Les configurations SSL (Secure Sockets Layer) contiennent les attributs nécessaires
au contrôle du comportement des noeuds finals SSL des clients et des serveurs.
Les configurations
SSL sont créées avec des noms uniques avec des portées de gestion données dans l'arborescence des
communications entrantes et sortantes dans la topologie de configuration.
Cette tâche explique
comment définir des configurations SSL, notamment la qualité de la protection et les paramètres
du gestionnaire de clés.
Avant de commencer
Vous devez décider du niveau (ou portée) auquel doit être définie une configuration SSL
(la cellule, le groupe de noeuds, le noeud, le serveur, le cluster ou le noeud final, par exemple),
du moins spécifique au plus spécifique.
Lors de la définition d'une configuration SSL au niveau du
noeud, par exemple, seuls les processus se trouvant au sein de ce noeud peuvent charger la
configuration SSL. Tous les processus des noeuds finaux au sein de la cellule, toutefois, peuvent
utiliser une configuration SSL au niveau de la cellule, soit plus haut dans la topologie.
Vous
devez en outre décider de la portée à associer à la nouvelle configuration SSL suivant les
processus affectés par la configuration. Une configuration SSL d'unité de chiffrement, par exemple, peut nécessiter un magasin de clés
disponible uniquement sur un noeud donné, ou vous pouvez avoir besoin d'une configuration SSL
pour une connexion à un hôte SSL et à un port particuliers. Pour plus d'informations, voir Sélection des connexions sortantes dynamiques des configurations SSL.
Eviter les incidents: Le fichier security.xml est restreint.
Par conséquent, si vous devez le modifier, vérifiez que votre ID utilisateur dispose des autorisations pour le rôle administrateur. Si vous utilisez un ID utilisateur disposant des autorisations pour le rôle opérateur, vous pouvez exécuter une synchronisation de noeud, mais les modifications apportées au fichier security.xml ne sont pas synchronisées.
gotcha
Pourquoi et quand exécuter cette tâche
Procédez comme suit dans la console d'administration :
Procédure
- Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité du noeud final.
- Sélectionnez un lien de configuration SSL dans l'arborescence des communications entrantes ou
sortantes, suivant le processus que vous configurez.
- Si la portée est déjà associée à une configuration et à un alias, l'alias de la
configuration SSL et celui du certificat sont indiqués entre parenthèses.
- Si les informations entre parenthèses ne sont pas incluses, la portée n'est pas associée. Elle
hérite au lieu de cela des propriétés de configuration de la première portée précédente associée
à un alias de configuration SSL et de certificat.
La portée de la cellule doit être associée à une configuration SSL car elle se trouve
en haut de la topologie et représente la configuration SSL par défaut pour la connexion entrante
ou sortante.
- Cliquez sur Configurations SSL. Vous pouvez
visualiser et sélectionner l'une des configurations SSL configurées à ce niveau. Vous pouvez
également afficher et sélectionner ces configurations à tous les niveaux inférieurs de la
topologie.
- Cliquez sur Nouveau pour afficher le panneau de configuration SSL. Les liens dans Propriétés supplémentaires ne peuvent pas être sélectionnés tant que vous n'entrez pas un nom de configuration et que vous ne cliquez
pas sur Appliquer.
- Entrez un nom de configuration SSL. Cette zone est obligatoire. Le nom de configuration correspond à l'alias de configuration SSL. Le nom d'alias doit être unique
dans la liste des alias de configuration SSL déjà créés au niveau sélectionné. La nouvelle
configuration SSL utilise cet alias pour d'autres tâches de configuration.
- Sélectionnez un nom de magasin de relations de confiance dans la liste déroulante. Un
nom de magasin de relations de confiance fait référence à un nom de magasin de relations de
confiance donné qui contient des certificats de signataires qui valident la sécurité des
certificats envoyés par des connexions distantes lors de l'établissement d'une liaison SSL. Si
la liste ne contient aucun magasin de relations de confiance, voir Création d'une configuration de fichier de clés pour un fichier de clés existant pour en créer un dont le rôle est d'établir la confiance pendant la
connexion.
- Sélectionnez un nom de magasin de relations de confiance dans la liste déroulante. Un magasin de clés contient les certificats personnels qui représentent l'identité d'un
signataire et la clé privée utilisée par
WebSphere
Application Server pour chiffrer et signer les données.
- Si vous changez le nom du magasin de clés, cliquez sur Obtenir des alias de certificat
pour régénérer la liste des certificats dans laquelle vous pouvez choisir un alias par défaut. WebSphere
Application Server utilise un alias de serveur pour les connexions entrantes et un alias
client pour les connexions sortantes.
