Une configuration SSL (Secure Socket Layer) fait référence à de
nombreux objets de configuration. Pour vous aider à effectuer des
sélections valides avant la création de la configuration SSL, affichez les
informations sur les objets de configuration existants. Les informations
sur les objets existants sont également utiles lorsque vous créez une
configuration SSL pour la portée noeud à l'aide de la commande
createSSLConfig de l'objet AdminTask.
Avant de commencer
Avant de commencer cette tâche, assurez-vous que l'outil wsadmin est démarré.
Pour plus d'informations, reportez-vous à l'article Démarrage du client de scriptage wsadmin.
Eviter les incidents: Le fichier security.xml est restreint.
Par conséquent, si vous devez le modifier, vérifiez que votre ID utilisateur dispose des autorisations pour le rôle administrateur. Si vous utilisez un ID utilisateur disposant des autorisations pour le rôle opérateur, vous pouvez exécuter une synchronisation de noeud, mais les modifications apportées au fichier security.xml ne sont pas synchronisées.
gotcha
Pourquoi et quand exécuter cette tâche
Pour exploiter efficacement les informations décrites dans cette tâche, familiarisez-vous avec les instructions fournies dans la rubrique Création d'une configuration SSL (Secure Sockets Layer).
Pour créer une configuration de connexion sécurisée (SSL) pour la portée
noeud, procédez comme suit :
Procédure
- Affichez la liste des objets de configuration existants. Procédez de l'une des façons suivantes :
- Répertoriez quelques objets de configuration pouvant être nécessaires lors de la création d'une configuration SSL.
Par exemple, vous pouvez afficher les portées de gestion déjà définies. Si celle dont vous avez besoin n'existe pas, vous devrez la créer.
Avec Jacl :
$AdminTask listManagementScopes {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02}
Avec Jython :
AdminTask.listManagementScopes ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Cet exemple présente une portée cellule et une portée noeud
existantes que vous pouvez utiliser. Pour créer une autre portée, utilisez
la commande
createManagementScope. Les paramètres de portée
(scopeName) valides sont la cellule (cell), le groupe de noeuds
(nodeGroup), le noeud (node), le serveur (server), le cluster (cluster) et
le noeud final (endPoint).
Pour plus d'informations sur les limitations de portée, reportez-vous à l'article Gestion centrale des configurations SSL (Secure Sockets Layer).
- Répertoriez les fichiers de clés existant dans la configuration, y compris les fichiers de clés certifiées.
Avec Jacl :
$AdminTask listKeyStores -all true
Avec Jython :
AdminTask.listKeyStores('-all true')
Exemple de sortie :
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
L'exemple précédent ne répertorie que les fichiers de clés compris dans la
portée de gestion par défaut, également désignée portée cellule. Pour obtenir les
fichiers de clés applicables à d'autres portées, indiquez le paramètre
scopeName, par exemple :
Avec Jacl :
$AdminTask listKeyStores {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
Avec Jython :
$AdminTask listKeyStores ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02]')
Exemple de sortie :
CellDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1)
CellDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_2)
CellLTPAKeys(cells/BIRKT40Cell02|security.xml#KeyStore_3)
NodeDefaultKeyStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924357)
NodeDefaultTrustStore(cells/BIRKT40Cell02|security.xml#KeyStore_1134610924377)
- Répertoriez les gestionnaires de clés ou les gestionnaires d'accréditation spécifiques. Assurez-vous d'afficher le nom d'objet des gestionnaires d'accréditation. Vous avez besoin du nom d'objet
pour la configuration SSL car vous pouvez indiquer plusieurs instances de
gestionnaire d'accréditation.
Avec Jacl :
$AdminTask listTrustManagers {-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true }
Avec Jython :
AdminTask.listTrustManagers ('[-scopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -displayObjectName true]')
Exemple de sortie :
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_2)
IbmX509(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924357)
IbmPKIX(cells/BIRKT40Cell02|security.xml#TrustManager_1134610924377)
- Créez la configuration SSL pour la portée noeud en mode interactif. Nous disposons désormais des informations nécessaires pour
effectuer une sélection. A présent, nous devons déterminer si ces objets
sont suffisants ou si nous devons en créer d'autres. Dans l'immédiat, nous
allons réutiliser des objets dont nous disposons déjà dans la
configuration, puis enregistrer la création d'instances dans des documents
de définition de tâche propres à ces objets.
