[z/OS]

Utilisation des fichiers de clés SAF (System Authorization Facility) avec Java Secure Sockets Extension

Les clients WebSphere Application Server for z/OS qui exécutent le serveur W50100x ou version ultérieure avec le JDK (Java™ Development Kit) 1.3 niveau SR20 ou ultérieur, peuvent modifier leurs systèmes WebSphere Application Server afin d'utiliser SAF (System Authorization Facility) pour JSSE (Java Secure Sockets Extension) ainsi que SSL (Secure Sockets Layer), ce qui évite de conserver des certificats en double dans le système HFS (Hierarchical File System).

Avant de commencer

Lorsque WebSphere Application Server for z/OS était exécuté à des niveaux de maintenance antérieurs au niveau W502000 il stockait les informations de certificats numériques à deux endroits différents en raison des restrictions SDK (Software Development Kit) suivantes :
  • JSSE utilisait les certificats numériques stockés dans des fichiers HFS
  • SSL utilisait des informations de certificats numériques stockées dans la base de données SAF
Les systèmes personnalisés au niveau W502000 ou ultérieur utilisent le référentiel de certificats numériques SAP par défaut unique et n'ont pas besoin d'effectuer les modifications ci-après.

Pourquoi et quand exécuter cette tâche

Les clients WebSphere Application Server for z/OS qui exécutent le serveur W50100x ou version ultérieure avec JDK (Java Development Kit) 1.3 niveau SR20 ou ultérieur peuvent modifier leurs systèmes WebSphere Application Server afin d'utiliser SAF pour JSSE ainsi que SSL (ce qui évite de conserver des certificats en double dans le système de fichiers HFS). Les instructions suivantes expliquent comment activer cette prise en charge.
Remarque : Les systèmes personnalisés à des niveaux de maintenance de version W502000 ou ultérieure utilisent le référentiel de certificats numériques SAF par défaut unique et n'ont pas besoin d'apporter les modifications ci-après.

Pour utiliser les certificats SAF avec JSSE :

