Activation de l'authentification client SSL (Secure Sockets Layer) pour un noeud final de communication entrante précis

Lorsque vous établissez une configuration SSL (Secure Sockets Layer), vous pouvez activer l'authentification client pour un noeud final de communication entrante particulier.

Avant de commencer

La configuration du noeud final doit déjà exister dans la topologie SSL.

Pourquoi et quand exécuter cette tâche

Procédez comme suit dans la console d'administration :

Procédure

  1. Cliquez sur Sécurité > Gestion des certificats SSL et des clés > Gérer les configurations de sécurité du noeud final > > Communication entrante > configuration_SSL. Si vous souhaitez activer l'authentification client SSL pour tous les processus, définissez une configuration SSL pour le nouveau noeud final au niveau du noeud ou de la cellule afin qu'il soit visible par tous les processus du même noeud ou de l'ensemble de la cellule. Pour plus d'informations, voir Création d'une configuration SSL (Secure Sockets Layer).
  2. Sélectionnez Substituer des valeurs héritées. La configuration SSL est utilisée pour la portée en cours et toutes les portées inférieures qui n'ont pas encore désigné de configuration SSL. Cette zone s'affiche pour les groupes de serveurs et de noeuds dans la hiérarchie de l'objet, mais pas pour le noeud ou la cellule du niveau le plus élevé.
  3. Sélectionnez une configuration SSL dans la liste déroulante.
  4. Cliquez sur Mettre à jour la liste des alias de certificat.
  5. Sélectionnez un Alias de certificat dans la liste déroulante.
  6. Cliquez sur OK pour sauvegarder la configuration.

Résultats

Vous pouvez répéter les étapes précédentes avec chaque noeud final utilisant la configuration SSL pour activer l'authentification client des noeuds finaux de communications entrantes.

Que faire ensuite

Exception du protocole CSIv2 :

Les noeuds finaux sécurisés CSIv2 (Common Secure Interoperability version 2), utilisés pour la sécurité RMI/IIOP (Remote Method Invocation over the Internet Inter-ORB Protocol) ne peuvent pas se substituer aux valeurs héritées. Alors que les autres propriétés SSL sont effectives pour CSIv2 lorsqu'elles sont sélectionnées dans la sous-fenêtre Communications sécurisées, gérées centralement, la sélection de l'authentification client est contrôlée par la configuration de protocole CSIv2.

Pour activer l'authentification de certificats client SSL pour le protocole CSIv2, utilisez les sous-fenêtres d'authentification des communications entrantes et sortantes CSIv2. Pour que l'authentification client SSL se produise entre deux serveurs, vous devez activer (Pris en charge ou Requis) l'authentification de certificat client SSL pour les règles entrantes et sortantes.

WebSphere Application Server peut soit demander (solution prise en charge) aux clients de fournir des certificats de signataires pour l'établissement de liaison SSL, soit leur imposer de fournir un certificat de signataire valide, ce qui est plus sûr. Toutefois, lorsque le serveur requiert des certificats, il doit obtenir un signataire pour chaque client se connectant au serveur, ce qui implique davantage de gestion côté serveur.

Le certificat client ne doit pas être utilisé pour l'identité lorsqu'il est utilisé de serveur à serveur. Toutefois, lorsqu'un client pur envoie le certificat client, ce dernier est utilisé pour l'identité sauf si une identité de niveau de message est indiquée, telle qu'un ID utilisateur ou un mot de passe.

Pour activer l'authentification de certificats client pour le protocole CSIv2 avec une utilisation serveur-vers-serveur, procédez comme suit :
  1. Cliquez sur Sécurité > Sécurité globale.
  2. Développez la section de sécurité RMI/IIOP.
  3. Cliquez sur Authentification des communications entrantes CSIv2.
  4. Dans Authentification des clients, sélectionnez pris en charge ou requis. Si vous sélectionnez Requis, un seul port SSL est ouvert (CSV2_SSL_MUTUALAUTH_LISTENER_ADDRESS). Si vous sélectionnez Pris en charge, deux ports SSL sont ouverts (CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS et CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS).

    En présence de deux ports, le client peut sélectionner l'un ou l'autre en fonction de la règle de configuration de sécurité du port.

  5. Cliquez sur OK pour sauvegarder.
  6. Si vous souhaitez l'authentification client SSL serveur-vers-serveur, suivez le reste de la procédure. Si vous n'effectuez pas ces étapes restantes, seuls les clients purs sont activés pour envoyer des certificats client.
  7. Développez la section de sécurité RMI/IIOP.
  8. Cliquez sur Authentification des communications sortantes CSIv2.
  9. Dans Authentification des clients, sélectionnez pris en charge ou requis.

La configuration SSL des noeuds finaux sécurisés de communications entrantes pour lesquels vous activez l'authentification de certificat client SSL doit avoir le certificat de signataire de tout client tentant d'établir une connexion avec ces noeuds finaux. Vous devez collecter ces signataires, puis les ajouter au magasin sécurisé associé à la configuration SSL des noeuds finaux sécurisés de communications entrantes.


Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslclientauthinbound
Nom du fichier : tsec_sslclientauthinbound.html