Avec Jacl :
$AdminTask createSSLConfig -interactive
Avec Jython :
AdminTask.createSSLConfig ('[-interactive]')
Exemple de sortie :
Create a SSL Configuration.
*SSL Configuration Alias (alias): BIRKT40Node02SSLConfig
Management Scope Name (scopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Client Key Alias (clientKeyAlias): default
Server Key Alias (serverKeyAlias): default
SSL Type (type): [JSSE]
Client Authentication (clientAuthentication): [false]
Security Level of the SSL Configuration (securityLevel): [HIGH]
Enabled Ciphers SSL Configuration (enabledCiphers):
JSSE Provider (jsseProvider): [IBMJSSE2]
Client Authentication Support (clientAuthenticationSupported): [false]
SSL Protocol (sslProtocol): [SSL_TLS]
Trust Manager Object Names (trustManagerObjectNames): (cells/BIRKT40Cell02|security.xml#TrustManager_1)
*Trust Store Name (trustStoreName): NodeDefaultTrustStore
Trust Store Scope (trustStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
*Key Store Name (keyStoreName): NodeDefaultKeyStore
Key Store Scope Name (keyStoreScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Key Manager Name (keyManagerName): IbmX509
Key Manager Scope Name (keyManagerScopeName): (cell):BIRKT40Cell02:(node):BIRKT40Node02
Create SSL Configuration
F (Finish)
C (Cancel)
Select [F, C]: [F] F
WASX7278I: Generated command line: $AdminTask createSSLConfig {-alias BIRKT40Node02SSLConfig -scopeName
(cell):BIRKT40Cell02:(node):BIRKT40Node02 -clientKeyAlias default -serverKeyAlias default
-trustManagerObjectNames (cells/BIRKT40Cell02|security.xml#TrustManager_1) -trustStoreName
NodeDefaultTrustStore -trustStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyStoreName
NodeDefaultKeyStore -keyStoreScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 -keyManagerName
IbmX509 -keyManagerScopeName (cell):BIRKT40Cell02:(node):BIRKT40Node02 }
- Enregistrez les modifications apportées à la configuration. Pour plus d'informations, reportez-vous à la rubrique Enregistrement des modifications de configuration avec l'outil wsadmin.
- Dans un environnement de déploiement en réseau uniquement, synchronisez le noeud. Pour plus d'informations, reportez-vous à l'article Synchronisation des noeuds à l'aide de l'outil wsadmin.
Résultats
Le nom de l'objet de configuration SSL que vous avez créé, par exemple
(cells/BIRKT40Cell02|security.xml#SSLConfig_1136652770753), apparaît dans le
fichier
security.xml.
Exemple de sortie du fichier
security.xml :
<repertoire xmi:id="SSLConfig_1136652770753" alias="BIRKT40Node02SSLConfig" type="JSSE"
managementScope="ManagementScope_1134610924357">
<setting xmi:id="SecureSocketLayer_1136652770924" clientKeyAlias="default" serverKeyAlias="default"
clientAuthentication="false" securityLevel="HIGH" jsseProvider="IBMJSSE2" sslProtocol="SSL_TLS"
keyStore="KeyStore_1134610924357" trustStore="KeyStore_1134610924377" trustManager="TrustManager_1"
keyManager="KeyManager_1134610924357"/>
</repertoire>
Que faire ensuite
Une fois que vous avez créé l'objet de configuration SSL, l'étape
suivante consiste à l'utiliser. Plusieurs méthodes permettent d'associer
des configurations SSL à des protocoles. Par exemple, vous pouvez :
- définir la configuration SSL sur l'unité d'exécution par programme ;
- associer la configuration SSL à un protocole sortant ou à un hôte et à un port cible ;
- associer directement la configuration SSL à l'aide de l'alias ;
- centraliser la gestion des configurations SSL par leur association à
des groupes ou à des zones de configuration SSL et permettre ainsi leur
utilisation selon le groupe d'origine du noeud final.