Lors de la migration vers la Version 9.0, vous pouvez convertir le format de la configuration SSL ou continuer d'utiliser celui de la version antérieure. Si vous détectez des erreurs liées aux scripts d'administration existants pour les configurations SSL, utilisez cette tâche pour convertir manuellement votre configuration SSL au format de la Version 9.0.
Avant de commencer
Configurations prises en charge: Cet article traite de la migration de configuration de profil. Pour faire migrer vos applications vers la dernière version, utilisez le kit d'outils de migration de WebSphere Application Server. Pour plus d'informations, voir Migration
Toolkit on WASdev.
sptcfg
Pourquoi et quand exécuter cette tâche
![[IBM i]](../images/iseries.gif)
Lors de la migration vers la Version 9.0, vous pouvez utiliser la Commande WASPreUpgrade pour enregistrer la configuration de la version déjà installée dans un répertoire de sauvegarde dédié à la migration. Lorsque la migration est terminée, vous pouvez lancer la
WASPostUpgrade command
pour extraire la configuration sauvegardée et le script WASPostUpgrade
pour migrer la configuration précédente.
Le paramètre -scriptCompatibility de la commande
WASPostUpgrade permet de spécifier si les définitions de configuration 6.1
doivent être conservées ou si leur format doit être mis à niveau vers des
définitions de configuration Version 9.0.
Cette étape n'est pas nécessaire si vous avez
utilisé la valeur par défaut (-scriptCompatibility true) lors de
la migration. Sinon, si vous avez affecté la valeur false au
paramètre scriptCompatibility lors de la migration, vous remarquez
que les scripts d'administration existants pour configurations SSL ne
fonctionnent pas correctement. Dans ce cas, utilisez cette tâche afin de convertir vos définitions de configuration SSL
version 6.1 vers la Version 9.0. Ce processus crée une configuration SSL basée
sur la configuration existante.
Pour modifier la configuration SSL existante, procédez comme suit :
<repertoire xmi:id="SSLConfig_1" alias="Node02/DefaultSSLSettings">
<setting xmi:id="SecureSocketLayer_1" keyFileName="$racine_install/etc/MyServerKeyFile.jks"
keyFilePassword="password" keyFileFormat="JKS" trustFileName="$racine_install/etc/MyServerTrustFile.jks"
trustFilePassword="password" trustFileFormat="JKS" clientAuthentication="false" securityLevel="HIGH"
enableCryptoHardwareSupport="false">
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password="{custom}"/>
<properties xmi:id="Property_6" name="com.ibm.ssl.protocol" value="SSL"/>
<properties xmi:id="Property_7" name="com.ibm.ssl.contextProvider" value="IBMJSSE2"/>
</setting>
</repertoire>
Procédure
- Créez un fichier de clés qui référence les attributs de fichier de clés de la configuration antérieure.
- Dans la configuration existante, recherchez les attributs keyFileName, keyFilePassword et keyFileFormat.
keyFileName="${racine_install}/etc/MyServerKeyFile.jks" keyFilePassword="password" keyFileFormat="JKS"
- Créez un objet fichier de clés (KeyStore) à l'aide des attributs keyFileName, keyFilePassword et keyFileFormat.
Pour cet exemple, indiquez le nom "DefaultSSLSettings_KeyStore".
Fonction obsolète: A l'aide de Jacl :
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_KeyStore -keyStoreLocation
${racine_install}/etc/MyServerKeyFile.jks -keyStoreType JKS -keyStorePassword
password -keyStorePasswordVerify password }
depfeat
L'objet de configuration résultant dans le fichier
security.xml est le suivant :
<keyStores xmi:id="KeyStore_1" name="DefaultSSLSettings_KeyStore" password="password"
provider="IBMJCE" location="$racine_install/etc/MyServerKeyFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
Remarque : Si vous indiquez les valeurs cryptoHardware dans la configuration, créez l'objet KeyStore avec celles-ci. Associez le paramètre -keyStoreLocation à l'attribut libraryFile, le
paramètre -keyStoreType à l'attribut tokenType et le paramètre
-keyStorePassword à l'attribut password.
<cryptoHardware xmi:id="CryptoHardwareToken_1" tokenType="" libraryFile="" password=""/>
- Créez un fichier de clés certifiées qui référence les attributs de fichier de clés certifiées de la configuration existante.
- Recherchez les attributs trustFileName, trustFilePassword et trustFileFormat dans la configuration existante.
trustFileName="$racine_install/etc/MyServerTrustFile.jks" trustFilePassword="password"
trustFileFormat="JKS"
- Créez un objet fichier de clés (KeyStore) à l'aide des attributs trustFileName, trustFilePassword et trustFileFormat.
Pour cet exemple, indiquez le nom "DefaultSSLSettings_TrustStore".
Fonction obsolète: A l'aide de Jacl :
$AdminTask createKeyStore {-keyStoreName DefaultSSLSettings_TrustStore -keyStoreLocation
$racine_install/etc/MyServerTrustFile.jks -keyStoreType JKS -keyStorePassword password
-keyStorePasswordVerify password }
depfeat
L'objet de configuration résultant dans le fichier
security.xml est le suivant :
<keyStores xmi:id="KeyStore_2" name="DefaultSSLSettings_TrustStore" password="password"
provider="IBMJCE" location="$racine_install/etc/MyServerTrustFile.jks" type="JKS" fileBased="true"
managementScope="ManagementScope_1"/>
- Créez une configuration SSL avec le nouveau fichier de clés et le nouveau fichier de clés certifiées. Incluez d'autres attributs extraits de la configuration existante et
encore valides.
Utilisez un nouvel alias pour la configuration SSL mise à jour. Vous ne pouvez pas créer une configuration SSL portant le même nom que votre configuration existante.
Fonction obsolète: A l'aide de Jacl :
$AdminTask createSSLConfig {-alias DefaultSSLSettings -trustStoreName DefaultSSLSettings_TrustStore
-keyStoreName DefaultSSLSettings_KeyStore -keyManagerName IbmX509 -trustManagerName IbmX509
-clientAuthentication true -securityLevel HIGH -jsseProvider IBMJSSE2 -sslProtocol SSL }
depfeat
Résultats
La nouvelle configuration SSL est :
<repertoire xmi:id="SSLConfig_1" alias="DefaultSSLSettings" managementScope="ManagementScope_1">
<setting xmi:id="SecureSocketLayer_1" clientAuthentication="true" securityLevel="HIGH" enabledCiphers=""
jsseProvider="IBMJSSE2" sslProtocol="SSL" keyStore="KeyStore_1" trustStore="KeyStore_2"
trustManager="TrustManager_1" keyManager="KeyManager_1"/>
</repertoire>
Remarque : Si vous n'indiquez pas la portée de
la gestion, la valeur par défaut est utilisée.