Contrôle de l'expiration des certificats dans SSL

Les certificats SSL sont importants car ils permettent à un serveur de garantir la sécurité des données transitant vers et à partir d'autres serveurs. Lorsque des certificats SSL sont utilisés ils doivent être maintenus à jour. La tâche d'administration qui consiste à contrôler l'expiration des certificat est une tâche planifiée qui s'exécute dans tous les magasins de clés dans la configuration de sécurité et signale les certificats arrivés à expiration, ceux qui arrivent à expiration dans le seuil spécifié et ceux qui sont dans la période de pré-notification.

Configuration du contrôleur de certificats
Les paramètres de configuration du contrôle des certificats peuvent être définis dans la console d'administration en sélectionnant Sécurité > Certificats SSL et gestion des clés > Gérer l'expiration des certificats. Dans le panneau Gérer l'expiration des certificats vous pouvez effectuer les opérations ci-dessous.
  • Activer ou désactiver la vérification du contrôleur de certificats à l'aide de la case à cocher Activer la vérification. La vérification du contrôleur de certificats est activée par défaut.
  • Définissez le seuil d'expiration dans la zone définissant le seuil de remplacement avant expiration. Le seuil de remplacement avant expiration indique le nombre de jours pendant lesquels un certificat en passe d'expirer peut être remplacé ; la valeur par défaut est de 60 jours.
  • Définissez le seuil de prénotification dans la zone intituée Seuil de prénotification pour le certificat. Le seuil de prénotification pour le certificat indique le nombre de jours précédant le seuil d'expiration pendant lesquels le contrôleur de certificats signale la date à partir de laquelle un certificat peut être remplacé.
  • Remplacez les certificats arrivés à expiration ou ayant atteint le seuil d'expiration par un nouveau certificat si la zone Remplacer automatiquement les certificats d'auto-signature et chaînés arrivant à expiration est sélectionnée. Cette zone est sélectionnée par défaut. Si cette option n'est pas sélectionnée, le contrôleur d'expiration des certificats signale uniquement qu'un certificat est arrivé à expiration ou a atteint le seuil d'expiration et ne le remplace pas.
  • Supprimez les certificats ayant été remplacés en sélectionnant la zone Supprimer les certificats et les signataires arrivant à expiration après le remplacement . Cette zone est sélectionnée par défaut.
  • Le planning d'exécution du contrôleur d'expiration des certificats peut être défini dans la zone Vérification de l'expiration. Par défaut, l'exécution du contrôleur est paramétrée toutes les 4 semaines à 21:30.
  • Le mode du réception du rapport du contrôleur de certificats peut être défini dans la zone Notification de la vérification d'expiration. Par défaut, le rapport est écrit dans le journal System out.
L'objet de configuration security.xml ci-dessous indique à quel moment démarre la tâche de contrôle, détermine le seuil d'expiration des certificats et indique si vous êtes notifié par courrier électronique via SMTP (Simple Mail Transfer Protocol) ou dans un journal de messages. Le journal de prénotification est défini dans une propriété personnalisée.
<wsCertificateExpirationMonitor xmi:id="WSCertificateExpirationMonitor_1"
name="Certificate Expiration Monitor" daysBeforeNotification="30"
isEnabled="true" autoReplace="true" deleteOld="true"
wsNotification="WSNotification_1" wsSchedule="WSSchedule_2"
nextStartDate="1134358204849"/>
La période de prénotification est définie par une propriété personnalisée dans le fichier security.xml.
<properties xmi:id="Property_1422758742456"
name="com.ibm.ws.security.expirationMonitorNotificationPeriod" value="90"/>
L'exemple suivant d'objet de calendrier décrit l'attribut de fréquence comme étant le nombre de jours entre chaque exécution du moniteur de certificats.
<wsSchedules xmi:id="WSSchedule_2" name="ExpirationMonitorSchedule" 
frequency="30" dayOfWeek="1" hour="21" minute="30"/>

L'attribut dayOfWeek ajuste le planning pour qu'il s'exécute un jour déterminé de la semaine, qui est toujours le même que la fréquence soit définie à 30 ou 31 jours. Dans un format horaire de 24 heures, les attributs d'heure et de minute déterminent l'heure de lancement du contrôleur d'expiration, le jour donné.