Procédure

  1. Mettez à jour les paramètres de connecteur JMX (Java Management Extensions) pour indiquer les noms de fichiers de clés SAF du noeud.
    1. Ouvrez une session sur la console d'administration à l'aide d'une identité disposant des droits d'administrateur.
    2. Cliquez sur Serveurs > Serveurs d'applications > nom_serveur.
    3. Dans la section Infrastructure du serveur, cliquez sur Administration > Services d'administration.
    4. Dans la section Propriétés supplémentaires, cliquez sur Connecteurs JMX.
    5. Dans la sous-fenêtre Connecteurs JMX, cliquez sur Connecteur SOAP.
    6. Sous Propriétés supplémentaires, cliquez sur Propriétés personnalisées.
    7. Dans la page Propriétés personnalisées, cliquez sur sslConfig.
    8. Dans la page sslConfig, observez la zone Valeur. Vérifiez que cette zone indique nom_noeud/DefaultSSLSettings, où nom_noeud correspond au nom du noeud sur lequel le serveur d'applications réside. Notez ce nom de noeud pour pouvoir l'utiliser dans une étape suivante.
    9. Sélectionnez nom_noeud/RACFJSSESettings dans la liste en regard de la zone Valeur, nom_noeud étant identique au nom de noeud que vous avez noté précédemment.
    10. Cliquez sur OK. La page Propriétés personnalisées apparaît avec un message indiquant que les modifications sont apportées à la configuration locale. Ne cliquez pas encore sur Sauvegarder car des modifications supplémentaires vont être nécessaires.
  2. Cliquez sur Serveurs > Serveurs d'applications et répétez les étapes précédentes pour chacun des autres serveurs d'applications de la cellule.
  3. Mettez à jour les paramètres de connecteur JMX (Java Management Extensions) pour indiquer les noms de fichiers de clés SAF du noeud du gestionnaire de déploiement.
    1. Cliquez sur Administration du système > Gestionnaire de déploiement.
    2. Dans Propriétés supplémentaires, cliquez sur Services d'administration > Connecteurs JMX.
    3. Dans la sous-fenêtre Connecteurs JMX, cliquez sur Connecteur SOAP.
    4. Sous Propriétés supplémentaires, sélectionnez Propriétés personnalisées.
    5. Dans la page Propriétés personnalisées, cliquez sur sslConfig.
    6. Dans la page sslConfig, observez la zone Valeur. Elle contient noeud_gd/DefaultSSLSettings, noeud_gd correspondant au nom du noeud du gestionnaire de déploiement. Notez ce nom de noeud pour pouvoir l'utiliser dans une étape suivante.
    7. Sélectionnez noeud_gd/RACFJSSESettings dans la liste en regard de la zone Valeur, noeud_gd correspondant au nom du noeud du gestionnaire de déploiement.
    8. Cliquez sur OK. Après un court délai, la page Propriétés personnalisées apparaît : elle affiche un message qui indique que les modifications ont été apportées dans votre configuration locale. Ne cliquez pas sur Sauvegarder à ce stade car il reste encore des modifications à apporter.
  4. Mettez à jour les paramètres de connecteur JMX (Java Management Extensions) pour indiquer les noms de fichiers de clés SAF de l'agent de noeud.
    1. Cliquez sur Administration du système > Agents de noeud > nom_noeud. Notez ce nom d'agent de noeud pour l'étape suivante.
    2. Dans Propriétés supplémentaires, cliquez sur Services d'administration > Connecteurs JMX.
    3. Dans la sous-fenêtre Connecteurs JMX, cliquez sur Connecteur SOAP.
    4. Sous Propriétés supplémentaires, sélectionnez Propriétés personnalisées.
    5. Dans la page Propriétés personnalisées, cliquez sur sslConfig.
    6. Dans la page sslConfig, observez la zone Valeur. Elle contient nom_noeud/DefaultSSLSettings, nom_noeud correspondant au nom du noeud sur lequel l'agent de noeud réside. Notez ce nom de noeud pour pouvoir l'utiliser dans une étape suivante.
    7. Sélectionnez nom_noeud/RACFJSSESettings dans la liste en regard de la zone Valeur, nom_noeud correspondant au nom de noeud que vous avez noté précédemment.
    8. Cliquez sur OK. La page Propriétés personnalisées apparaît avec un message indiquant que les modifications ont été apportées à la configuration locale. Ne cliquez pas sur Sauvegarder à ce stade car il reste encore des modifications à apporter.
  5. Cliquez sur Administration du système > Agents de noeud et répétez les étapes précédentes pour chacun des autres serveurs d'agents de noeud de la cellule.
  6. Cliquez sur Sauvegarder une fois qu'un message du type Des modifications ont été apportées à la configuration locale. Cliquez sur Sauvegarder pour appliquer les modifications à la configuration maître s'affiche.
  7. Dans la page Sauvegarder, sélectionnez l'option Synchroniser les modifications avec les noeuds, puis cliquez sur Sauvegarder. Une fois les modifications sauvegardées, la page d'accueil de la console d'administration réapparaît.
  8. Mettez à jour le fichier soap.client.props situé dans le répertoire racine_profil/properties pour indiquer que les noms de fichiers de clés SAF sont appropriés pour votre configuration. Le fichier soap.client.props est utilisé par le script wsadmin.sh et se trouve dans le fichier (racine.install.utilisateur)/properties du serveur d'applications ou du gestionnaire de déploiement. Le but du fichier soap.client.props est de définir les valeurs utilisées par les clients SOAP, telles que wsadmin.sh. Dans une cellule configurée avant WebSphere Application Server for z/OS avec niveau de maintenance W502000, le fichier soap.client.props indique les noms des fichiers de clés Java utilisés par JSSE. Une fois que votre cellule utilise les fichiers de clés SAF pour l'administration JSSE, vérifiez que ces fichiers de clés sont utilisés pour les clients SOAP.

    Le fichier soap.client.props est utilisé par le script wsadmin.sh.

    Les modifications de fichiers de clés SAF de client wsadmin requièrent celle du fichier soap.client.props et la création d'un fichier de clés pour les administrateurs. Définissez les valeurs suivantes :
    com.ibm.ssl.protocol=SSL
    com.ibm.ssl.keyStoreType=JCERACFKS
    com.ibm.ssl.keyStore=safkeyring:///nom_fichierdeclés
    com.ibm.ssl.keyStorePassword=password
    com.ibm.ssl.trustStoreType=JCERACFKS
    com.ibm.ssl.trustStore=safkeyring:///nom_fichierdeclés
    com.ibm.ssl.trustStorePassword=password
    =

    La valeur de mot de passe indiquée ne correspond pas à un mot de passe réel étant donné que vous pouvez utiliser le mot de passe de votre choix. Remplacez la chaîne nom_fichierdeclés par le nom du fichier de clés SAF d'administration. Le nom du fichier de clés utilisé par tous les administrateurs WebSphere et l'ID utilisateur de tâche démarrée par l'administrateur (par défaut, WSADMSH) doivent être identiques. De plus, un fichier de clés doit être créé pour chaque utilisateur se servant du fichier wsadmin.sh avec le connecteur SOAP lorsque l'utilisation des fichiers de clés SAF et de la sécurité sont activées. (Un fichier de clés est créé par le processus de personnalisation pour votre ID administrateur, tel que WSADMIN.)

    Pour savoir comment créer des fichiers de clés pour les administrateurs dans SAF, voir Sécurité SSL à l'attention des administrateurs WebSphere Application Server.

  9. Recyclez la cellule.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_racfjssekeyringzos
Nom du fichier : tsec_racfjssekeyringzos.html