Secure Socket Layer
Cette fonction active le support des connexions SSL (Secure Sockets Layer). Le programme d'écoute HTTPS sécurisé est démarré uniquement si la fonction ssl-1.0 est activée. Le profil Liberty fournit un fichier de clés et un fichier de clés certifiées factices identiques à ceux fournis par les versions de WebSphere Application Server.
Activation de cette fonction
Pour activer la fonction
Secure Socket Layer, ajoutez la déclaration d'élément suivante dans
l'élément featureManager de votre
fichier server.xml :
<feature>ssl-1.0</feature>
Versions de Java™ prises en charge
- JavaSE-1.6
- JavaSE-1.7
- JavaSE-1.8
Développement d'une fonction qui dépend de cette fonction
Si vous développez une
fonction qui dépend de la fonction Secure Socket Layer,
incluez l'élément suivant dans l'en-tête Subsystem-Content du fichier
manifeste de fonction pour votre nouvelle fonction :
com.ibm.websphere.appserver.ssl-1.0; type="osgi.subsystem.feature"
Fonctions qui activent cette fonction
Packages SPI fournis par cette fonction
Eléments de configuration de la fonction
Vous pouvez utiliser les éléments suivants dans votre fichier server.xml pour configurer la fonction Secure Socket Layer :
- channelfw
- Définit les paramètres de gestion de chaîne et de canal.
Nom de l'attribut Type de données Valeur par défaut Description chainQuiesceTimeout Période avec une précision à la milliseconde près 30s Durée par défaut à attendre avant la mise au repos des chaînes. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. chainStartRetryAttempts int Minimum : 0
60 Nombre de nouvelles tentatives à effectuer par chaîne. chainStartRetryInterval Période avec une précision à la milliseconde près 5s Intervalle entre les tentatives de démarrage. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. warningWaitTime Période avec une précision à la milliseconde près 10s Délai d'attente avant la notification d'une configuration de fabrique manquante. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. - keyStore
- Référentiel de certificats de sécurité utilisé pour le chiffrement SSL.
Nom de l'attribut Type de données Valeur par défaut Description fileBased boolean true Spécifiez true si le magasin de clés est basé sur fichier et false si le magasin de clés est un fichier de clés SAF ou un magasin de clés matériel. id string ID de configuration unique. location Chemin vers un fichier ${server.output.dir}/resources/security/key.jks Chemin absolu ou relatif du fichier de clés. Si un chemin relatif est indiqué, le serveur tente de trouver le fichier dans le répertoire ${server.config.dir}/resources/security. Utilisez le fichier de clés pour un fichier de clés sur fichier, le nom des fichiers de clés SAF ou le fichier de configuration de périphérique pour les périphériques de chiffrement de matériel. Dans la configuration minimale SSL, l'emplacement du fichier est supposé être ${server.config.dir}/resources/security/key.jks. password Mot de passe codé réversible (chaîne) Mot de passe permettant de charger le fichier de clés. La valeur peut être enregistrée en texte clair ou sous forme codée. Utilisez l'outil securityUtility pour coder le mot de passe. pollingRate Période avec une précision à la milliseconde près 500ms Fréquence à laquelle le serveur recherche des mises à jour pour un fichier de clés. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. readOnly boolean false Spécifiez true si le magasin de clés doit être utilisé par le serveur pour la lecture et false si les opérations d'écriture sont effectuées par le serveur sur le magasin de clés. type string jks Type de fichier de clés pris en charge par le kit SDK cible. updateTrigger - mbean
- polled
- disabled
mbean Déclencheur ou méthode de mise à jour de fichier de magasin de clés - mbean
- Le serveur met uniquement à jour le magasin de clés lorsqu'il y est invité par un bean géré appelé par un programme externe, tel un environnement de développement intégré ou une application de gestion.
- polled
- Le serveur recherche les modifications de fichier de clés selon un intervalle d'interrogation et effectue une mise à jour s'il existe des modifications détectables.
- disabled
- La surveillance de toute mise à jour est désactivée. Les modifications apportées au fichier de magasin de clés ne seront pas appliquées tant que le serveur est en cours d'exécution.
- ssl
- Un répertoire SSL avec un ID, un fichier de clés défini et un fichier de clés certifiées en option.
