[AIX Solaris HP-UX Linux Windows][z/OS]

Configuration de SSL entre le serveur d'administration d'IBM HTTP Server et le gestionnaire de déploiement

Configurez SSL (Secure Sockets Layer) entre le gestionnaire de déploiement pour WebSphere Application Server et le serveur d'administration d'IBM® HTTP Server, appelé adminctl.

Pourquoi et quand exécuter cette tâche

Le serveur d'applications possède de nouvelles fonctions de gestion SSL qui doivent être gérées correctement pour qu'IBM HTTP Server puisse se connecter à une demande SSL. Dans les versions précédentes, les connexions SSL utilisaient des certificats factices par défaut qui étaient échangés entre IBM HTTP Server et le serveur d'applications. Dans WebSphere Application Server, vous devez configurer le serveur d'applications de sorte qu'il accepte un certificat auto-signé d'IBM HTTP Server, pour que les connexions SSL soient acceptées et les transactions effectuées.

Si le serveur d'applications et le serveur d'administration d'IBM HTTP Server ne sont pas correctement configurés, le serveur d'applications affiche toutes les erreurs reçues dans le fichier journal pour le gestionnaire de déploiement. Lorsque le serveur d'administration d'IBM HTTP Server tente de se connecter via SSL alors que le serveur d'applications n'est pas configuré, vous pouvez recevoir un message d'erreur similaire au suivant :
-CWPKI0022E: ECHEC D'ETABLISSEMENT DE LIAISON SSL : Un signataire avec SubjectDN "CN=localhost" a été envoyé depuis l'hôte cible : port "null:null".
Il est possible que le signataire doive être ajouté au stockage des tiers dignes de confiance "c:/619/app2/profiles/Dmgr01/config/cells/rjrCell02/trust.p12"
localisé dans l'alias de configuration SSL "CellDefaultSSLSettings"
chargé depuis le fichier de configuration SSL "security.xml".  
Le message d'erreur complet provenant de l'exception d'établissement de liaison SSL est : "Aucun certificat sécurisé n'a été détecté".

-IOException javax.net.ssl.SSLHandshakeException: 
com.ibm.jsse2.util.h : Aucun certificat sécurisé n'a été détecté