L'exemple suivant de code de l'objet de notification décrit la configuration de notification qui vous informe une fois l'exécution du contrôleur d'expiration terminée.
<>wsNotifications xmi:id="WSNotification_1" name="MessageLog" logToSystemOut="true" emailList=""/

Pour les notifications du contrôleur d'expiration, vous pouvez sélectionner le journal des messages, le courrier électronique via le serveur SMTP ou les deux méthodes à la fois. Lorsque vous configurez l'option de courrier électronique, utilisez le format utilisateur @domaine@serveursmtp. Si vous n'indiquez pas le serveur SMTP WebSphere Application Server utilise par défaut le même domaine que l'adresse électronique. Par exemple, si vous configurez joeuser@ibm.com, WebSphere Application Server tente d'appeler smtp-server.ibm.com. Pour spécifier plusieurs adresses électroniques via l'outil de scriptage, vous devez ajouter un caractère (|) entre les entrées. Lorsque vous définissez l'attribut logToSystemOut, les résultats du contrôleur d'expiration sont envoyés dans le journal des messages de l'environnement, qui correspond généralement au fichier SystemOut.log.

Les fonctions suivantes peuvent être exécutées via le contrôleur d'expiration des certificats.
  1. Il efface le NodeDefaultDeletedStore ou le DmgrDefaultDeletedStore. Cette opération s'effectue en mode silencieux, sans signaler que les certificats sont supprimés.
  2. Il vérifie les magasins de clés racine,, DmgrDefaultRootStore ou NodeDefaultRootStore et DmgrRSATokenRootStore ou NodeRSATokenRootStore. Tout certificat racine arrivé à expiration, qu'il ait atteint le seuil d'expiration ou la période de pré-notification, est signalé dans le rapport.
  3. Tout certificat racine arrivé à expiration ou ayant atteint la période seuil est recréé à l'aide de toutes les informations utilisées pour créer celui d'origine. Tous les certificats de signataire du certificat racine d'origine sont remplacés par les signataires du nouveau certificat racine.
  4. Si un certificat racine est remplacé, tous les magasins de clés sont vérifiés pour voir s'ils contiennent des certificats chaînés signés avec le certificat racine d'origine. Si c'est le cas, le certificat chaîné est renouvelé (recréé avec le nouveau certificat racine). Tout certificat de signataire issu du certificat d'origine est remplacé avec le signataire provenant du certificat recréé.
  5. Une fois que tous les magasins de clés racine sont exécutés, les autres magasins de clés sont vérifiés pour signaler le nombre de certificats expirés, de certificats situés dans le seuil d'expiration ou dans la période de pré-notification. Tout certificat qui se trouve dans l'une quelconque de ces catégories est signalé dans le rapport.
  6. S'il y a des certificats arrivés à expiration ou ayant atteint la période de seuil d'expiration et qui sont des certificats autosignés ou chaînés créés par WebSphere, ils sont remplacés. Si le certificat chaîné racine ne se trouve pas dans le magasin de clés racine, il est recréé en tant que certificat racine par défaut. Tous les certificats de signataire du certificat d'origine sont remplacés par le signataire du nouveau certificat."
  7. Suivant les paramètres de configuration, un rapport est généré et renvoyé, écrit dans un fichier journal ou envoyé par mail.
Type de certificats remplacés

Le moniteur d'expiration remplace les certificats autosignés et les certificats personnels chaînés qui sont signés par un certificat racine dans DmgrDefaultRootStore ou NodeDefaultRootStore. Les certificats autosignés sont renouvelés en utilisant toutes les informations qui ont été utilisées pour créer le certificat autosigné d'origine. Un certificat chaîné est renouvelé à l'aide du certificat racine utilisé pour signer le certificat d'origine. Les certificats créés par une autorité de certification (CA) ne peuvent pas être remplacés par le contrôleur de certificats et doivent l'être par l'administrateur.

Les certificats de signataire constituent la partie publique d'un certificat personnel. Ils ne sont par conséquent par créés de manière indépendante mais extraits d'un certificat personnel. Si le contrôleur de certificats remplace un certificat personnel, il vérifie dans tous les fichiers de clés s'il existe un certificat de signataire extrait du certificat personnel arrivé à expiration et le remplace par un certificat de signataire extrait du certificat personnel qui vient d'être créé. Si un certificat de signataire a été ajouté à un fichier de clés à partir d'un fichier de certificats ou à l'aide de l'option d'extraction à partir d'un port, il est susceptible d'être remplacé. S'il est arrivé à expiration ou a atteint le seuil d'expiration les utilisateurs sont avertis du fait que le certificat de signataire n'est pas remplacé. Supprimez et remplacez le certificat par un certificat valide.

