Vous pouvez configurer TLS (Transport Layer Security) en modifiant ou en remplaçant le fichier de clés et le fichier de clés certifiées et en choisissant un alias de certificat pour la configuration.
Avant de commencer
- Vous pouvez configurer TLS avec la version 1.0.0.4 ou une version suivante.
- Vous devez utiliser le correctif WebSphere eXtreme
Scale Client version 7.1 ou suivante.
- Vous devez disposer de droits d'accès d'administrateur du dispositif.
- Vous devez disposer d'un fichier de clés ou d'un fichier de clés certifiées avec les mots de passe associés à ajouter à la configuration du dispositif.
- Pour modifier le fichier de clés certifiées existant, vous pouvez le télécharger à partir du dispositif.
- Vous devez mettre à jour le fichier de clés certifiées à l'aide des certificats publics des clients. Le dispositif doit accréditer les clients qui se connectent.
- Le fichier de clés certifiées fourni doit inclure un certificat public correspondant à une entrée dans le fichier de clés. Les alias de certificat issus du fichier de clés doivent être accrédités dans le fichier de clés certifiées à fournir sous la forme d'une option de configuration possible pour l'alias de certificat du dispositif.
- Le paramètre de sécurité globale WebSphere
Application Server détermine comment le serveur tente de se connecter à WebSphere DataPower XC10 Appliance :
- Lorsque le paramètre de sécurité globale est désactivé, des tentatives de connexion sur TCP/IP sont effectuées.
- Lorsque le paramètre de sécurité globale est activé, vous devez ajouter le certificat public du dispositif aux fichiers de clés certifiées de WebSphere
Application Server.
Si le paramètre TLS requis de votre WebSphere DataPower XC10 Appliance est configuré, vous devez activer la sécurité globale.
Pour plus d'informations sur la configuration de la sécurité globale, voir Paramètres de sécurité globale.
Pourquoi et quand exécuter cette tâche
Les paramètres TLS s'appliquent à l'interface utilisateur et aux grilles de données.
Les paramètres sont appliqués à tous les dispositifs de la collectivité.
Procédure
- Obligatoire pour WebSphere
Application Server : Ajoutez le certificat public du dispositif aux fichiers de clés certifiées par défaut de WebSphere
Application Server.
- Si vous utilisez le fichier de clés certifiées par défaut du dispositif :
Exécutez le script
addXC10PublicCert.py à partir du répertoire
racine_was/bin du gestionnaire de déploiement. Utilisez la syntaxe suivante :
wsadmin -lang jython -f addXC10PublicCert.py
- Si vous utilisez des clés personnalisées pour le dispositif :
Exécutez le script
addXC10PublicCert.py à partir du répertoire
racine_was/bin du gestionnaire de déploiement, à l'aide de l'option de ligne de commande
-certPath. La valeur de l'option de ligne de commande
-certPath est l'emplacement disque du certificat public qui correspond à l'alias configuré pour le fichier de clés certifiées dans le dispositif.
wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
- Obligatoire pour WebSphere
Application Server : Téléchargez le fichier de clés certifiées du dispositif et les certificats publics de WebSphere
Application Server, puis exécutez l'utilitaire keytool pour ajouter le certificat dans le fichier de clés certifiées. Cet outil met à jour le fichier de clés certifiées du dispositif pour inclure les certificats émanant de WebSphere
Application Server.
- Si vous utilisez le fichier de clés certifiées par défaut du dispositif, téléchargez le fichier de clés certifiées actif. Cliquez sur . Cliquez sur Télécharger un fichier de clés certifiées actif et rappelez-vous l'emplacement dans lequel vous avez enregistré le fichier sur disque, par exemple dans le répertoire /downloads/trustStore.jks.
- Extrayez le certificat public de WebSphere
Application Server.
- Dans la console d'administration de WebSphere
Application Server, cliquez sur .
- Dans Utilisations des fichiers de clés, sélectionnez Fichier de clés des certificats racine.