- Si la liste ne contient aucun magasin de clés, voir Création d'une configuration de fichier de clés pour un fichier de clés existant pour en créer un.
- Choisissez un alias de certificat serveur par défaut pour les connexions entrantes. Sélectionnez la valeur par défaut uniquement lorsque vous n'avez pas défini d'alias de
configuration SSL à un autre emplacement et que vous n'avez pas sélectionné un alias de certificat. Une
arborescence de la configuration SSL gérée de façon centrale peut remplacer l'alias par défaut. Pour plus d'informations, voir
Gestion centrale des configurations SSL.
- Choisissez un alias de certificat client par défaut pour les connexions sortantes. Sélectionnez la valeur par défaut uniquement lorsque la configuration SSL serveur
définit une authentification client SSL.
- Passez en revue la portée de la gestion de la configuration SSL identifiée. Rendez la portée de la gestion figurant dans cette zone identique au lien sélectionné à l'étape 2. Pour changer la portée, cliquez sur un autre lien dans l'arborescence de la topologie et passez à l'étape 3.
- Cliquez sur Appliquer si vous souhaitez configurer des propriétés supplémentaires. Sinon, passez à l'étape 24.
- Cliquez sur Paramètres de la qualité de protection (QoP). Ces paramètres définissent la force du chiffrement SSL, l'intégrité
du signataire et l'authenticité du certificat.
- Sélectionnez un paramètre d'authentification client pour établir une configuration SSL
pour les connexions entrantes et les clients pour envoyer leurs certificats, le cas échéant.
- Si vous sélectionnez Aucun, le serveur ne demande pas au client d'envoyer un
certificat lors de l'établissement de la connexion.
- Si vous sélectionnez Pris en charge, le serveur demande qu'un client envoie un
certificat. Si toutefois le client ne possède pas de certificat, la connexion peut tout de même
aboutir.
- Si vous sélectionnez Requis, le serveur demande qu'un client envoie un
certificat. Si toutefois le client ne possède pas de certificat, la connexion échoue.
Important : Le certificat de signataire qui représente le client doit se trouver
dans le magasin des relations de confiance sélectionné pour la configuration SSL.
Par défaut, les
serveurs qui se trouvent dans la même cellule se font confiance car ils utilisent le magasin de
relations de confiance commun, trust.p12, résidant dans le répertoire de la cellule du référentiel
de la configuration. Si toutefois vous utilisez des magasins de clés et des magasins de relations
de confiance que vous créez, procédez à un échange de signataire avant de sélectionner
Pris en charge ou Requis.
- Sélectionnez un protocole l'établissement de liaison SSL.
- Le protocole par défaut, SSL_TLS, prend en charge les protocoles client TLSv1 et SSLv3.
- Le protocole TLSv1 prend en charge les protocoles TLS et TLSv1. La connexion au serveur SSL
doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
- SSLv2
- SSLv3
- Le protocole SSLv3 prend en charge SSL et SSLv3. La connexion au serveur SSL
doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
- TLS est TLSv1
- TLSv1
- SSL_TLSv2 est SSLv3 et TLSv1, TLSv1.1, TLSv1.2
- TLSv1.1
- TLSv1.2
Important : N'utilisez pas le protocole SSLv2 pour la connexion au serveur SSL. Utilisez-le
uniquement lorsque c'est nécessaire côté client.
- Sélectionnez l'une des options suivantes :
- Un fournisseur JSSE (Java™ Secure Socket Extension) prédéfini. Il est recommandé d'utiliser le fournisseur IBMJSSE2 sur toutes les plateformes qui le prennent en charge. Il doit obligatoirement être utilisé par la structure de canaux SSL. Lorsque FIPS (Federal Information Processing Standard) est activé, IBMJSSE2 est utilisé en association avec le fournisseur de chiffrement IBMJCEFIPS.
- Fournisseur JSSE personnalisé. Entrez un nom de fournisseur dans la zone Fournisseur
personnalisé.
- Sélectionnez parmi les groupes d'algorithmes de chiffrement suivants :
- Fort : WebSphere Application Server peut exécuter des algorithmes de
confidentialité 128-bit pour le chiffrement et prendre en charge des algorithmes de
signature d'intégrité. Un
algorithme de cryptographie fort peut toutefois nuire aux performances de la connexion.
- Moyen : WebSphere Application Server peut exécuter des algorithmes de chiffrement
40-bit pour le chiffrement et prendre en charge des algorithmes de signature d'intégrité.