Rapport d'expiration du certificat

Lors de l'exécution du contrôleur de l'expiration du certificat, un rapport est généré et écrit dans le fichier SystemOut.log par défaut. Les utilisateurs peuvent demander que le rapport du contrôleur de certificats leur soit envoyé par courrier électronique. Si un utilisateur exécute le contrôleur d'expiration des certificats à partir de l'élément wsadmin AdminTask startCertificateExpMonitor, le rapport lui est renvoyé à l'emplacement indiqué par le paramètre de notification d'expiration des certificats.

Si le contrôleur des certificats est exécuté et qu'il n'y a aucun certificat arrivé à expiration à signaler, il renvoie un message d'information indiquant que les certificats ont été vérifiés et qu'aucun problème liés à leur expiration n'a été identifié. Par exemple,
**** Objet :  Moniteur d'expiration ****;

Hostname: myHost
Profile UUID:AppSrv01-BASE-8da8e11e-70c6-451f-862b-8a08e408110b
Process type: UnManagedProcess
Checking for expired certificate and certificates in the 60 days threshold period.
CWPKI0735I: All certificates were searched and no expiration issues were found.

Le contrôleur d'expiration des certificats fournit des informations sur les certificats classées par sections : la section de pré-nofification, la section des certificats arrivés à expiration, la section des certificats remplacés et la section des certificats qui ne peuvent pas être remplacés. Les certificats figurant dans le rapport sont identifiés par leur nature, certificat personnel ou certificat de signataire, par leur nom d'alias et par le fichier de clés dans lequel ils se trouvent.

La section de pré-notification affiche la liste de tous les certificats ayant atteint le seuil de pré-notification. Elle sert de période d'avertissement et indique aux utilisateurs la date à laquelle un certificat sera remplacé si le contrôleur d'expiration des certificats est exécuté à cette date ou après cette date. Cette section avertit également les utilisateurs d'un remplacement de certificat imminent. S'il n'y a pas de certificats dans la période de pré-notification, la section ne fait pas partie du rapport. Par exemple,
*** CERTIFICATES WITHIN THE 90 DAYS OF THE CERTIFICATE EXPIRATION THRESHOLD (MAY BE REPLACED WITHIN 90 DAYS)  ***;

CWPKI0714I: Le moniteur d'expiration de certificat vient d'être exécuté et il a
détecté que les certificats listés dans les messages associés seront remplacés
dans 90 jours. Ce remplacement est effectué en fonction de la stratégie définie
pour remplacer automatiquement les certificats autosignés 60 jours avant leur
expiration. Cette notification signale que des incidents peuvent se produire
lors du remplacement automatique des certificats.

CWPKI0715I: Dans certains cas, le remplacement automatique des certificats peut
causer des indisponibilités pour les plug-in de serveur Web exécutés sur des
noeuds non gérés. Dans ce cas, le plug-in ne peut pas contacter les serveurs
d'applications sur HTTPS,
car il utilise des signataires pour des certificats
remplacés automatiquement.  Pour éviter une indisponibilité majeure, intervenez
avant la date de remplacement planifiée,  remplacez les certificats qui
expirent et mettez à jour le fichier kdb de plug-in
pour utiliser les nouveaux
signataires.

CWPKI0719I: Le certificat personnel testcert1 dans le fichier de clés
"testKeyStore((cell):myHostNode01Cell:(node):myHostNode01)" doit expirer le May
10, 2015 et il peut être remplacé après la date de seuil Mar 11, 2015.
La section des certificats ayant expiré identifie le certificat arrivé à expiration ou les certificats ayant atteint le seuil d'expiration. Si le certificat a atteint le seuil d'expiration, elle indique à quel moment il arrive à expiration. Exemple,
*** CERTIFICATS AYANT EXPIRE OU DANS LE SEUIL D'EXPIRATION***;

CWPKI0642I: L'alias de certificat de signataire "oldcert" dans le magasin de
clés "NodeDefaultTrustStore((cell):myHostNode01Cell:(node):myHostNode01)" va
expirer le 19 février 2015.

CWPKI0680I: L'alias de certificat personnel "selfcert" dans le fichier de clés
"testKeyStore((cell):myHostNode01Cell:(node):myHostNode01)" va expirer le 9
novembre 2014.

