Cette section fournit une présentation générale des types de sécurité, des outils utilisés pour générer et télécharger les certificats, ainsi que les types de magasins de données installés par WebSphere Business Integration Connect.
Cette section présente brièvement la couche SSL, les signatures numériques et le chiffrement.
WebSphere Business Integration Connect peut utiliser la couche SSL pour sécuriser les documents entrants et sortants. Un document entrant est celui envoyé au concentrateur. Un document sortant est celui envoyé à partir du concentrateur.
SSL est un protocole couramment utilisé pour la gestion de la sécurité sur Internet. La couche SSL assure des connexions sécurisées en permettant à deux applications liées via une connexion réseau de s'authentifier l'un l''autre.
Une connexion SSL commence par une poignée de main. Durant cette étape, les applications échangent des certificats numériques, se mettent d'accord sur les algorithmes de chiffrement à utiliser et génèrent des clés de chiffrement pour le reste de la session.
Le protocole SSL fournit les dispositifs de sécurité suivants :
La signature numérique est le mécanisme permettant d'assurer l'irréfutabilité. Cela signifie qu'un participant ne peut pas nier être à l'origine d'un message et l'avoir envoyé. Cela assure également que le participant ne peut pas nier avoir reçu un message.
Une signature numérique permet à un expéditeur de signer un message afin de pouvoir vérifier qu'il est bien à l'origine de l'envoi. Elle permet également de s'assurer que le message n'a pas été modifié depuis qu'il a été signé.
WebSphere Business Integration Connect utilise un système cryptographique connu en tant que chiffrement de clé publique pour sécuriser les communications entre les participants et le concentrateur. Le chiffrement de clé publique utilise une paire de clés mathématiquement liées. Un document chiffré avec la première clé doit être déchiffré avec la seconde et un document chiffré avec la seconde clé doit être déchiffré avec la première.
Chaque participant d'un système de clé publique dispose d'une paire de clés. L'une des clés est maintenue secrète, il s'agit de la clé privée. L'autre clé est distribuée à quiconque la demande, il s'agit de la clé publique. WebSphere Business Integration Connect utilise une clé publique de participant pour chiffrer un document. La clé privée est utilisée pour le déchiffrer.
Comme décrit dans les sections suivantes, l'outil IBM de gestion des clés (ikeyman) est utilisé pour créer des bases de données de clés, des paires de clés publiques et privées et des demandes de certificats. Vous pouvez également utiliser ikeyman pour créer des certificats d'auto-signature. L'utilitaire ikeyman se trouve dans le répertoire <rép_install_WBIC>/router/was/bin, créé par WebSphere Business Installation Connect au cours de l'installation.
Vous pouvez également utiliser ikeyman pour générer une demande de certificat auprès d'une autorité de certification.
Remarque : L'utilitaire createCert.sh permet également de générer des certificats d'auto-signature.
Utilisez la Console de communauté pour installer tous les certificats client, de signature et de chiffrement pour le stockage de WebSphere Business Integration Connect. Vous pouvez également utiliser la Console de communauté pour installer les certificats racine et d'autorité de certification.
Remarque : Lorsque le certificat d'un participant expire, la responsabilité lui incombe d'obtenir un nouveau certificat. La fonction d'alerte de la Console de communauté inclut des alertes d'expiration de certificat pour les certificats stockés dans WebSphere Business Integration Connect.
Lorsque vous installez WebSphere Business Integration Connect, un magasin de clés et un magasin de relations de confiance sont installés pour le réceptionnaire et la console.
Par défaut, les deux magasins de clés et les deux magasins de relations de confiance sont créés dans le répertoire racine_install_WBIC/common/security/keystore, sous les noms suivants :
Le mot de passe par défaut permettant d'accéder aux quatre magasins est WebAS. L'application WebSphere Application Server imbriquée est configurée pour utiliser ces quatre magasins.
Remarque : La commande Unix suivante peut être utilisée pour modifier le mot de passe du fichier de magasin de clés :
/racine_install_WBIC/console/was/java/bin/keytool -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$ -storepass $CURRENT_PASSWORD$ -storetype JKS
Si les mots de passe des magasins de clés sont changés, la configuration de chaque instance de WebSphere Application Server doit l'être également. Ceci peut se faire à l'aide du script bcgChgPassword.jacl. Pour l'instance de la console, naviguez jusqu'au répertoire suivant :
/racine_install_WBIC/console/was/bin
et exécutez la commande suivante :
./wsadmin.sh -f /racine_install_WBIC/console/scripts/ bcgChgPassword.jacl -conntype NONE
Répétez cette étape pour les instances de WebSphere Application Server du réceptionnaire et du gestionnaire de documents.
Vous êtes alors invité à saisir le nouveau mot de passe.
Remarque : Si un certificat du magasin de relations de confiance est expiré, vous devez ajouter un nouveau certificat pour le remplacer à l'aide la procédure suivante :
Ce type de données doit correspondre au type de données du certificat importé.