Secure Socket Layer

Cette fonction active le support des connexions SSL (Secure Sockets Layer). Le programme d'écoute HTTPS sécurisé est démarré uniquement si la fonction ssl-1.0 est activée. Le profil Liberty fournit un fichier de clés et un fichier de clés certifiées factices identiques à ceux fournis par les versions de WebSphere Application Server.

Activation de cette fonction

Pour activer la fonction Secure Socket Layer, ajoutez la déclaration d'élément suivante dans l'élément featureManager de votre fichier server.xml :
<feature>ssl-1.0</feature>

Versions de Java™ prises en charge

  • JavaSE-1.6
  • JavaSE-1.7
  • JavaSE-1.8

Développement d'une fonction qui dépend de cette fonction

Si vous développez une fonction qui dépend de la fonction Secure Socket Layer, incluez l'élément suivant dans l'en-tête Subsystem-Content du fichier manifeste de fonction pour votre nouvelle fonction :
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"

Packages SPI fournis par cette fonction

Eléments de configuration de la fonction

Vous pouvez utiliser les éléments suivants dans votre fichier server.xml pour configurer la fonction Secure Socket Layer :

channelfw
Définit les paramètres de gestion de chaîne et de canal.
Nom de l'attribut Type de données Valeur par défaut Description
chainQuiesceTimeout Période avec une précision à la milliseconde près 30s Durée par défaut à attendre avant la mise au repos des chaînes. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
chainStartRetryAttempts int