CWPKI0643I: L'alias de certificat personnel "testcert" dans le fichier de clés
"testKeyStore((cell):myHostNode01Cell:(node):myHostNode01)" va expirer le 19
février 2015.
La section des certificats remplacés répertorie tous les certificats qui ont été remplacés. Les certificats personnels autosignés et les certificats personnels chaînés qui ont été signés avec un certificat racine dans le fichier de clés racine du serveur peuvent être remplacés. Les certificats de signataire peuvent être remplacés par le signataire extrait à partir de certificats personnels qui ont été remplacés.
*** CERTIFICATS AYANT EXPIRE OU AYANT PASSE LE SEUIL D'EXPIRATION ET AYANT ETE REMPLACES ***;

CWPKI0645I: L'alias de certificat personnel "selfcert" dans le fichier de clés
"testKeyStore((cell):myHostNode01Cell:(node):myHostNode01)" a été REMPLACE.

CWPKI0644I:  L'alias de certificat de signataire "selfcert" dans le fichier de
clés "NodeDefaultTrustStore((cell):myHostNode01Cell:(node):myHostNode01)" a
été REMPLACE.

CWPKI0645I: L'alias de certificat personnel "testcert" dans le fichier de clés
"testKeyStore((cell):myHostNode01Cell:(node):myHostNode01)" a été REMPLACE.
La section des certificats qui ne peuvent pas être remplacés répertorie tous les certificats qui on expiré ou ont atteint le seuil d'expiration et ne peuvent pas être remplacés. Un certificat personnel n'est pas remplacé s'il se trouve dans un fichier de clés en lecture seule ou si le contrôleur de certificats ne dispose pas des informations requises pour en créer un nouveau. Si le certificat est signé par un certificat absent du fichier de clés racine du serveur, il ne peut pas être remplacé ; il s'agit probablement d'un certificat de l'autorité de certification (CA). Un certificat de signataire ne peut pas être remplacé si le certificat personnel dont il a été extrait n'existe pas dans la configuration. Par exemple,
*** CERTIFICATS AYANT EXPIRE OU AYANT PASSE LE SEUIL D'EXPIRATION ET NE POUVANT PAS ETRE REMPLACES PAR LE SERVEUR ***;

CWPKI0642I: L'alias de certificat de signataire "oldcert" dans le fichier de
clés "NodeDefaultTrustStore((cell):myHostNode01Cell:(node):myHostNode01)" va
expirer le 19 février 2015.
Nettoyage du fichier de clés supprimé

Le contrôleur d'expiration nettoie le fichier de clés de certificats supprimé. C'est dans le fichier de clés supprimé NodeDefaultDeletedStore que sont placées les copies des certificats supprimées d'autres fichiers de clés pour permettre à un utilisateur de les restaurer en cas de besoin. Le fichier doit être nettoyé périodiquement pour que le fichier de clés supprimé le soit également lorsque le contrôleur de certificats est exécuté. En raison de sa nature, le fichier de clés PKCS12 doit contenir au moins une entrée. Aucun rapport n'est généré pour les certificats supprimés du fichier de clés supprimé.

Remarque : Lorsque l'option de configuration suivante est activée, la phase d'exécution peut être affectée de manière dynamique lorsque le contrôleur d'expiration remplace les certificats.

Sécurité > Certificat SSL et gestion des clés. Sous les paramètres de configuration, sélectionnez la case à cocher Mettre à jour dynamiquement l'exécution lorsque des modifications de la configuration SSL surviennent.

Lorsque cette fonction est activée, tout certificat remplacé provoque l'utilisation immédiate des nouveaux certificats par l'exécution SSL, ce qui entraîne le vidage des caches SSl et des fichiers de clés et provoque le redémarrage de certains ports qui utilisent SSLServerSockets (RMI/IIOP on distributed and Admin SOAP). Le redémarrage des ports coupe les connexions existantes. Ces connexions peuvent être rétablies une fois le redémarrage du port terminé. Les noeuds finals qui utilisent la structure de canal (HTTP, BUS, RMI/IIOP on z/OS) n'affectent pas les connexions existantes mais utilisent les nouveaux certificats pour les nouvelles connexions.

Lorsque la propriété de changement dynamique est désactivée et avant que les nouveaux certificats ne soient appliqués, l'administrateur doit recycler tous les processus de la cellule après que la configuration soit synchronisée pour chaque noeud.


Icône indiquant le type de rubrique Rubrique de concept



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=csec_sslcertmonitoring
Nom du fichier : csec_sslcertmonitoring.html