Sécurisation des connexions de l'adaptateur de ressources et client JMS

Il existe deux faons de configurer Secure Sockets Layer (SSL) pour Thin Client for JMS avec WebSphere Application Server et Resource Adapter for JMS avec WebSphere Application Server. La configuration globale a un impact sur toutes les connexions sortantes autonomes du processus tandis que l'approche privée ne s'applique qu'aux connexions client ou d'adaptateur de ressources depuis le processus.

Pourquoi et quand exécuter cette tâche

Thin Client for JMS avec WebSphere Application Server et Resource Adapter for JMS avec WebSphere Application Server utilisent l'extension JSSE (Java™ Secure Socket Extension) que tous les JRE pris en charge fournissent pour établir des connexions SSL (Secure Sockets Layer) sécurisées. Pour des informations sur JSSE, consultez la documentation JSSE.

La configuration globale utilise les propriétés globales du JRE et a un impact sur toutes les connexions SSL sortantes initiées par votre application. Dans le cas d'un JRE configuré en vue de l'utilisation de connexions SSL pour la connexion à WebSphere Application Server, vous devez généralement définir les propriétés système javax.net.ssl suivantes :
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs= 
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov

Vous pouvez utiliser la configuration privée pour spécifier des paramètres de sécurité propres aux connexions Thin Client for JMS avec WebSphere Application Server ou Resource Adapter for JMS avec WebSphere Application Server. Vous pouvez configurer la propriété système com.ibm.ws.sib.client.ssl.properties pour spécifier l'emplacement d'un fichier de propriétés IBM SSL. Si cette propriété système n'est pas configurée, le chargement du fichier de propriétés est tenté à partir du chemin d'accès aux classes à la place.

Le client obtient la valeur qu'il utilise pour toute propriété SSL particulière comme suit :
  • Si une valeur est définie pour la propriété dans le fichier de propriétés contenant les propriétés IBM SSL, le client utilise cette valeur.
  • Si le fichier des propriétés ne contient aucune valeur pour la propriété et qu'il existe une propriété adaptée dans les propriétés système JRE associées, le client utilise cette valeur.
  • S'il n'existe pas de propriété javax.net.ssl adaptée, le client utilise la valeur par défaut.
Le tableau suivant répertorie les clés de propriétés IBM SSL pouvant être configurées dans le fichier de propriétés IBM SSL, ainsi que les clés de propriétés système javax.net.ssl.* correspondantes et leurs valeurs par défaut.
Tableau 1. Valeurs de propriété IBM SSL, propriété globale JRE correspondante et valeurs par défaut. La première colonne de ce tableau répertorie les clés de propriétés IBM SSL et la deuxième colonne, les clés de propriétés globales JRE correspondantes. La troisième colonne fournit la valeur par défaut des propriétés.
Propriété IBM SSL Propriété globale JRE Valeur par défaut
com.ibm.ssl.keyStoreType javax.net.ssl.keyStoreType JKS
com.ibm.ssl.keyStore javax.net.ssl.keyStore Aucun
com.ibm.ssl.keyManager javax.net.ssl.keyStoreProvider IbmX509
com.ibm.ssl.trustManager javax.net.ssl.trustStoreProvider IbmX509
com.ibm.ssl.keyStorePassword javax.net.ssl.keyStorePassword Aucun
com.ibm.ssl.protocol Aucun ssl
com.ibm.ssl.contextProvider Aucun IBMJSSE2
com.ibm.ws.sib.jsseProvider Aucun com.ibm.jsse2.IBMJSSEProvider2
com.ibm.ssl.trustStore javax.net.ssl.trustStore Aucun
com.ibm.ssl.trustStoreType javax.net.ssl.trustStoreType JKS
com.ibm.ssl.trustStorePassword javax.net.ssl.trustStorePassword Aucun
Par exemple, vous pouvez créer un fichier ssl.properties contenant les propriétés et valeurs suivantes :
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS

Vous pouvez utiliser l'outil PropFilePasswordEncoder dans le répertoire bin de WebSphere Application Server pour coder des mots de passe stocker dans des fichiers de propriétés en texte en clair. Pour plus d'informations, voir Codage des mots de passe dans les fichiers.

Remarques :
  1. Les connexions SSL des environnements JRE SUN utilisant Thin Client for JMS avec WebSphere Application Server ne peuvent pas employer la clé PKCS12 WebSphere Application Server par défaut et les fichiers de clés certifiées. Si vous exécutez le client de façon sécurisée depuis des environnements JRE SUN, vous devez extraire les certificats du fichiers de clés certifiées en utilisant un kit de développement de logiciels (SDK) IBM. Vous pouvez ensuite importer ces certificats dans un fichier de clés que le JRE Sun peut reconnaître correctement, comme un fichier de clés JKS.
  2. Les connexions SSL ne sont pas prises en charge par l'environnement IBM JRE fourni avec WebSphere Application Server ; un environnement installé JRE non-WebSphere Application Server doit être utilisé.

Procédure

  1. Obtenez les fichiers de clés certifiées et de clés nécessaires.
  2. Sélectionnez les propriétés système javax.net.ssl requises pour la configuration globale.
  3. Pour la configuration privée, utilisez la propriété système com.ibm.ws.sib.client.ssl.properties afin de spécifier le fichier à partir duquel les propriétés SSL doivent être chargées, conformément à l'exemple suivant :
    -Dcom.ibm.ws.sib.client.ssl.properties=c:/ssl.properties

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tjj_thirdparty_ssl
Nom du fichier : tjj_thirdparty_ssl.html