Sécurisation des connexions de l'adaptateur de ressources et client JMS
Il existe deux faons de configurer Secure Sockets Layer (SSL) pour Thin Client for JMS avec WebSphere Application Server et Resource Adapter for JMS avec WebSphere Application Server. La configuration globale a un impact sur toutes les connexions sortantes autonomes du processus tandis que l'approche privée ne s'applique qu'aux connexions client ou d'adaptateur de ressources depuis le processus.
Pourquoi et quand exécuter cette tâche
Thin Client for JMS avec WebSphere Application Server et Resource Adapter for JMS avec WebSphere Application Server utilisent l'extension JSSE (Java™ Secure Socket Extension) que tous les JRE pris en charge fournissent pour établir des connexions SSL (Secure Sockets Layer) sécurisées. Pour des informations sur JSSE, consultez la documentation JSSE.
-Djavax.net.ssl.keyStore=key.p12
-Djavax.net.ssl.keyStorePassword={xor}Lz4sLCgwLTs=
-Djavax.net.ssl.trustStore=trust.p12
-Djavax.net.ssl.trustStorePassword={xor}PSo4LSov
Vous pouvez utiliser la configuration privée pour spécifier des paramètres de sécurité propres aux connexions Thin Client for JMS avec WebSphere Application Server ou Resource Adapter for JMS avec WebSphere Application Server. Vous pouvez configurer la propriété système com.ibm.ws.sib.client.ssl.properties pour spécifier l'emplacement d'un fichier de propriétés IBM SSL. Si cette propriété système n'est pas configurée, le chargement du fichier de propriétés est tenté à partir du chemin d'accès aux classes à la place.
- Si une valeur est définie pour la propriété dans le fichier de propriétés contenant les propriétés IBM SSL, le client utilise cette valeur.
- Si le fichier des propriétés ne contient aucune valeur pour la propriété et qu'il existe une propriété adaptée dans les propriétés système JRE associées, le client utilise cette valeur.
- S'il n'existe pas de propriété javax.net.ssl adaptée, le client utilise la valeur par défaut.
Propriété IBM SSL | Propriété globale JRE | Valeur par défaut |
---|---|---|
com.ibm.ssl.keyStoreType | javax.net.ssl.keyStoreType | JKS |
com.ibm.ssl.keyStore | javax.net.ssl.keyStore | Aucun |
com.ibm.ssl.keyManager | javax.net.ssl.keyStoreProvider | IbmX509 |
com.ibm.ssl.trustManager | javax.net.ssl.trustStoreProvider | IbmX509 |
com.ibm.ssl.keyStorePassword | javax.net.ssl.keyStorePassword | Aucun |
com.ibm.ssl.protocol | Aucun | ssl |
com.ibm.ssl.contextProvider | Aucun | IBMJSSE2 |
com.ibm.ws.sib.jsseProvider | Aucun | com.ibm.jsse2.IBMJSSEProvider2 |
com.ibm.ssl.trustStore | javax.net.ssl.trustStore | Aucun |
com.ibm.ssl.trustStoreType | javax.net.ssl.trustStoreType | JKS |
com.ibm.ssl.trustStorePassword | javax.net.ssl.trustStorePassword | Aucun |
com.ibm.ssl.keyStore=/thinclient/key.p12
com.ibm.ssl.keyStoreType=PKCS12
com.ibm.ssl.keyStorePassword=WebAS
com.ibm.ssl.trustStore=/thinclient/trust.p12
com.ibm.ssl.trustStoreType=PKCS12
com.ibm.ssl.trustStorePassword=WebAS
Vous pouvez utiliser l'outil PropFilePasswordEncoder dans le répertoire bin de WebSphere Application Server pour coder des mots de passe stocker dans des fichiers de propriétés en texte en clair. Pour plus d'informations, voir Codage des mots de passe dans les fichiers.
- Les connexions SSL des environnements JRE SUN utilisant Thin Client for JMS avec WebSphere Application Server ne peuvent pas employer la clé PKCS12 WebSphere Application Server par défaut et les fichiers de clés certifiées. Si vous exécutez le client de façon sécurisée depuis des environnements JRE SUN, vous devez extraire les certificats du fichiers de clés certifiées en utilisant un kit de développement de logiciels (SDK) IBM. Vous pouvez ensuite importer ces certificats dans un fichier de clés que le JRE Sun peut reconnaître correctement, comme un fichier de clés JKS.
- Les connexions SSL ne sont pas prises en charge par l'environnement IBM JRE fourni avec WebSphere Application Server ; un environnement installé JRE non-WebSphere Application Server doit être utilisé.