Définition d'un certificat d'autorité de sécurité comme certificat par défaut à l'aide de l'outil wsadmin
Cette rubrique permet de demander à une autorité de certification (CA) externe de créer un certificat personnel. Une fois renvoyé par l'autorité de certification et sauvegardé dans le fichier de clés, le certificat est utilisable comme certificat personnel par défaut du serveur.
Avant de commencer
Vous devez configurer un objet client CA dans votre environnement. L'objet client contient toutes les informations de configuration nécessaires à la connexion à un serveur CA tiers.
Pourquoi et quand exécuter cette tâche
Après la création du profil, un certificat personnel chaîné par défaut est affecté au système. Effectuez les opérations ci-après pour modifier le serveur d'applications afin d'utiliser un certificat personnel par défaut créé par une autorité de certification externe.
Procédure
- Lancez l'outil de script wsadmin via le langage de script Jython. Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
- Vérifiez que la configuration comporte un client CA. Utilisez la commande listCAClients ou getCAClient selon que vous
souhaitez, respectivement, interroger votre environnement sur tous les
clients CA et attributs de configuration existants ou obtenir les
attributs de configuration d'un client CA déterminé. Si les commandes listCAClients ou getCAClient ne renvoient aucun attribut, vous devez créer un objet client CA pour continuer la procédure.
- Affichez la liste de tous les objets client CA de votre configuration.La commande listCAClients permet de répertorier tous les clients CA présents dans la configuration. Si vous n'indiquez pas de valeur pour le paramètre -scopeName, la commande interroge la cellule ou le noeud selon que vous utilisez, respectivement, un profil de gestionnaire de déploiement ou un profil de serveur d'applications. Le paramètre -all permet d'interroger votre environnement sans utiliser de portée déterminée, comme dans l'exemple suivant :
print AdminTask.listCAClients('-all true')
La commande renvoie un tableau de listes d'attributs répertoriant les attributs par client CA, comme dans l'exemple de sortie suivant :'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name jenCAClient] [baseDn ] [_Websphere_Config_Da ta_Id cells/myCell01|security.xml#CAClient_1181834566881] [port 2950] [CACertifi cate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Webspher e_Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pa ssword ] [host ] ]' '[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementScope_1) ] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphere_Config_Dat a_Id cells/myCell01|security.xml#CAClient_1181834566882] [port 2951] [CACertific ate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [userId ] [_Websphere _Config_Data_Type CAClient] [retryCheck 0] [properties ] [frequencyCheck 0] [pas sword ] [host ] ]'
- Répertoriez les attributs de configuration d'un client CA déterminé.La commande getCAClient permet d'afficher la liste des attributs d'un client CA déterminé, comme dans l'exemple suivant :
print AdminTask.getCAClient('-caClientName myCAClient')
La commande renvoie une liste d'attributs contenant les paires attribut-valeur pour le client CA spécifique, comme dans l'exemple suivant :'[ [backupCAs ] [managementScope (cells/myCell01|security.xml#ManagementSc ope_1)] [scopeName (cell):myCell01] [name myCAClient] [baseDn ] [_Websphe re_Config_Data_Id cells/myCell01|security.xml#CAClient_1181834566882] [por t 2951] [CACertificate ] [pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient] [u serId ] [_Websphere_Config_Data_Type CAClient] [retryCheck 0] [properties ] [fre quencyCheck 0] [password ] [host ] ]'
- Affichez la liste de tous les objets client CA de votre configuration.
- Facultatif : Si l'environnement ne comporte pas de client CA, configurez un objet client CA.
- Facultatif : Affichez le certificat personnel par défaut en cours. La commande listPersonalCertificates suivante permet d'afficher le certificat personnel par défaut en cours à remplacer :
AdminTask.listPersonalCertificates('[-keyStoreName CellDefaultKeyStore -keyStoreScope (cell):myCell01]')
- Demandez un certificat à une autorité de certification. Pour remplacer le certificat personnel par défaut en cours, vous devez au préalable demander un certificat à une autorité de certification. Vous pouvez créer une demande de certificat ou exécuter la commande createCertificateRequest pour utiliser une demande de certificat prédéfinie. Le système utilise la demande de certificat et les informations sur la configuration de l'autorité de certification extraites de l'objet client CA pour demander le certificat à l'autorité de certification. Si l'autorité de certification renvoie un certificat, la commande requestCAcertificate le stocke dans le fichier de clés indiqué et émet le message COMPLETE.
