Gestion de la confidentialité de bout en bout

La sécurité des messages et des données métier d'un système est essentielle, du moment où ils quittent l'adaptateur source jusqu'à celui où ils atteignent l'adaptateur cible, en passant par leur transfert dans InterChange Server Express. La vérification des points d'extrémité est l'un des éléments clés d'un système sécurisé. IBM WebSphere Business Integration Server Express offre un niveau de sécurité à chaque extrémité du flux d'informations, garantissant ainsi la sécurisation des données de bout en bout.

La plupart des communications métier d'InterChange Server Express sont transférées via des systèmes asynchrones tels que JMS et MQ Series, ce qui entraîne le stockage des messages sur disque, au niveau du gestionnaire de files d'attente, en attendant leur traitement. La confidentialité de bout en bout garantit la sécurisation des messages à ce niveau.

Pour utiliser la confidentialité de bout en bout afin de protéger vos messages, vous devez l'activer dans le fichier de configuration adéquat. La confidentialité de bout en bout peut être activée ou désactivée individuellement pour chaque adaptateur.

Il est important de noter que la configuration de la confidentialité de bout en bout à l'aide de System Manager n'aura d'incidence que sur les messages transmis à l'adaptateur par InterChange Server Express, alors que la configuration de l'adaptateur à l'aide de Connection Configurator n'aura d'incidence que sur les messages transmis à InterChange Server par l'adaptateur.

Remarque :
Pour obtenir des informations détaillées sur les concepts et la fonctionnalité de confidentialité de bout en bout, consultez le manuel Technical Introduction to IBM WebSphere Business Integration Server.

Cette section traite des points suivants :

Procédure d'activation de la confidentialité de bout en bout à l'aide de System Manager

Procédure d'activation de la confidentialité de bout en bout à l'aide de Connector Configurator

Procédure de modification des paramètres de confidentialité à l'aide de System Manager

Procédure de modification des paramètres de confidentialité à l'aide de Connector Configurator

Gestion des clés et des magasins de clés

Procédure d'activation de la confidentialité de bout en bout à l'aide de System Manager

Pour activer la confidentialité de bout en bout à l'aide de System Manager, procédez comme suit :

  1. Dans la page des données confidentielles (figurant dans le menu contextuel Modifier la configuration du serveur), entrez le chemin d'accès au magasin de clés. Pour obtenir des informations complémentaires sur les magasins de clés, voir Gestion des clés et des magasins de clés.
  2. Entrez le mot de passe du magasin de clés.
  3. Pour importer un paramètre de confidentialité particulier, cliquez sur le bouton Importer le paramètre de confidentialité et sélectionnez l'un des connecteurs proposés. Cette opération permet de charger les paramètres de configuration de la confidentialité définis dans le fichier de configuration du connecteur concerné.
  4. Pour définir un paramètre de confidentialité général, sélectionnez un type de message dans la liste déroulante. Les possibilités sont les suivantes :
  5. Dans la liste déroulante correspondante, sélectionnez un niveau de sécurité. Les possibilités sont les suivantes :
  6. Sélectionnez un emplacement de destination des messages, par exemple System Test Connector ou Destination Connector. Il s'agit d'une distinction facultative, utilisée uniquement lorsque la confidentialité de bout en bout a été configurée pour le connecteur concerné.
  7. Pour définir un paramètre de confidentialité pour un objet métier particulier, entrez le nom de cet objet métier ou sélectionnez-le dans la liste proposée.
  8. Dans la liste déroulante correspondante, sélectionnez un niveau de sécurité. Les possibilités sont les suivantes :
  9. Sélectionnez un emplacement de destination des messages, par exemple System Test Connector ou Destination Connector. Il s'agit d'une distinction facultative, utilisée uniquement lorsque la confidentialité de bout en bout a été configurée pour le connecteur concerné.

Procédure d'activation de la confidentialité de bout en bout à l'aide de Connector Configurator

Pour activer la confidentialité de bout en bout, procédez comme suit :

  1. Dans Connector Configurator, sélectionnez l'onglet Sécurité.
  2. Cochez la case pour activer le paramètre de sécurité. Cette case n'est active que si le transport est JMS.
  3. Sélectionnez la liste déroulante sous l'en-tête Niveau de confidentialité des messages pour affecter le niveau de confidentialité approprié à chaque message, message administratif et message d'objet métier. Les possibilités sont les suivantes :
  4. Enregistrez la configuration de votre connecteur pour activer les paramètres de confidentialité.

Procédure de modification des paramètres de confidentialité à l'aide de System Manager

Pour modifier les paramètres de confidentialité de bout en bout à l'aide de System Manager, procédez comme suit :

  1. Dans la page des données confidentielles (figurant dans le menu contextuel Modifier la configuration du serveur), mettez à jour les informations suivantes :

Procédure de modification des paramètres de confidentialité à l'aide de Connector Configurator

Pour modifier les paramètres de confidentialité de bout en bout à l'aide de Connector Configurator, procédez comme suit :

  1. Dans Connector Configurator, sélectionnez l'onglet Sécurité.
  2. Sélectionnez ou désélectionnez la case à cocher pour modifier les le paramètre de confidentialité. Cette case n'est active que si le transport est JMS.
  3. Si la confidentialité est activée, sélectionnez la liste déroulante sous l'en-tête Niveau de confidentialité des messages pour affecter le niveau de confidentialité approprié à chaque message, message administratif et message d'objet métier. Les possibilités sont les suivantes :
  4. Enregistrez la configuration de votre connecteur pour activer les paramètres de confidentialité modifiés.

