Vous pouvez ajouter un certificat de signataire au fichier trust.p12 d'un serveur, ce qui permet à ce serveur de communiquer en toute sécurité avec un autre serveur.
Pour ce faire, utilisez la commande retrieveSigners pour ajouter un signataire au fichier trust.p12 d'un serveur après avoir apporter des modifications au fichier ssl.client.props.
Avant de commencer
Le serveur qui communiquera en tant que client doit être identifié avant que la confiance entre serveurs ne soit établie. Modifiez le fichier
ssl.client.props et exécutez la commande
retrieveSigners sur le serveur qui communique en tant que client. Si les deux serveurs ont un rôle de client, les étapes suivantes s'appliqueront aux deux serveurs.
Pourquoi et quand exécuter cette tâche
Le fichier
ssl.client.props est installé par défaut pour configurer les communications SSL (Secure Socket Layer) des clients.
Ceci permet au comportement par défaut de la commande
retrieveSigners de fonctionner avec les fichiers
trust.p12 et
key.p12 du client se trouvant dans le répertoire
racine_profil/etc.
Vous pouvez ajouter un certificat de signataire au fichier
trust.p12 d'un serveur, ce qui permet à ce serveur d'être un client qui communique avec un autre serveur.
L'utilisation de la commande
retrieveSigners pour ajouter un signataire au fichier
trust.p12 d'un serveur nécessite certaines modifications dans le fichier
ssl.client.props.
Procédure
- Ouvrez le fichier ssl.client.props. Le fichier ssl.client.props se trouve dans le répertoire racine_profil/properties.
- Supprimez la mise en commentaire de la section de ssl.client.props qui commence par la propriété com.ibm.ssl.alias=AnotherSSLSettings
- Supprimez la mise en commentaire de la section de ssl.client.props qui commence par la propriété com.ibm.ssl.trustStoreName=AnotherTrustStore.
- Entrez l'emplacement du magasin de tiers dignes de confiance que le signataire doit ajouter. Si vous utilisez le magasin de tiers dignes de confiance pour un gestionnaire de déploiement, alors il se trouve dans racine_profil/config/cells/nom de cellule/trust.p12. Si vous utilisez un fichier de clés certifiées pour un serveur d'applications, il se trouve dans profile_root/config/cells/nomCellule/nodes/nomNoeud/trust.p12.
- Mettez à jour les propriétés restantes dans cette section avec les valeurs associées au magasin de tiers dignes de confiance en cours d'utilisation. Vous trouverez une description des propriétés dans le fichier de configuration des clients ssl.client.props.
- Facultatif : Supprimez la mise en commentaire et mettez à jour la section qui commence par la propriété com.ibm.ssl.trustStoreName=AnotherKeyStore. La plupart des scénarios exigent uniquement l'ajout d'un signataire au magasin de tiers dignes de confiance. Cet exemple ajoute uniquement un signataire au magasin de tiers dignes de confiance, mais vous pouvez également ajouter un signataire au magasin de clés en mettant à jour les propriétés de la même façon que pour le magasin de tiers dignes de confiance avec les étapes 3 à 5.
- Sauvegardez les modifications apportées à ssl.client.props.
- Exécutez la commande retrieveSigners. Pour plus d'informations, consultez
la page relative à la commande retrieveSigners.
retrieveSigners NodeDefaultTrustStore AnotherTrustStore -host ademyers.austin.ibm.com -port 8879
Exemple de sortie : CWPKI0308I: Adding signer alias "default_1" to local keystore
"AnotherTrustStore" with the following SHA digest:
F4:71:97:79:3E:C1:DC:E7:9F:8F:3D:F0:A0:15:1E:D1:44:73:2C:06
Résultats
Une fois que toutes les étapes ont été réalisées avec succès,
le serveur ayant le rôle de client possède le certificat de signature de l'autre serveur.
Ainsi, ce serveur peut établir une connexion SSL avec l'autre serveur.
Exemple
L'exemple indique la section modifiée du fichier
ssl.client.props
supposant que le fichier
trust.p12 du serveur est en cours d'utilisation. Tout magasin de tiers dignes de confiance existant peut être utilisé si les propriétés sont fournies pour ce magasin de tiers dignes de confiance.
#-------------------------------------------------------------------------
com.ibm.ssl.alias=AnotherSSLSettings
com.ibm.ssl.protocol=SSL_TLS
com.ibm.ssl.securityLevel=HIGH
com.ibm.ssl.trustManager=IbmX509
com.ibm.ssl.keyManager=IbmX509
com.ibm.ssl.contextProvider=IBMJSSE2
com.ibm.ssl.enableSignerExchangePrompt=true
#com.ibm.ssl.keyStoreClientAlias=default
#com.ibm.ssl.customTrustManagers=
#com.ibm.ssl.customKeyManager=
#com.ibm.ssl.dynamicSelectionInfo=
#com.ibm.ssl.enabledCipherSuites=
# KeyStore information
#com.ibm.ssl.keyStoreName=AnotherKeyStore
#com.ibm.ssl.keyStore=${user.root}/etc/key.p12
#com.ibm.ssl.keyStorePassword={xor}CDo9Hgw=
#com.ibm.ssl.keyStoreType=PKCS12
#com.ibm.ssl.keyStoreProvider=IBMJCE
#com.ibm.ssl.keyStoreFileBased=true
# TrustStore information
com.ibm.ssl.trustStoreName=AnotherTrustStore
com.ibm.ssl.trustStore=${user.root}/config/cells/localhostCell01/trust.p12
com.ibm.ssl.trustStorePassword={xor}CDo9Hgw=
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStoreProvider=IBMJCE
com.ibm.ssl.trustStoreFileBased=true
Que faire ensuite
Une fois le signataire ajouté, modifiez le fichier
ssl.client.props pour commenter les sections qui ont été utilisées en vue d'ajouter le certificat de signataire.