- Sélectionnez DmgrDefaultRootStore.
- Sélectionnez Certificats personnels.
- Cliquez sur la case à cocher en regard d'un certificat dans le fichier de clés root.
Indiquez le nom de fichier qualifié complet du certificat à extraire, par exemple : /certificates/public.cer.
- Dans une fenêtre de ligne de commande, exécutez la commande suivante : cd
/java_home/bin
- Exécutez l'utilitaire keytool.
keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks -file /certificates/public.cer -storepass xc10pass -storetype jks
- Si vous avez d'autres certificats à importer, répétez les étapes d'extraction des certificats, puis relancez l'utilitaire keytool.
- Téléchargez les informations de fichier de clés et de fichier de clés certifiées vers le dispositif. Dans l'interface utilisateur du dispositif, cliquez sur . Si vous avez terminé les étapes de WebSphere
Application Server, téléchargez le fichier /downloads/trustStore.jks mis à jour.
Vous devez ensuite mettre à jour le mot de passe associé. Si vous utilisez le fichier de clés certifiées par défaut, le mot de passe est xc10pass.
- Sélectionnez l'alias de certificat de la collectivité.
- Définissez le type de transport. Choisissez l'un des paramètres de type de transport suivants :
- TLS pris en charge : Les grilles de données communiquent à l'aide de TCP/IP, SSL ou TLS. L'interface utilisateur est accessible à l'aide de HTTP et HTTPS.
- TLS requis : Les grilles de données communiquent à l'aide de SSL ou TLS uniquement. L'interface utilisateur est accessible à l'aide de HTTPS uniquement.
: Les grilles de données communiquent à l'aide de connexions non sécurisées. L'interface utilisateur est accessible à l'aide de HTTP et HTTPS.
- Pour que le client envoie un certificat accrédité pour activer la communication, sélectionnez Activer l'authentification du certificat client.
- Cliquez sur Soumettre les paramètres TLS pour enregistrer les modifications de la configuration.
Résultats
La collectivité doit redémarrer pour terminer l'application des modifications à la configuration TLS.
Certaines parties de l'interface utilisateur sont accessibles lorsque la collectivité redémarre. Si vous ne pouvez pas accéder à des parties de l'interface utilisateur, attendez un certain temps et renvoyez la demande. Le panneau des tâches indique certaines modifications automatiquement en affichant l'état d'aboutissement.
Si vous avez modifié l'alias de certificat utilisé par le dispositif, il peut être nécessaire de redémarrer le navigateur, de vous déconnecter et de vous reconnecter à l'interface utilisateur ou d'accréditer de nouveaux certificats à partir d'une invite de navigateur.
Si l'interface utilisateur semble indisponible lorsque l'authentification du client est activée, vérifiez que vous avez importé un certificat de client accrédité vers le navigateur. Si vous ne l'avez pas fait, vous ne pouvez pas accéder à l'interface utilisateur. Une fois connecté à l'interface utilisateur, la tâche indique l'aboutissement de la configuration TLS.
Que faire ensuite
Meilleures pratiques- Pour éviter les avertissements de navigateur lorsque vous accédez à l'interface utilisateur à partir de dispositifs différents, incluez un caractère générique dans le nom usuel du certificat dans le fichier de clés certifiées. Chaque dispositif utilise le même certificat pour la configuration TLS que celle définie par l'alias de certificat. Par exemple, vous pouvez utiliser *.mycompany.com au lieu de
myhost.mycompany.com pour que le certificat soit valide pour tous les hôtes du domaine mycompany.
- Vous pouvez utiliser une autorité de certificat (CA) privée pour signer le certificat associé à l'alias de certificat que vous avez choisi pour la configuration TLS. Ensuite, vous pouvez importer le certificat CA vers le navigateur et accréditer n'importe quelle collectivité avec un certificat signé par la CA privée sans afficher d'invite. L'utilisation d'une CA privée s'applique généralement uniquement pour l'accès à un intranet privé.