Minimum : 0

60 Nombre de nouvelles tentatives à effectuer par chaîne.
chainStartRetryInterval Période avec une précision à la milliseconde près 5s Intervalle entre les tentatives de démarrage. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
warningWaitTime Période avec une précision à la milliseconde près 10s Délai d'attente avant la notification d'une configuration de fabrique manquante. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
keyStore
Référentiel de certificats de sécurité utilisé pour le chiffrement SSL.
Nom de l'attribut Type de données Valeur par défaut Description
fileBased boolean true Spécifiez true si le magasin de clés est basé sur fichier et false si le magasin de clés est un fichier de clés SAF ou un magasin de clés matériel.
id string   ID de configuration unique.
location Chemin vers un fichier ${server.output.dir}/resources/security/key.jks Chemin absolu ou relatif du fichier de clés. Si un chemin relatif est indiqué, le serveur tente de trouver le fichier dans le répertoire ${server.config.dir}/resources/security. Utilisez le fichier de clés pour un fichier de clés sur fichier, le nom des fichiers de clés SAF ou le fichier de configuration de périphérique pour les périphériques de chiffrement de matériel. Dans la configuration minimale SSL, l'emplacement du fichier est supposé être ${server.config.dir}/resources/security/key.jks.
password Mot de passe codé réversible (chaîne)   Mot de passe permettant de charger le fichier de clés. La valeur peut être enregistrée en texte clair ou sous forme codée. Utilisez l'outil securityUtility pour coder le mot de passe.
pollingRate Période avec une précision à la milliseconde près 500ms Fréquence à laquelle le serveur recherche des mises à jour pour un fichier de clés. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
readOnly boolean false Spécifiez true si le magasin de clés doit être utilisé par le serveur pour la lecture et false si les opérations d'écriture sont effectuées par le serveur sur le magasin de clés.
type string jks Type de fichier de clés pris en charge par le kit SDK cible.
updateTrigger
  • mbean
  • polled
  • disabled
mbean Déclencheur ou méthode de mise à jour de fichier de magasin de clés
mbean
Le serveur met uniquement à jour le magasin de clés lorsqu'il y est invité par un bean géré appelé par un programme externe, tel un environnement de développement intégré ou une application de gestion.
polled
Le serveur recherche les modifications de fichier de clés selon un intervalle d'interrogation et effectue une mise à jour s'il existe des modifications détectables.
disabled
La surveillance de toute mise à jour est désactivée. Les modifications apportées au fichier de magasin de clés ne seront pas appliquées tant que le serveur est en cours d'exécution.
ssl
Un répertoire SSL avec un ID, un fichier de clés défini et un fichier de clés certifiées en option.
Nom de l'attribut Type de données Valeur par défaut Description
clientAuthentication boolean false Indique si l'authentification client est activée. Si la valeur est true, l'authentification client est alors requise et le client doit fournir un certificat pour les niveaux de confiance du serveur.
clientAuthenticationSupported boolean false Indique si une authentification client est prise en charge. Si la valeur est true, la prise en charge d'authentification client signifie que le serveur vérifie le niveau de confiance d'un client lorsque le client présente un certificat.
clientKeyAlias string   Spécifie l'alias du certificat dans le magasin de clés utilisé comme clé pour l'envoi à un serveur pour lequel l'authentification client est activée. Cet attribut est requis uniquement si le magasin de clés comporte plusieurs entrées de clé.
enabledCiphers string   Spécifie une liste personnalisée de chiffrements. Séparez chaque chiffrement de la liste par un espace. Le chiffrement pris en charge dépend de l'environnement JRE sous-jacent utilisé. Recherchez dans l'environnement JRE les chiffrements valides.
id string   ID de configuration unique.
keyStoreRef string   Fichier de clés contenant des entrées de clé pour le répertoire SSL. Cet attribut est requis.
securityLevel
  • MEDIUM
  • CUSTOM
  • HIGH
  • LOW
HIGH Spécifie le groupe de suites de chiffrement utilisé par l'établissement de liaison SSL. HIGH correspond à 3DES et à des suites de chiffrement 128 bits, MEDIUM à DES et à des suites de chiffrement 40 bits et LOW à des suites sans chiffrement. Si l'attribut enabledCiphers est utilisé, la liste securityLevel est ignorée.
MEDIUM
%repertoire.MEDIUM
CUSTOM
%repertoire.CUSTOM
HIGH
Suites de chiffrement 3DES et 128 bits et versions ultérieures
LOW
%repertoire.LOW
serverKeyAlias string   Spécifie l'alias du certificat se trouvant dans le magasin de clés utilisé comme clé du serveur. Cet attribut est requis uniquement si le magasin de clés comporte plusieurs entrées de clé.
sslProtocol string   Protocole d'établissement de liaison SSL. Les valeurs de protocole sont disponibles dans la documentation pour le fournisseur JSSE (Java Secure Socket Extension) de l'environnement JRE sous-jacent. La valeur par défaut est SSL_TLS lors de l'utilisation de l'environnement JRE IBM et SSL lors de l'utilisation de l'environnement JRE Oracle.
trustStoreRef string ${keyStoreRef} Fichier de clés contenant des entrées de certificat sécurisées utilisé par le répertoire SSL pour la vérification des signatures. Cet attribut est facultatif. S'il n'est pas défini, le même fichier de clés est utilisé à la fois pour les entrées de certificat fiables et les clés.
sslDefault
Répertoire par défaut pour les services SSL.
Nom de l'attribut Type de données Valeur par défaut Description
sslRef string defaultSSLConfig Nom du répertoire SSL qui sera utilisé par défaut. Le répertoire SSL defaultSSLConfig est utilisé lorsque aucun autre répertoire n'est indiqué.
sslOptions
Configuration du protocole SSL pour un transport.
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
sessionTimeout Période avec une précision à la seconde près 1d Délai d'attente avant qu'une demande de lecture ou d'écriture n'aboutisse sur un socket. Cette valeur est supplantée par les temporisations (timeouts) propres au protocole. Indiquez une valeur entière suivie d'une unité de temps, qui peut être heure (h), minute (m) ou seconde (s). Par exemple, pour 30 secondes, indiquez 30s. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1m30s correspond à 90 secondes.
sslRef string   Répertoire de configuration SSL par défaut. La valeur par défaut est defaultSSLSettings.
suppressHandshakeErrors boolean false Désactiver la consignation des erreurs d'établissement de liaison SSL. Ces erreurs peuvent se produire en mode de fonctionnement normal ; toutefois, ces messages peuvent être utiles lorsque SSL se comporte de manière inattendue.
tcpOptions
Définit les paramètres de protocole TCP.
Nom de l'attribut Type de données Valeur par défaut Description
id string   ID de configuration unique.
inactivityTimeout Période avec une précision à la milliseconde près 60s Délai d'attente avant qu'une demande de lecture ou d'écriture n'aboutisse sur un socket. Cette valeur est supplantée par les temporisations (timeouts) propres au protocole. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie.
soReuseAddr boolean true Permet une nouvelle liaison immédiate à un port sans écouteur actif.

Icône indiquant le type de rubrique Rubrique de référence

Dispositions pour les centres de documentation | Commentaires


Icône d'horodatage Dernière mise à jour: Wednesday, 2 September 2015
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=phil&product=was-libcore-mp&topic=rwlp_feature_ssl-1.0
Nom du fichier : rwlp_feature_ssl-1.0.html