Gestion centrale des configurations SSL

Par défaut, les configurations SSL des serveurs sont gérées à partir d'un emplacement central dans la vue de la topologie de la console d'administration. Vous pouvez associer une configuration SSL et un alias de certificat avec une portée de gestion spécifique. Cette méthode est la plus efficace pour manipuler et modifier les configurations lorsque la topologie du serveur change.

Dans les éditions antérieures, les configurations SSL sont gérées pour chaque processus. Vous devez conserver des paramètres individuels pour chaque configuration SSL de la topologie. Dans la présente édition de WebSphere Application Server, le contrôle de la gestion de vos configurations SSL offre davantage de souplesse et d'options. Vous pouvez apporter des modifications générales à l'ensemble de la topologie au niveau de la cellule ou effectuer aussi des modifications plus localisées en spécifiant un nom de noeud particulier pour un processus de serveur d'applications spécifique. Etant donné que les associations de configuration SSL ont un comportement de type héritage, vous pouvez simplifier le nombre d'associations en référençant uniquement la portée de gestion de niveau le plus élevé qui nécessite une configuration unique.

La vue de topologie fournit le mécanisme de portée. La configuration SSL hérite sa portée, comme vous pouvez le constater lorsqu'elle s'affiche dans la topologie. La portée englobe le niveau auquel vous avez créé la configuration, ainsi que tous les niveaux inférieurs. Par exemple, lorsque vous créez une configuration SSL sur un noeud spécifique, celle-ci peut être visualisée par l'agent de noeud et par tous les serveurs d'applications faisant partie de ce noeud. Tout serveur d'applications ou noeud ne faisant pas partie de ce noeud ne peut pas visualiser cette configuration SSL.

Votre environnement de sécurité a une incidence sur des facteurs tels que l'unicité des configurations SSL ainsi que le placement des alias de certificat et de la configuration SSL dans la topologie. Vous pouvez aussi configurer plusieurs alias de certificat et configurations SSL pour les connexions entrantes par rapport aux connexions sortantes.

Pour configurer les topologies entrantes et sortantes (deux opérations distinctes dans la console d'administration), cliquez sur Sécurité > Gestion des certificats SSL et des clés > Gérer les configurations de sécurité du noeud final > Entrantes | Sortantes.

Configuration SSL par défaut gérée de manière centralisée

Il est plus facile de gérer les configurations SSL de manière centralisée dans la vue de topologie de la console d'administration, mais vous pouvez aussi utiliser l'outil de scriptage wsadmin dans AdminTasksIt pour gérer les configurations SSL.

L'élément de configuration du fichier security.xml peut être utilisé pour gérer les associations de configuration SSL. L'objet de configuration sslConfigGroup est le mécanisme utilisé pour associer un sens de connexion et une portée de gestion à une configuration SSL et alias de certificat spécifique. L'attribut de cellule sslConfigGroups par défaut possède une configuration prédéfinie de niveau cellule entrante et sortante pour chaque point de contact dont hérite la cellule. Etant donné que vous devez respecter les règles de priorité lors de la sélection des configurations SSL, reportez-vous à Sécuriser les communications en utilisant SSL (Secure Sockets Layer) avant de modifier les configurations à l'aide de l'outil de scriptage wsadmin.
<sslConfigGroups xmi:id="SSLConfigGroup_1" 
name="myhostCell01" direction="inbound" certificateAlias="default" 
sslConfig="SSLConfig_1" managementScope="ManagementScope_1"/>
<sslConfigGroups xmi:id="SSLConfigGroup_2" name="myhostCell01" 
direction="outbound" certificateAlias="default" sslConfig="SSLConfig_1" 
managementScope="ManagementScope_1"/>

<managementScopes xmi:id="ManagementScope_1" 
scopeName="(cell):myhostCell01" scopeType="cell"/>

Dans l'exemple de code précédent, l'attribut sslConfigGroups désigne la portée de gestion de la cellule. Dans cet exemple, si une autre portée a été prévue, la liste suivante indique l'ordre de priorité à respecter pour sélectionner les portées de gestion, du plus élevé au plus faible. A chaque fois qu'une portée de point de contact est définie, elle utilise la configuration SSL et l'alias de certificat.

Portée du point de contact
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1:(endpoint):ENDPOINT_NAME_IN_SERVERINDEX" 
scopeType="endpoint"/>
Portée du serveur
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01:(server):server1" scopeType="server"/>
Cluster
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(cluster):myCluster" scopeType="cluster"/>
Portée du noeud
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(node):myhostNode01" scopeType="node"/>
Portée du groupe de noeuds
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01:
(nodegroup):DefaultNodeGroup" scopeType="nodegroup"/>
Portée de la cellule
<managementScopes xmi:id="ManagementScope_1" scopeName="(cell):myhostCell01"
scopeType="cell"/>

Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcentralmanconfigs
Nom du fichier : csec_sslcentralmanconfigs.html