- Faible : WebSphere Application Server peut prendre en charge des algorithmes
de signature d'intégrité mais pas procéder au chiffrement.
Sélectionnez cette option avec prudence
car les mots de passe et autres informations sensibles en transit sur le réseau sont alors
détectables par un sniffer de protocole IP.
- Personnalisé : vous pouvez sélectionner des codes de chiffrement particuliers. Chaque fois que vous
modifiez un code de chiffrement répertorié dans un groupe d'algorithmes de chiffrement donné,
la valeur Personnalisé est associée au nom de groupe.
- Cliquez sur Mettre à jour les codes de chiffrement sélectionnés pour afficher la
liste des codes de chiffrement disponibles pour chaque taux de chiffrement.
- Cliquez sur OK pour revenir au nouveau panneau de configuration SSL.
- Cliquez sur Gestionnaires de clés et de relations de confiance.
- Sélectionnez un gestionnaire de relations de confiance par défaut pour la décision
sécurisée de connexion SSL primaire.
- Choisissez IbmPKIX lorsque vous avez besoin de la vérification CRL (certificate
revocation list) à l'aide des points de distribution CRL dans les certificats ou du protocole
OCSP (online certificate status protocol).
- Choisissez IbmX509 lorsque vous n'avez pas besoin de la vérification CRL mais que vous
devez améliorer les performances. Vous pouvez configurer un gestionnaire de relations de confiance
par défaut pour effectuer la vérification CRL si nécessaire.
- Définissez un gestionnaire de relations de confiance personnalisé, le cas échéant. Vous
pouvez définir un gestionnaire de relations de confiance personnalisé qui s'exécute en même temps
que le gestionnaire de relations de confiance personnalisé par défaut sélectionné. Le gestionnaire
de relations de confiance personnalisé doit mettre en oeuvre l'interface JSSE
javax.net.ssl.X509TrustManager et éventuellement l'interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo
pour obtenir des informations spécifiques du produit.
- Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité du noeud final >
configuration_SSL > Gestionnaires de clés et de relations de confiance > Gestionnaires de relations de confiance > Nouveau.
- Entrez un nom de gestionnaire de relations de confiance unique.
- Sélectionnez l'option Personnalisé.
- Entrez un nom de classe.
- Cliquez sur OK. Lorsque vous repassez au panneau Gestionnaires de
clés et de relations de confiance, le nouveau gestionnaire de confiance apparaît dans la zone
Gestionnaires de relations de confiance ordonnés supplémentaires. Utilisez les zones de liste pour ajouter et retirer des gestionnaires de
relations de confiance personnalisés.
- Sélectionnez un gestionnaire de clés pour la configuration SSL. Par défaut,
IbmX509 est le seul gestionnaire de clés, à moins que vous n'en génériez un autre.
Important : La mise en oeuvre votre propre gestionnaire de clés peut nuire au
comportement de sélection des alias car le gestionnaire de clés est responsable de la sélection
des alias de certificat à partir du magasin de clés. Le gestionnaire de clés personnalisé
peut ne pas interpréter la configuration SSL comme le fait le gestionnaire de clés
WebSphere
Application Server IbmX509. Pour définir un gestionnaire de clés personnalisé, cliquez sur Sécurité > Communications sécurisées > Configurations SSL >configuration_SSL > Gestionnaires de clés et de relations de confiance > Gestionnaires de clés > Nouveau.
- Cliquez sur OK pour enregistrer les paramètres du gestionnaire de clés et de
relations de confiance et revenir au panneau de la nouvelle configuration SSL.
- Cliquez sur Sauvegarder pour enregistrer la nouvelle configuration SSL.
Résultats
Important : Vous pouvez remplacer le gestionnaire de relations de confiance par
défaut lorsque vous configurez au moins un gestionnaire de relations de confiance personnalisé et
que vous associez la valeur true à la propriété com.ibm.ssl.skipDefaultTrustManagerWhenCustomDefined. Cliquez
sur Propriété personnalisée dans le panneau de configuration SSL. Si toutefois vous modifiez
la valeur par défaut, vous laissez toutes les décisions sécurisées au gestionnaire de relations
de confiance personnalisé, ce qui n'est pas recommandé en environnement de production. En
environnement de test, utilisez un gestionnaire de relations de confiance
factice afin d'éviter la validation de certificats. N'oubliez pas que ces environnements ne sont pas sécurisés.
Que faire ensuite
Dans cette version de WebSphere Application Server, vous pouvez associer des configurations
SSL avec des protocoles selon l'une des méthodes suivantes :