Création d'une configuration SSL (Secure Sockets Layer)

Les configurations SSL (Secure Sockets Layer) contiennent les attributs nécessaires au contrôle du comportement des noeuds finals SSL des clients et des serveurs. Les configurations SSL sont créées avec des noms uniques avec des portées de gestion données dans l'arborescence des communications entrantes et sortantes dans la topologie de configuration. Cette tâche explique comment définir des configurations SSL, notamment la qualité de la protection et les paramètres du gestionnaire de clés.

Avant de commencer

Vous devez décider du niveau (ou portée) auquel doit être définie une configuration SSL (la cellule, le groupe de noeuds, le noeud, le serveur, le cluster ou le noeud final, par exemple), du moins spécifique au plus spécifique. Lors de la définition d'une configuration SSL au niveau du noeud, par exemple, seuls les processus se trouvant au sein de ce noeud peuvent charger la configuration SSL. Tous les processus des noeuds finaux au sein de la cellule, toutefois, peuvent utiliser une configuration SSL au niveau de la cellule, soit plus haut dans la topologie.

Vous devez en outre décider de la portée à associer à la nouvelle configuration SSL suivant les processus affectés par la configuration. Une configuration SSL d'unité de chiffrement, par exemple, peut nécessiter un magasin de clés disponible uniquement sur un noeud donné, ou vous pouvez avoir besoin d'une configuration SSL pour une connexion à un hôte SSL et à un port particuliers. Pour plus d'informations, voir Sélection des connexions sortantes dynamiques des configurations SSL.

Eviter les incidents Eviter les incidents: Le fichier security.xml est restreint. Par conséquent, si vous devez le modifier, vérifiez que votre ID utilisateur dispose des autorisations pour le rôle administrateur. Si vous utilisez un ID utilisateur disposant des autorisations pour le rôle opérateur, vous pouvez exécuter une synchronisation de noeud, mais les modifications apportées au fichier security.xml ne sont pas synchronisées.gotcha

