Vous pouvez configurer TLS (Transport Layer Security) en ajoutant un fichier de clés, un fichier de clés certifiées et en choisissant un alias de certificat pour la configuration.
Avant de commencer
Vous pouvez configurer TLS avec la version 1.0.0.4 ou une version suivante.
- Vous devez utiliser le correctif WebSphere eXtreme
Scale Client version 7.1 ou suivante.
- Vous devez disposer de droits d'accès d'administrateur du dispositif pour réaliser ces étapes.
- Vous devez disposer d'un fichier de clés, d'un fichier de clés certifiées et des mots de passe associés à ajouter à la configuration du dispositif.
- Pour éviter les avertissements de navigateur lorsque vous accédez à l'interface utilisateur depuis des dispositifs différents, incluez un caractère générique dans le nom usuel du certificat dans le fichier de clés certifiées. Chaque dispositif utilise le même certificat pour la configuration TLS que celle définie par l'alias de certificat. Par exemple, vous pouvez utiliser *.mycompany.com au lieu de
myhost.mycompany.com pour que le certificat soit valide pour tous les hôtes du domaine mycompany.
Pourquoi et quand exécuter cette tâche
Les paramètres TLS s'appliquent à l'interface utilisateur et aux grilles de données.
Les paramètres sont appliqués à tous les dispositifs de la collectivité.
Procédure
- Accédez au panneau Paramètres. Pour gérer vos options de sécurité, accédez au panneau Paramètres en utilisant l'une des méthodes suivantes :
- Dans la barre de menus de l'interface utilisateur de WebSphere DataPower XC10 Appliance, sélectionnez .
- Depuis la page Bienvenue, cliquez sur le lien Personnaliser les paramètres dans la section Etape 1 : Configurer le dispositif.
- Développez TLS (Transport Layer Security).
- Envoyez les nouvelles informations de fichier de clés et de fichier de clés certifiées. Ensuite, vous devez mettre à jour le mot de passe associé. Si vous utilisez le fichier de clés certifiées par défaut, le mot de passe est xc10pass.
- Si vous avez envoyé un fichier de clés, sélectionnez l'alias de certificat de la collectivité à utiliser.
- Définissez le type de transport. Si vous voulez prendre en charge les deux protocoles
TCP/IP et TLS, sélectionnez TLS pris en charge.
Si vous voulez imposer les connexions via le protocole TLS, sélectionnez TLS requis.
- Pour que le client envoie un certificat accrédité pour activer la communication, sélectionnez Activer l'authentification du certificat client.
- Cliquez sur Soumettre les paramètres TLS pour enregistrer les modifications de la configuration.
Résultats
Le fichier de clés certifiées configuré est actif. La collectivité doit redémarrer pour terminer l'application des modifications à la configuration TLS.
Certaines parties de l'interface utilisateur sont accessibles lorsque la collectivité redémarre. Si vous ne pouvez pas accéder à des parties de l'interface utilisateur, attendez un certain temps et renvoyez la demande. Le panneau des tâches indique certaines modifications automatiquement en affichant l'état d'aboutissement.
Il peut être nécessaire de redémarrer le navigateur, de vous déconnecter et de vous reconnecter à l'interface utilisateur ou d'accréditer de nouveaux certificats depuis une invite de navigateur.
Si l'interface utilisateur semble indisponible lorsque l'authentification du client est activée, vérifiez que vous avez importé un certificat de client accrédité vers le navigateur. Si vous ne l'avez pas fait, vous ne pouvez pas accéder à l'interface utilisateur. Une fois connecté à l'interface utilisateur, la tâche indique l'aboutissement de la configuration TLS.
Pour télécharger le fichier de clés certifiées actif à tout moment, cliquez sur Télécharger le fichier de clés certifiées actif.
Il est utile de télécharger le fichier de clés certifiées si vous ajoutez des entrées accréditées pour l'authentification client. A la fin du téléchargement, vous pouvez vérifier que vous modifiez le dernier fichier de clés certifiées. Si vous envoyez un nouveau fichier de clés certifiées, ce dernier devient disponible pour le téléchargement après avoir envoyé les nouveaux paramètres. Le nom de fichier du fichier de clés certifiées téléchargé n'est pas identique au fichier d'origine utilisé lors de l'envoi du fichier de clés certifiées.
Que faire ensuite
- Si vous configurez une grille de données avec WebSphere
Application Server et que TLS est requis ou que vous voulez que WebSphere
Application Server utilise TLS, vous devez également activer la sécurité globale. Pour plus d'informations sur la configuration de la sécurité globale, voir Paramètres de sécurité globale. Vous devez également ajouter le certificat public du dispositif aux fichier de clés certifiées WebSphere
Application Server. Utilisez l'une des options suivantes :
- Si vous utilisez le fichier de clés certifiées de dispositif par défaut : exécutez
le script addXC10PublicCert.py depuis le répertoire WAS_HOME/bin
sur le gestionnaire de déploiement pour ajouter le certificat public du dispositif aux fichiers de clés certifiées WebSphere
Application Server par défaut.
- Si vous utilisez des clés personnalisées pour le dispositif : exécutez le script addXC10PublicCert.py depuis le répertoire WAS_HOME/bin sur le gestionnaire de déploiement avec l'option de ligne de commande -certPath pour insérer le certificat public du dispositif aux fichiers de clés certifiées WebSphere
Application Server par défaut. La valeur de l'option de ligne de commande -certPath est l'emplacement disque du certificat public qui correspond à l'alias configuré pour le fichier de clés certifiées dans le dispositif.
Si vous générez de nouvelles paires de clés pour le dispositif et utilisez la gestion de session HTTP, quels que soient les paramètres TLS, vous devez transférer le nouveau certificat public de dispositif vers les fichiers de clés certifiées WebSphere
Application Server pour que l'administration de la gestion de session HTTP WebSphere DataPower XC10 Appliance fonctionne.
- Vous pouvez utiliser une autorité de certificat (CA) privée pour signer le certificat associé à l'alias de certificat que vous avez choisi pour la configuration TLS. Ensuite, vous pouvez importer le certificat CA vers le navigateur et accréditer n'importe quelle collectivité avec un certificat signé par la CA privée sans afficher d'invite. L'utilisation d'une CA privée s'applique généralement uniquement pour l'accès à un intranet privé.