Tableau 1. Paramètres obligatoires.. Utilisez la commande requestCACertificate et les paramètres obligatoires suivants pour demander un certificat à une autorité de certification : Paramètre Description Type de données -certificateAlias Indique l'alias du certificat. Vous pouvez indiquer une demande de certificat prédéfinie. Chaîne -keyStoreName Indique le nom de l'objet fichier de clés qui contient le certificat de CA. La commande listKeyStores affiche la liste des fichiers de clés disponibles. Chaîne -caClientName Indique le nom du client CA utilisé pour créer le certificat de CA. Chaîne -revocationPassword Indique le mot de passe qui permettra de révoquer le certificat ultérieurement. Chaîne Tableau 2. Paramètres facultatifs. Vous pouvez également utiliser les paramètres ci-après pour indiquer des options supplémentaires dans la demande de certificat. Si vous n'indiquez pas de paramètre facultatif, la commande utilise la valeur par défaut. Paramètre Description Type de données -keyStoreScope Indique la portée du fichier de clés. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. Chaîne -caClientScope Indique la portée de la gestion du client CA. Dans le cas d'un profil de gestionnaire de déploiement, la valeur par défaut est la portée de la cellule. Dans le cas d'un profil de serveur d'applications, la valeur par défaut est la portée du noeud. Chaîne -certificateCommonName Indique, pour le certificat, la partie du nom distinctif (DN) correspondant au nom commun (CN). Ce nom commun peut désigner une personne, une société ou une machine. Pour les sites Web, le nom usuel est généralement le nom d'hôte DNS de l'emplacement du serveur. Chaîne -certificateSize Indique la taille du certificat. Les valeurs valides sont 512, 1024, 2048, 4096 et 8192. La valeur par défaut est 2048. Chaîne -certificateOrganization Indique la partie du nom distinctif correspondant à l'organisation. Chaîne -certificateOrganizationalUnit Indique la partie du nom distinctif correspondant à l'unité organisationnelle. Chaîne -certificateLocality Indique la partie du nom distinctif correspondant à la localité. Chaîne -certificateState Indique la partie du nom distinctif correspondant à la région. Chaîne -certificateZip Indique la partie du nom distinctif correspondant au code postal. Chaîne -certificateCountry Indique la partie du nom distinctif correspondant au pays. Chaîne Utilisez l'exemple de syntaxe de commande suivant pour demander un certificat à une autorité de certification :AdminTask.requestCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -caClientName myCAClient -revocationPassword revokeCApw -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
La commande renvoie l'une des deux valeurs possibles : Certificate COMPLETE ou certificate PENDING. Le message Certificate COMPLETE signifie que l'autorité de certification a renvoyé le certificat demandé, qui remplace alors le certificat personnel par défaut. Le message certificate PENDING signifie que l'autorité de certification n'a pas encore renvoyé de certificat. Utilisez la commande queryCACertificate pour afficher l'état en cours de la demande de certificat, comme dans l'exemple suivant :AdminTask.queryCACertificate('-certificateAlias newCertificate -keyStoreName CellDefaultKeyStore -pkiClientImplClass com.ibm.wsspi.ssl.WSPKIClient')
- Remplacez le certificat personnel par défaut du serveur. L'exemple de commande replaceCertificate suivant permet de remplacer le certificat personnel par défaut existant par le certificat personnel de CA qui vient d'être créé :
AdminTask.replaceCertificate('-keyStoreName CellDefaultKeyStore -certificateAlias defaultPersonalCertificate -replacementCertificateAlias newCertificate')
- Sauvegardez les modifications. Entrez l'exemple de commande suivante pour sauvegarder les modifications de configuration :
AdminConfig.save()
Résultats
Le certificat personnel par défaut du serveur est un certificat créé par une autorité de certification externe.
Que faire ensuite
Vous pouvez configurer le serveur d'applications pour utiliser ce type de certificat si la création de l'objet client CA a abouti.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=txml_7percert
Nom du fichier : txml_7percert.html