiques dans SSL.
- Cliquez sur Gérer les configurations de sécurité du noeud final.
- Sélectionnez l'arborescence de communications entrantes ou sortantes. Une fois que vous avez terminé avec l'arborescence sélectionnée, répétez la procédure à partir de cette étape pour l'autre arborescence.
- Cliquez sur le lien de l'élément sélectionné sur la topologie (cellule, noeud, groupe de noeuds, serveur,
cluster ou noeud final.) Si la portée est déjà associée à une configuration
SSL et un alias, ces objets s'affichent entre parenthèses immédiatement après le nom de la portée (par exemple, Node01(NodeDefaultSSLSettings,default)).
Si le gestionnaire de déploiement a fédéré un noeud, la configuration SSL de portée du noeud
se substitue à la configuration de portée de cellule supérieure dans la topologie.
- Indiquez si les valeurs héritées affichées dans les zones en lecture seule doivent être remplacées. Les zones en lecture seule sont le nom de portée de gestion, la direction, le nom de configuration SSL hérité et l'alias de certificat.
- Si vous êtes satisfait de ces valeurs, ne les remplacez pas.
- Si vous souhaitez remplacer les valeurs héritées, cochez la case Substituer des valeurs héritées.
- Sélectionnez une configuration SSL dans la liste proposée.
- Cliquez sur Mettre à jour la liste des alias de certificat. La liste d'alias de certificats provient du magasin de clés référencé par la nouvelle configuration SSL.
- Cliquez sur Gérer des certificats si vous souhaitez gérer les
certificats personnels contenus dans le magasin de clés référencé dans la
configuration SSL.
- Cliquez sur Mettre à jour la liste des alias de certificat pour actualiser la liste
d'alias.
- Sélectionnez un alias de certificat dans le magasin de clés, alias devant représenter l'identité
du noeud final.
- Cliquez sur OK pour sauvegarder vos modifications.
- Cliquez sur Gérer les configurations de sécurité du noeud final et les zones sécurisées pour
revenir à l'arborescence de topologie.
- Configurez le sens opposé sur l'arborescence de topologie, en suivant cette procédure. Vous pouvez également sélectionner des portées supplémentaires à associer avec la
configuration SSL, si nécessaire.
Résultats
Chaque configuration SSL au niveau sélectionné et aux niveaux inférieurs
de l'arborescence de topologie possède les mêmes propriétés de configuration SSL.
Les méthodes de
configuration SSL remplacent les configurations gérées centralement que vous associez dans l'arborescence :
- Sélection directe sur le noeud final
- Associations de configuration SSL des communications sortantes dynamiques
- Spécifications par programmation
Que faire ensuite
A chaque niveau de gestion, vous pouvez configurer les objets suivants :
configurations SSL de noeud final de communications sortantes dynamiques, magasins de clés, ensembles de clés, groupes d'ensembles de clés, gestionnaires de clés et gestionnaires des relations de confiance. Comme les configurations SSL, ces objets sont sectorisés automatiquement, ce qui fait qu'ils ne sont pas visibles dans les niveaux supérieurs de l'arborescence et ne sont pas chargés par des processus des niveaux supérieurs lors de la phase d'exécution.