Nom de l'attribut Type de données Valeur par défaut Description clientAuthentication boolean false Indique si l'authentification client est activée. Si la valeur est true, l'authentification client est alors requise et le client doit fournir un certificat pour les niveaux de confiance du serveur. clientAuthenticationSupported boolean false Indique si une authentification client est prise en charge. Si la valeur est true, la prise en charge d'authentification client signifie que le serveur vérifie le niveau de confiance d'un client lorsque le client présente un certificat. clientKeyAlias string Spécifie l'alias du certificat dans le magasin de clés utilisé comme clé pour l'envoi à un serveur pour lequel l'authentification client est activée. Cet attribut est requis uniquement si le magasin de clés comporte plusieurs entrées de clé. enabledCiphers string Spécifie une liste personnalisée de chiffrements. Séparez chaque chiffrement de la liste par un espace. Le chiffrement pris en charge dépend de l'environnement JRE sous-jacent utilisé. Recherchez dans l'environnement JRE les chiffrements valides. id string ID de configuration unique. keyStoreRef string Fichier de clés contenant des entrées de clé pour le répertoire SSL. Cet attribut est requis. securityLevel - MEDIUM
- CUSTOM
- HIGH
- LOW
HIGH Spécifie le groupe de suites de chiffrement utilisé par l'établissement de liaison SSL. HIGH correspond à 3DES et à des suites de chiffrement 128 bits, MEDIUM à DES et à des suites de chiffrement 40 bits et LOW à des suites sans chiffrement. Si l'attribut enabledCiphers est utilisé, la liste securityLevel est ignorée. - MEDIUM
- %repertoire.MEDIUM
- CUSTOM
- %repertoire.CUSTOM
- HIGH
- Suites de chiffrement 3DES et 128 bits et versions ultérieures
- LOW
- %repertoire.LOW
serverKeyAlias string Spécifie l'alias du certificat se trouvant dans le magasin de clés utilisé comme clé du serveur. Cet attribut est requis uniquement si le magasin de clés comporte plusieurs entrées de clé. sslProtocol string Protocole d'établissement de liaison SSL. Les valeurs de protocole sont disponibles dans la documentation pour le fournisseur JSSE (Java Secure Socket Extension) de l'environnement JRE sous-jacent. La valeur par défaut est SSL_TLS lors de l'utilisation de l'environnement JRE IBM et SSL lors de l'utilisation de l'environnement JRE Oracle. trustStoreRef string ${keyStoreRef} Fichier de clés contenant des entrées de certificat sécurisées utilisé par le répertoire SSL pour la vérification des signatures. Cet attribut est facultatif. S'il n'est pas défini, le même fichier de clés est utilisé à la fois pour les entrées de certificat fiables et les clés. - sslDefault
- Répertoire par défaut pour les services SSL.
Nom de l'attribut Type de données Valeur par défaut Description sslRef string defaultSSLConfig Nom du répertoire SSL qui sera utilisé par défaut. Le répertoire SSL defaultSSLConfig est utilisé lorsque aucun autre répertoire n'est indiqué. - sslOptions
- Configuration du protocole SSL pour un transport.
Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. sessionTimeout Période avec une précision à la seconde près 1d Délai d'attente avant qu'une demande de lecture ou d'écriture n'aboutisse sur un socket. Cette valeur est supplantée par les temporisations (timeouts) propres au protocole. Indiquez une valeur entière suivie d'une unité de temps, qui peut être heure (h), minute (m) ou seconde (s). Par exemple, pour 30 secondes, indiquez 30s. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1m30s correspond à 90 secondes. sslRef string Répertoire de configuration SSL par défaut. La valeur par défaut est defaultSSLSettings. suppressHandshakeErrors boolean false Désactiver la consignation des erreurs d'établissement de liaison SSL. Ces erreurs peuvent se produire en mode de fonctionnement normal ; toutefois, ces messages peuvent être utiles lorsque SSL se comporte de manière inattendue. - tcpOptions
- Définit les paramètres de protocole TCP.
Nom de l'attribut Type de données Valeur par défaut Description id string ID de configuration unique. inactivityTimeout Période avec une précision à la milliseconde près 60s Délai d'attente avant qu'une demande de lecture ou d'écriture n'aboutisse sur un socket. Cette valeur est supplantée par les temporisations (timeouts) propres au protocole. Indiquez une valeur entière positive suivie d'une unité de temps, qui peut être heure (h), minute (m), seconde (s) ou milliseconde (ms). Par exemple, pour 500 millisecondes, indiquez 500ms. Vous pouvez inclure plusieurs valeurs dans une même entrée. Par exemple, 1s500ms correspond à 1 seconde et demie. soReuseAddr boolean true Permet une nouvelle liaison immédiate à un port sans écouteur actif.