Compréhension des termes et des concepts

Cette section fournit une présentation générale des types de sécurité, des outils utilisés pour générer et télécharger les certificats, ainsi que les types de magasins de données installés par WebSphere Business Integration Connect.

Types de sécurité

Cette section présente brièvement la couche SSL, les signatures numériques et le chiffrement.

Couche SSL

WebSphere Business Integration Connect peut utiliser la couche SSL pour sécuriser les documents entrants et sortants. Un document entrant est celui envoyé au concentrateur. Un document sortant est celui envoyé à partir du concentrateur.

SSL est un protocole couramment utilisé pour la gestion de la sécurité sur Internet. La couche SSL assure des connexions sécurisées en permettant à deux applications liées via une connexion réseau de s'authentifier l'un l''autre.

Une connexion SSL commence par une poignée de main. Durant cette étape, les applications échangent des certificats numériques, se mettent d'accord sur les algorithmes de chiffrement à utiliser et génèrent des clés de chiffrement pour le reste de la session.

Le protocole SSL fournit les dispositifs de sécurité suivants :

Signature numérique

La signature numérique est le mécanisme permettant d'assurer l'irréfutabilité. Cela signifie qu'un participant ne peut pas nier être à l'origine d'un message et l'avoir envoyé. Cela assure également que le participant ne peut pas nier avoir reçu un message.

Une signature numérique permet à un expéditeur de signer un message afin de pouvoir vérifier qu'il est bien à l'origine de l'envoi. Elle permet également de s'assurer que le message n'a pas été modifié depuis qu'il a été signé.

Chiffrement

WebSphere Business Integration Connect utilise un système cryptographique connu en tant que chiffrement de clé publique pour sécuriser les communications entre les participants et le concentrateur. Le chiffrement de clé publique utilise une paire de clés mathématiquement liées. Un document chiffré avec la première clé doit être déchiffré avec la seconde et un document chiffré avec la seconde clé doit être déchiffré avec la première.

Chaque participant d'un système de clé publique dispose d'une paire de clés. L'une des clés est maintenue secrète, il s'agit de la clé privée. L'autre clé est distribuée à quiconque la demande, il s'agit de la clé publique. WebSphere Business Integration Connect utilise une clé publique de participant pour chiffrer un document. La clé privée est utilisée pour le déchiffrer.

Utilitaire ikeyman

Comme décrit dans les sections suivantes, l'outil IBM de gestion des clés (ikeyman) est utilisé pour créer des bases de données de clés, des paires de clés publiques et privées et des demandes de certificats. Vous pouvez également utiliser ikeyman pour créer des certificats d'auto-signature. L'utilitaire ikeyman se trouve dans le répertoire <rép_install_WBIC>/router/was/bin, créé par WebSphere Business Installation Connect au cours de l'installation.

Vous pouvez également utiliser ikeyman pour générer une demande de certificat auprès d'une autorité de certification.

Remarque : L'utilitaire createCert.sh permet également de générer des certificats d'auto-signature.

Console de communauté

Utilisez la Console de communauté pour installer tous les certificats client, de signature et de chiffrement pour le stockage de WebSphere Business Integration Connect. Vous pouvez également utiliser la Console de communauté pour installer les certificats racine et d'autorité de certification.

Remarque : Lorsque le certificat d'un participant expire, la responsabilité lui incombe d'obtenir un nouveau certificat. La fonction d'alerte de la Console de communauté inclut des alertes d'expiration de certificat pour les certificats stockés dans WebSphere Business Integration Connect.

Magasins de clés et magasins de relations de confiance

Lorsque vous installez WebSphere Business Integration Connect, un magasin de clés et un magasin de relations de confiance sont installés pour le réceptionnaire et la console.

Par défaut, les deux magasins de clés et les deux magasins de relations de confiance sont créés dans le répertoire racine_install_WBIC/common/security/keystore, sous les noms suivants :

Le mot de passe par défaut permettant d'accéder aux quatre magasins est WebAS. L'application WebSphere Application Server imbriquée est configurée pour utiliser ces quatre magasins.

Remarque : La commande Unix suivante peut être utilisée pour modifier le mot de passe du fichier de magasin de clés :

/racine_install_WBIC/console/was/java/bin/keytool
  -storepasswd -new $NEW_PASSWORD$ -keystore $KEYSTORE_LOCATION$
  -storepass $CURRENT_PASSWORD$
  -storetype JKS
 

Si les mots de passe des magasins de clés sont changés, la configuration de chaque instance de WebSphere Application Server doit l'être également. Ceci peut se faire à l'aide du script bcgChgPassword.jacl. Pour l'instance de la console, naviguez jusqu'au répertoire suivant :

/racine_install_WBIC/console/was/bin
 

et exécutez la commande suivante :

./wsadmin.sh -f /racine_install_WBIC/console/scripts/
 bcgChgPassword.jacl -conntype NONE
 

Répétez cette étape pour les instances de WebSphere Application Server du réceptionnaire et du gestionnaire de documents.

Vous êtes alors invité à saisir le nouveau mot de passe.

Remarque : Si un certificat du magasin de relations de confiance est expiré, vous devez ajouter un nouveau certificat pour le remplacer à l'aide la procédure suivante :

  1. Lancez ikeyman, s'il n'est pas déjà en cours d'exécution.
  2. Ouvrez le fichier du magasin de relations de confiance.
  3. Saisissez le mot de passe et cliquez sur OK.
  4. Dans le menu, sélectionnez ///Signer Certificates.
  5. Cliquez sur le bouton d'ajout.
  6. Sélectionnez un type de donnés, tel que "données ASCII codées en base 64".

    Ce type de données doit correspondre au type de données du certificat importé.

  7. Saisissez un nom de fichier de certificat et un emplacement pour le certificat numérique racine de l'autorité de certification ou cliquez sur Parcourir pour sélectionner le nom et l'emplacement.
  8. Cliquez sur OK.
  9. Saisissez un libellé pour le certificat importé.
  10. Cliquez sur OK.

Copyright IBM Corp. 1997, 2004