Configuration de TLS (Transport Layer Security)

Vous pouvez configurer TLS (Transport Layer Security) en modifiant ou en remplaçant le fichier de clés et le fichier de clés certifiées et en choisissant un alias de certificat pour la configuration.

Avant de commencer

Pourquoi et quand exécuter cette tâche

Les paramètres TLS s'appliquent à l'interface utilisateur et aux grilles de données. Les paramètres sont appliqués à tous les dispositifs de la collectivité.

Procédure

  1. Obligatoire pour WebSphere Application Server : Ajoutez le certificat public du dispositif aux fichiers de clés certifiées par défaut de WebSphere Application Server.
    • Si vous utilisez le fichier de clés certifiées par défaut du dispositif :
      Exécutez le script addXC10PublicCert.py à partir du répertoire racine_was/bin du gestionnaire de déploiement. Utilisez la syntaxe suivante :
      wsadmin -lang jython -f addXC10PublicCert.py
    • Si vous utilisez des clés personnalisées pour le dispositif :
      Exécutez le script addXC10PublicCert.py à partir du répertoire racine_was/bin du gestionnaire de déploiement, à l'aide de l'option de ligne de commande -certPath. La valeur de l'option de ligne de commande -certPath est l'emplacement disque du certificat public qui correspond à l'alias configuré pour le fichier de clés certifiées dans le dispositif.
      wsadmin -lang jython -f addXC10PublicCert.py -certPath ./trustStore.jks
  2. Obligatoire pour WebSphere Application Server : Téléchargez le fichier de clés certifiées du dispositif et les certificats publics de WebSphere Application Server, puis exécutez l'utilitaire keytool pour ajouter le certificat dans le fichier de clés certifiées. Cet outil met à jour le fichier de clés certifiées du dispositif pour inclure les certificats émanant de WebSphere Application Server.
    1. Si vous utilisez le fichier de clés certifiées par défaut du dispositif, téléchargez le fichier de clés certifiées actif. Cliquez sur Dispositif > Paramètres > TLS (Transport Layer Security). Cliquez sur Télécharger un fichier de clés certifiées actif et rappelez-vous l'emplacement dans lequel vous avez enregistré le fichier sur disque, par exemple dans le répertoire /downloads/trustStore.jks.
    2. Extrayez le certificat public de WebSphere Application Server.
      1. Dans la console d'administration de WebSphere Application Server, cliquez sur Sécurité > Certificat SSL et gestion des clés > Fichiers de clés et certificats.
      2. Dans Utilisations des fichiers de clés, sélectionnez Fichier de clés des certificats racine.
      3. Sélectionnez DmgrDefaultRootStore.
      4. Sélectionnez Certificats personnels.
      5. Cliquez sur la case à cocher en regard d'un certificat dans le fichier de clés root. Indiquez le nom de fichier qualifié complet du certificat à extraire, par exemple : /certificates/public.cer.
      6. Dans une fenêtre de ligne de commande, exécutez la commande suivante : cd /java_home/bin
      7. Exécutez l'utilitaire keytool.
        keytool -import -noprompt -alias "example alias" -keystore /downloads/trustStore.jks  -file /certificates/public.cer -storepass xc10pass -storetype jks
      8. Si vous avez d'autres certificats à importer, répétez les étapes d'extraction des certificats, puis relancez l'utilitaire keytool.
  3. Téléchargez les informations de fichier de clés et de fichier de clés certifiées vers le dispositif. Dans l'interface utilisateur du dispositif, cliquez sur Dispositif > Paramètres > TLS (Transport Layer Security). Si vous avez terminé les étapes de WebSphere Application Server, téléchargez le fichier /downloads/trustStore.jks mis à jour. Vous devez ensuite mettre à jour le mot de passe associé. Si vous utilisez le fichier de clés certifiées par défaut, le mot de passe est xc10pass.
  4. Sélectionnez l'alias de certificat de la collectivité.
  5. Définissez le type de transport. Choisissez l'un des paramètres de type de transport suivants :
    • TLS pris en charge : Les grilles de données communiquent à l'aide de TCP/IP, SSL ou TLS. L'interface utilisateur est accessible à l'aide de HTTP et HTTPS.
    • TLS requis : Les grilles de données communiquent à l'aide de SSL ou TLS uniquement. L'interface utilisateur est accessible à l'aide de HTTPS uniquement.
    • : Les grilles de données communiquent à l'aide de connexions non sécurisées. L'interface utilisateur est accessible à l'aide de HTTP et HTTPS.
  6. Pour que le client envoie un certificat accrédité pour activer la communication, sélectionnez Activer l'authentification du certificat client.
  7. Cliquez sur Soumettre les paramètres TLS pour enregistrer les modifications de la configuration.

Résultats

La collectivité doit redémarrer pour terminer l'application des modifications à la configuration TLS.

Certaines parties de l'interface utilisateur sont accessibles lorsque la collectivité redémarre. Si vous ne pouvez pas accéder à des parties de l'interface utilisateur, attendez un certain temps et renvoyez la demande. Le panneau des tâches indique certaines modifications automatiquement en affichant l'état d'aboutissement.

Si vous avez modifié l'alias de certificat utilisé par le dispositif, il peut être nécessaire de redémarrer le navigateur, de vous déconnecter et de vous reconnecter à l'interface utilisateur ou d'accréditer de nouveaux certificats à partir d'une invite de navigateur.

Si l'interface utilisateur semble indisponible lorsque l'authentification du client est activée, vérifiez que vous avez importé un certificat de client accrédité vers le navigateur. Si vous ne l'avez pas fait, vous ne pouvez pas accéder à l'interface utilisateur. Une fois connecté à l'interface utilisateur, la tâche indique l'aboutissement de la configuration TLS.

Que faire ensuite

Meilleures pratiques