Procédure

  1. Obtenez un certificat serveur. Vous pouvez générer un certificat auto-signé ou utiliser le certificat existant dans le plug-in de serveur Web d'IBM HTTP Server.
    • Utilisez le certificat auto-signé existant dans le plug-in de serveur Web d'IBM HTTP Server.
    • Créez un fichier de base de données de clés CMS et un certificat serveur auto-signé. Utilisez l'utilitaire iKeyman pour les systèmes d'exploitation distribués et l'outil gskkyman pour les systèmes d'exploitation z/OS. Cette étape et les étapes suivantes supposent que vous utilisez l'utilitaire iKeyman.
      • [AIX Solaris HP-UX Linux Windows] Utilisez la ligne de commande ou l'interface graphique de l'utilitaire iKeyman d'IBM HTTP Server pour créer un fichier de base de données de clés CMS et un certificat serveur auto-signé.
        Utilisez l'utilitaire iKeyman afin de créer un certificat serveur auto-signé pour le serveur d'administration d'IBM HTTP Server, puis enregistrez le certificat sous le nom /conf/admin.kdb.
        Pratiques recommandées Pratiques recommandées : Prenez note du mot de passe et sélectionnez Stocker le mot de passe dans un fichier.bprac
        Les zones ci-dessous sont obligatoires pour le certificat :
        Libellé
        adminselfSigned
        Nom commun
        nom_d'hôte_qualifié_complet
      • [z/OS] IBM HTTP Server utilise l'outil gskkyman z/OS pour la gestion des clés afin de créer un fichier de bases de données de clés CMS, des paires de clés publiques et privées, et des certificats auto-signés. Vous pouvez aussi créer un fichier de clés à la place d'un fichier de base de données de clés CMS.
        • Pour plus d'informations sur gskkyman, voir Gestion des clés à l'aide de la base de données de clés z/OS native.
        • Pour plus d'informations sur la création de fichiers de clés SAF, voir Authentification avec SAF sur IBM HTTP Server et Directive keyfile SSL.
  2. Extrayez le certificat dans un fichier à l'aide de l'utilitaire iKeyman.
    1. Sélectionnez le certificat que vous avez créé à l'étape 1, par exemple, adminselfSigned.
    2. Cliquez sur Extraire le certificat. Le nom de fichier recommandé pour l'extraction est C:\Program Files\IBM\HTTPServer\conf\cert.arm.
      Eviter les incidents Eviter les incidents : Ne modifiez pas le type de données.gotcha
  3. Modifiez le fichier de configuration du serveur d'administration appelé admin.conf.
    1. Configurez le fichier de sorte qu'il charge le module SSL IBM. Supprimez la mise en commentaire de la ligne suivante :
      LoadModule ibm_ssl_module modules/mod_ibm_ssl.so
    2. Activez SSL et définissez un fichier de clés à utiliser. Supprimez la mise en commentaire des lignes suivantes pour activer SSL et définir un fichier de clés à utiliser :
      SSLEnable
      SSLServerCert default
      Keyfile "C:/Program Files/IBM/HTTPServer5/conf/admin.kdb"
      Eviter les incidents Eviter les incidents : Prenez connaissance des éléments suivants :
      • La directive Keyfile doit correspondre au nom et à l'emplacement d'un fichier de clés valide installé sur votre système.
      • La prise en charge SSL IBM doit être installée pour que cette opération fonctionne.
      • La valeur par défaut dans SSLServerCert correspond au libellé, ou nom, du certificat auto-signé qui est créé au moment de la création du fichier plugin-key.kdb.
      • L'exemple précédent utilise SSLServerCert car le certificat auto-signé par défaut dans le fichier plugin-key.kdb n'est pas marqué comme le certificat par défaut.
      gotcha
  4. Démarrez le serveur d'administration pour IBM HTTP Server. Vérifiez que le fichier journal ne contient pas d'erreurs GSKIT.
  5. Configurez WebSphere Application Server.
    1. Connectez-vous à la console d'administration pour le serveur d'applications et démarrez le gestionnaire de déploiement.
    2. Sélectionnez Sécurité > Gestion des certificats SSL et des clés.
    3. Sélectionnez Gérer les configurations de sécurité du noeud final. Vous êtes dirigé vers la liste des noeuds finaux entrants et sortants.
    4. Sélectionnez la cellule sortante (cellDefaultSSLSettings,null). Sélectionnez les cellules sortantes car dans cette configuration, la console d'administration pour le serveur d'applications est le client, et le serveur d'administration d'IBM HTTP Server est le serveur.
      Eviter les incidents Eviter les incidents : Cette configuration est la configuration inverse par rapport à une configuration SSL avec le plugin IBM HTTP Server et le serveur d'applications.gotcha
    5. Dans la section Articles liés, cliquez sur Magasins de clés et certificats.
    6. Cliquez sur CellDefaultTrustStore.
    7. Dans la section Propriétés supplémentaires, cliquez sur Certificats de signataire.
    8. Envoyez le fichier de certificat par FTP au serveur d'applications. Ne modifiez pas le type de données.
    9. Dans le panneau de collection des certificats de signataire, cliquez sur Ajouter. Entrez les informations suivantes dans les zones.
      Tableau 1. Informations sur les certificats de signataire
      Nom Valeur
      Alias adminselfSigned
      Nom de fichier nom_fichier
      Par exemple, entrez ce qui suit :
      c:\program files\ibm\httpserver\conf\cert.arm
    10. Sauvegardez les modifications de configuration dans la console d'administration.
    11. Arrêtez le gestionnaire de déploiement.
    12. Lancez le gestionnaire de déploiement.

Résultats

Le serveur d'applications et le serveur d'administration d'IBM HTTP Server sont maintenant configurés pour utiliser les transactions SSL.
Rubrique Tâche    

Dispositions pour les centres de documentation | Commentaires

Dernière mise à jour : October 09, 2014 04:36 AM EDT
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=ihs-dist&topic=tihs_setupsslwithwas
Nom du fichier : tihs_setupsslwithwas.html