Pourquoi et quand exécuter cette tâche

Procédez comme suit dans la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité du noeud final.
  2. Sélectionnez un lien de configuration SSL dans l'arborescence des communications entrantes ou sortantes, suivant le processus que vous configurez.
    • Si la portée est déjà associée à une configuration et à un alias, l'alias de la configuration SSL et celui du certificat sont indiqués entre parenthèses.
    • Si les informations entre parenthèses ne sont pas incluses, la portée n'est pas associée. Elle hérite au lieu de cela des propriétés de configuration de la première portée précédente associée à un alias de configuration SSL et de certificat.
    La portée de la cellule doit être associée à une configuration SSL car elle se trouve en haut de la topologie et représente la configuration SSL par défaut pour la connexion entrante ou sortante.
  3. Cliquez sur Configurations SSL. Vous pouvez visualiser et sélectionner l'une des configurations SSL configurées à ce niveau. Vous pouvez également afficher et sélectionner ces configurations à tous les niveaux inférieurs de la topologie.
  4. Cliquez sur Nouveau pour afficher le panneau de configuration SSL. Les liens dans Propriétés supplémentaires ne peuvent pas être sélectionnés tant que vous n'entrez pas un nom de configuration et que vous ne cliquez pas sur Appliquer.
  5. Entrez un nom de configuration SSL. Cette zone est obligatoire. Le nom de configuration correspond à l'alias de configuration SSL. Le nom d'alias doit être unique dans la liste des alias de configuration SSL déjà créés au niveau sélectionné. La nouvelle configuration SSL utilise cet alias pour d'autres tâches de configuration.
  6. Sélectionnez un nom de magasin de relations de confiance dans la liste déroulante. Un nom de magasin de relations de confiance fait référence à un nom de magasin de relations de confiance donné qui contient des certificats de signataires qui valident la sécurité des certificats envoyés par des connexions distantes lors de l'établissement d'une liaison SSL. Si la liste ne contient aucun magasin de relations de confiance, voir Création d'une configuration de fichier de clés pour un fichier de clés existant pour en créer un dont le rôle est d'établir la confiance pendant la connexion.
  7. Sélectionnez un nom de magasin de relations de confiance dans la liste déroulante. Un magasin de clés contient les certificats personnels qui représentent l'identité d'un signataire et la clé privée utilisée par WebSphere Application Server pour chiffrer et signer les données.
    • Si vous changez le nom du magasin de clés, cliquez sur Obtenir des alias de certificat pour régénérer la liste des certificats dans laquelle vous pouvez choisir un alias par défaut. WebSphere Application Server utilise un alias de serveur pour les connexions entrantes et un alias client pour les connexions sortantes.
    • Si la liste ne contient aucun magasin de clés, voir Création d'une configuration de fichier de clés pour un fichier de clés existant pour en créer un.
  8. Choisissez un alias de certificat serveur par défaut pour les connexions entrantes. Sélectionnez la valeur par défaut uniquement lorsque vous n'avez pas défini d'alias de configuration SSL à un autre emplacement et que vous n'avez pas sélectionné un alias de certificat. Une arborescence de la configuration SSL gérée de façon centrale peut remplacer l'alias par défaut. Pour plus d'informations, voir Gestion centrale des configurations SSL.
  9. Choisissez un alias de certificat client par défaut pour les connexions sortantes. Sélectionnez la valeur par défaut uniquement lorsque la configuration SSL serveur définit une authentification client SSL.
  10. Passez en revue la portée de la gestion de la configuration SSL identifiée. Rendez la portée de la gestion figurant dans cette zone identique au lien sélectionné à l'étape 2. Pour changer la portée, cliquez sur un autre lien dans l'arborescence de la topologie et passez à l'étape 3.
  11. Cliquez sur Appliquer si vous souhaitez configurer des propriétés supplémentaires. Sinon, passez à l'étape 24.
  12. Cliquez sur Paramètres de la qualité de protection (QoP). Ces paramètres définissent la force du chiffrement SSL, l'intégrité du signataire et l'authenticité du certificat.
  13. Sélectionnez un paramètre d'authentification client pour établir une configuration SSL pour les connexions entrantes et les clients pour envoyer leurs certificats, le cas échéant.
    • Si vous sélectionnez Aucun, le serveur ne demande pas au client d'envoyer un certificat lors de l'établissement de la connexion.
    • Si vous sélectionnez Pris en charge, le serveur demande qu'un client envoie un certificat. Si toutefois le client ne possède pas de certificat, la connexion peut tout de même aboutir.
    • Si vous sélectionnez Requis, le serveur demande qu'un client envoie un certificat. Si toutefois le client ne possède pas de certificat, la connexion échoue.
    Important : Le certificat de signataire qui représente le client doit se trouver dans le magasin des relations de confiance sélectionné pour la configuration SSL. Par défaut, les serveurs qui se trouvent dans la même cellule se font confiance car ils utilisent le magasin de relations de confiance commun, trust.p12, résidant dans le répertoire de la cellule du référentiel de la configuration. Si toutefois vous utilisez des magasins de clés et des magasins de relations de confiance que vous créez, procédez à un échange de signataire avant de sélectionner Pris en charge ou Requis.
  14. Sélectionnez un protocole l'établissement de liaison SSL.
    • Le protocole par défaut, SSL_TLS, prend en charge les protocoles client TLSv1 et SSLv3.
    • Le protocole TLSv1 prend en charge les protocoles TLS et TLSv1. La connexion au serveur SSL doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
    • SSLv2
    • SSLv3
    • Le protocole SSLv3 prend en charge SSL et SSLv3. La connexion au serveur SSL doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
    • TLS est TLSv1
    • TLSv1