Gestion des clés et des magasins de clés

Un magasin de clés est un fichier protégé par mot de passe permettant de stocker de façon sécurisée les clés privées et publiques utilisées pour la vérification de la confidentialité. Un magasin de clés est associé au serveur, ainsi qu'à chaque adaptateur individuel. IBM WebSphere Business Integration Server contient un magasin de clés privées et publiques pour InterChange Server Express, ainsi que les clés publiques de chaque adaptateur. Le magasin de clés de chaque adaptateur contient les clés privées et publiques de cet adaptateur, ainsi que la clé publique d'InterChange Server.

Le chemin d'accès complet au magasin de clés et le mot de passe correspondant, chiffré lors du démarrage, sont contenus dans le fichier de configuration. Le mot de passe de la clé privée doit être le même que celui du magasin de clés.

Procédure de création de clés à l'aide de Connector Configurator

Pour créer les clés et magasins de clés à l'aide de l'interface graphique de Connector Configurator, procédez comme suit :

  1. Ouvrez l'écran Connector Configurator du connecteur applicable et sélectionnez l'onglet Sécurité. A partir de cet onglet, vous pouvez activer la confidentialité de bout en bout, définir vos niveaux de confidentialité, gérer les clés et définir le contrôle d'accès à l'adaptateur.
  2. Cliquez sur le bouton Générer les clés. L'écran Générer les clés s'affiche.
  3. Entrez les informations suivantes pour compléter le processus de création des clés :
  4. Entrez l'une des informations ci-dessous. Une seule est nécessaire à la création de la clé :
  5. Cliquez sur le bouton OK pour enregistrer les informations relatives aux clés.

Procédure de création de clés à l'aide de l'outil Keytool

Pour créer des clés et des magasins de clés à l'aide de l'outil Keytool, procédez comme suit :

  1. Lancez l'outil Keytool situé dans le répertoire JDK_HOME/bin.
  2. Créez une entrée de clé publique et une entrée de clé privée pour le serveur en entrant la ligne de commande suivante, où nom correspond au nom du magasin de clés, mot de passe au mot de passe du magasin de clés et IC.keystore au nom du fichier de magasin de clés :

    keytool -genkey -alias nom -keyalg RSA -keypass mot de passe -storepass mot de passe -keystore IC.keystore
  3. Exportez la clé publique du serveur vers un fichier en entrant la ligne de commande suivante :

    keytool -export -alias nom -storepass mot de passe -file IC.cer -keystore IC.keystore
    Remarque :
    L'agent d'adaptateur importera alors le fichier IC.cer lors de l'importation de la clé publique du serveur dans son magasin de clés.
  4. Créez une entrée de clé privée et une entrée de clé publique pour l'agent d'adaptateur en entrant la ligne de commande suivante, où nom_connecteur correspond au nom du magasin de clés, mot de passe au mot de passe du magasin de clés et Adapter.keystore au nom du fichier de magasin de clés :

    keytool -genkey -alias nom_connecteur -keyalg RSA -keypass mot de passe -storepass mot de passe -keystore Adapter.keystore
  5. Exportez la clé publique de l'adaptateur vers un fichier en entrant la ligne de commande suivante :

    keytool -export -alias nom_connecteur -storepass mot de passe -file Adapter.cer -keystore Adapter.keystore
  6. Activez les paramètres de confidentialité en important la clé de l'agent d'adaptateur dans le magasin de clés du serveur. Pour ce faire, entrez la ligne de commande suivante :

    keytool -import -v -trustcacerts - alias nom_connecteur -storepass mot de passe -file Adapter.cer -keystore IC.keystore
  7. Importez la clé publique du serveur vers le magasin de clés de l'agent d'adaptateur en entrant la ligne de commande suivante :

    keytool -import -v -trustcacerts - alias connectorname.queue.manager -storepass mot de passe -file IC.cer -keystore Adapter.keystore

Procédure d'exportation de la clé publique de l'adaptateur

Pour exporter la clé publique de l'adaptateur, procédez comme suit :

  1. Ouvrez l'écran Connector Configurator du connecteur applicable et sélectionnez l'onglet Sécurité.
  2. Cliquez sur le bouton Exporter la clé publique de l'adaptateur.
  3. Dans l'écran Exporter la clé publique de l'adaptateur, entrez les informations suivantes :
  4. Cliquez sur Ok pour exporter la clé de l'adaptateur.

Procédure d'importation de la clé publique du serveur

Pour importer la clé publique du serveur, procédez comme suit :

  1. Ouvrez l'écran Connector Configurator du connecteur applicable et sélectionnez l'onglet Sécurité.
  2. Cliquez sur le bouton Importer la clé publique du serveur.
  3. Dans l'écran Importer la clé publique du serveur, entrez les informations suivantes :
  4. Cliquez sur OK pour importer la clé du serveur.

Copyright IBM Corp. 2004, 2005