Exemple : Activation de la vérification des révocations de certificat avec le gestionnaire d'accréditation par défaut IbmPKIX
Le gestionnaire d'accréditation IbmPKIX est activé par défaut dans WebSphere Application Server. Le gestionnaire d'accréditation IbmPKIX permet de vérifier que le retrait de certificat est effectué. Vous pouvez activer la vérification de la révocation de certificat en utilisant la console d'administration ou en mettant à jour manuellement le fichier ssl.client.props.
Le gestionnaire d'accréditation par défaut IbmPKIX
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass=""
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey=""
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>
Activation de la vérification de la révocation de certificat avec le gestionnaire d'accréditation par défaut IbmPKIX
Vous pouvez consulter et modifier les propriétés personnalisées du gestionnaire d'accréditation IbmPKIX à l'aide de la console d'administration.
- Cliquez sur Sécurité > Certificat SSL et gestion des clés.
- Dans le menu Eléments connexes, cliquez sur Gestionnaires d'accréditation.
- Cliquez sur IbmPKIX.
- Sous Propriétés supplémentaires, sélectionnez Propriétés personnalisées.
Propriétés personnalisées d'IbmPKIX
- com.ibm.jsse2.checkRevocation
- Cette propriété configure le vérification de la révocation pour Java™ Virtual
Machine (JVM). Cette propriété est définie sur false par défaut car les certificats par défaut de WebSphere utilisés pour les
communication SSL ne contiennent pas d'information sur les points de distribution de la liste de révocation de certificat (CRL)
ni sur le Online Certificate Status Protocol (OCSP).Remarque : Etant qu'il s'agit d'une propriété JVM, cette valeur est activée pour l'intégralité du serveur d'applications. Si la propriété est définie dans les gestionnaires de relations de confiance à différentes portées, la valeur activée est utilisée à partir du gestionnaire de relations de confiance IbmPKIX dont la portée est la plus spécifique. Par exemple, la propriété drun gestionnaire d'accréditation IbmPKIX définie au niveau du noeud remplace la propriété d'un gestionnaire d'accréditation IbmPKIX définie au niveau de la cellule. Cette propriété est ignorée pour le gestionnaire d'accréditation IbmX509.
- Valeur par défaut
- false
- com.ibm.security.enableCRLDP
- Cette propriété configure la vérification des points de distribution de la CRL pour le gestionnaire d'accréditation PKIX.
Remarque : Si vous activez la révocation des points de distribution de la CRL, les certificats utilisés pour la couche SSL doivent contenir un distribution valide et ce point de distribution doit être accessible, sinon la communication SSL échouera et le serveur ne fonctionnera pas correctement.
- Valeur par défaut
- false
Pour les certificats qui ne contiennent pas de point de distribution de CRL interne, les propriétés suivantes peuvent être utilisées afin que l'état de révocation soit vérifié sur un serveur LDAP distant contenant la liste de révocations de certificat (CRL).
- com.ibm.security.ldap.certstore.host
- Cette propriété indique le nom d'hôte du serveur LDAP qui contient les certificats sécurisés ou les listes de révocations de certificat. Le système hôte du serveur LDAP cible délivre les certificats de
CA ou les listes de révocations de certificat lors de la validation d'un certificat si le fichier de clés certifiées local ne contient pas le certificat demandé. Le fichier de clés certifiées local doit contenir les certificats demandés si aucun serveur LDAP n'est spécifié. En cas d'utilisation d'un serveur LDAP, les certificats de CA racine doivent également résider dans le fichier de clés certifiées local car le serveur LDAP n'est pas un magasin de certificats sécurisés.Remarque : Si vous activez cette propriété en plus de la propriété com.ibm.jsse2.checkRevocation, la vérification des révocations est aussi activée. Le serveur LDAP distant doit contenir une liste de révocations de certificat valide et il doit être accessible. S'il est impossible de déterminer l'état de révocation d'un certificat, la vérification échoue, la communication SSL échoue également et le serveur ne peut pas fonctionner normalement.
- Valeur par défaut
- Aucune
- com.ibm.security.ldap.certstore.port
- Cette propriété indique le port du serveur LDAP. Le port 389 est utilisé par défaut si aucun autre port de serveur LDAP n'est indiqué.
- Valeur par défaut
- 389
- ocsp.enable
- ocsp.responder
- ocsp.responderCertSubjectName
- ocsp.responderCertIssuerName
- ocsp.responderCertSerialNumber
- com.ibm.security.enableCRLDP
- com.ibm.jsse2.checkRevocation
Les propriétés OCSP et CRL affectent la vérification de la révocation de certificat. Les propriétés OCSP sont vérifiées en premier, par défaut. En cas d'erreur à la validation du certificat avec OCSP, la validation utilisera un point de distribution de CRL à la place.
Lorsque vous sélectionnez un gestionnaire de relations de confiance, ses propriétés associées sont automatiquement définies en tant que propriétés système Java afin que les fournisseurs IBMCertPath et IBMJSSE2 soient informés que le contrôle de la liste de retrait de certificats est activé ou désactivé. De même pour les propriétés OCSP, qui sont des propriétés java.security.Security.
Considérations sur le client
#-------------------------------------------------------------------------
# Default Revocation Checking Properties
# These properties are used for certificate revocation checking with the IBM
# PKIX TrustManager.
#
# To enable CRL Distribution Points extension checking, use the system property
# com.ibm.security.enableCRLDP.
#
# OCSP checking is not enabled by default. It is enabled by setting the
# ocsp.enable property to "true". Use of the other ocsp properties is optional.
#
# Note: Both OCSP and CRLDP checking is only effective if revocation checking
# has also been enabled by setting com.ibm.jsse2.checkRevocation to "true".
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
De plus, pour que la vérification de la révocation soit traitée correctement sur le client, vous devez désactiver l'invite d'échange du signataire. Pour ce faire, modifiez la valeur de la propriété com.ibm.ssl.enableSignerExchangePrompt et définissez la sur false dans le fichier ssl.client.props.