    • SSL_TLSv2 est SSLv3 et TLSv1, TLSv1.1, TLSv1.2
    • TLSv1.1
    • TLSv1.2
    Important : N'utilisez pas le protocole SSLv2 pour la connexion au serveur SSL. Utilisez-le uniquement lorsque c'est nécessaire côté client.
  15. Sélectionnez l'une des options suivantes :
    • Un fournisseur JSSE (Java™ Secure Socket Extension) prédéfini. Il est recommandé d'utiliser le fournisseur IBMJSSE2 sur toutes les plateformes qui le prennent en charge. Il doit obligatoirement être utilisé par la structure de canaux SSL. Lorsque FIPS (Federal Information Processing Standard) est activé, IBMJSSE2 est utilisé en association avec le fournisseur de chiffrement IBMJCEFIPS.
    • Fournisseur JSSE personnalisé. Entrez un nom de fournisseur dans la zone Fournisseur personnalisé.
  16. Sélectionnez parmi les groupes d'algorithmes de chiffrement suivants :
    • Fort : WebSphere Application Server peut exécuter des algorithmes de confidentialité 128-bit pour le chiffrement et prendre en charge des algorithmes de signature d'intégrité. Un algorithme de cryptographie fort peut toutefois nuire aux performances de la connexion.
    • Moyen : WebSphere Application Server peut exécuter des algorithmes de chiffrement 40-bit pour le chiffrement et prendre en charge des algorithmes de signature d'intégrité.
    • Faible : WebSphere Application Server peut prendre en charge des algorithmes de signature d'intégrité mais pas procéder au chiffrement. Sélectionnez cette option avec prudence car les mots de passe et autres informations sensibles en transit sur le réseau sont alors détectables par un sniffer de protocole IP.
    • Personnalisé : vous pouvez sélectionner des codes de chiffrement particuliers. Chaque fois que vous modifiez un code de chiffrement répertorié dans un groupe d'algorithmes de chiffrement donné, la valeur Personnalisé est associée au nom de groupe.
  17. Cliquez sur Mettre à jour les codes de chiffrement sélectionnés pour afficher la liste des codes de chiffrement disponibles pour chaque taux de chiffrement.
  18. Cliquez sur OK pour revenir au nouveau panneau de configuration SSL.
  19. Cliquez sur Gestionnaires de clés et de relations de confiance.
  20. Sélectionnez un gestionnaire de relations de confiance par défaut pour la décision sécurisée de connexion SSL primaire.
    • Choisissez IbmPKIX lorsque vous avez besoin de la vérification CRL (certificate revocation list) à l'aide des points de distribution CRL dans les certificats ou du protocole OCSP (online certificate status protocol).
    • Choisissez IbmX509 lorsque vous n'avez pas besoin de la vérification CRL mais que vous devez améliorer les performances. Vous pouvez configurer un gestionnaire de relations de confiance par défaut pour effectuer la vérification CRL si nécessaire.
  21. Définissez un gestionnaire de relations de confiance personnalisé, le cas échéant. Vous pouvez définir un gestionnaire de relations de confiance personnalisé qui s'exécute en même temps que le gestionnaire de relations de confiance personnalisé par défaut sélectionné. Le gestionnaire de relations de confiance personnalisé doit mettre en oeuvre l'interface JSSE javax.net.ssl.X509TrustManager et éventuellement l'interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo pour obtenir des informations spécifiques du produit.
    1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité du noeud final > configuration_SSL > Gestionnaires de clés et de relations de confiance > Gestionnaires de relations de confiance > Nouveau.
    2. Entrez un nom de gestionnaire de relations de confiance unique.
    3. Sélectionnez l'option Personnalisé.
    4. Entrez un nom de classe.
    5. Cliquez sur OK. Lorsque vous repassez au panneau Gestionnaires de clés et de relations de confiance, le nouveau gestionnaire de confiance apparaît dans la zone Gestionnaires de relations de confiance ordonnés supplémentaires. Utilisez les zones de liste pour ajouter et retirer des gestionnaires de relations de confiance personnalisés.
  22. Sélectionnez un gestionnaire de clés pour la configuration SSL. Par défaut, IbmX509 est le seul gestionnaire de clés, à moins que vous n'en génériez un autre.
    Important : La mise en oeuvre votre propre gestionnaire de clés peut nuire au comportement de sélection des alias car le gestionnaire de clés est responsable de la sélection des alias de certificat à partir du magasin de clés. Le gestionnaire de clés personnalisé peut ne pas interpréter la configuration SSL comme le fait le gestionnaire de clés WebSphere Application Server IbmX509. Pour définir un gestionnaire de clés personnalisé, cliquez sur Sécurité > Communications sécurisées > Configurations SSL >configuration_SSL > Gestionnaires de clés et de relations de confiance > Gestionnaires de clés > Nouveau.
  23. Cliquez sur OK pour enregistrer les paramètres du gestionnaire de clés et de relations de confiance et revenir au panneau de la nouvelle configuration SSL.
  24. Cliquez sur Sauvegarder pour enregistrer la nouvelle configuration SSL.

Résultats

Important : Vous pouvez remplacer le gestionnaire de relations de confiance par défaut lorsque vous configurez au moins un gestionnaire de relations de confiance personnalisé et que vous associez la valeur true à la propriété com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined. Cliquez sur Propriété personnalisée dans le panneau de configuration SSL. Si toutefois vous modifiez la valeur par défaut, vous laissez toutes les décisions sécurisées au gestionnaire de relations de confiance personnalisé, ce qui n'est pas recommandé en environnement de production. En environnement de test, utilisez un gestionnaire de relations de confiance factice afin d'éviter la validation de certificats. N'oubliez pas que ces environnements ne sont pas sécurisés.

Que faire ensuite

Dans cette version de WebSphere Application Server, vous pouvez associer des configurations SSL avec des protocoles selon l'une des méthodes suivantes :

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfiguration
Nom du fichier : tsec_sslconfiguration.html