SSL
Cette section aborde l'implémentation d'une fonction SSL par le connecteur. Pour plus d'informations, voir la documentation SSL JSSE. Cette section suppose que vous soyez familiarisé avec la technologie SSL.
JSSE
Le connecteur utilise JSSE pour prendre en charge HTTPS et SSL. IBM JSSE est fourni avec le connecteur. Pour activer cette fonction, assurez-vous que l'un des fichiers java.security,installés avec le connecteur, comprend l'entrée suivante :
security.provider.5=com.ibm.jsse.IBMJSSEProvider
Notez que java.security réside dans le répertoire $ProductDir\lib\security de l'installation de votre connecteur. Le connecteur utilise la valeur de la propriété du connecteur JavaProtocolHandlerPackages pour définir la propriété système java.protocol.handler.pkgs. Notez que pour l'outil IBM JSSE fourni avec le connecteur, la valeur de cette propriété doit être com.ibm.net.ssl.internal.www.protocol.
La propriété de configuration JavaProtocolHandlerPackages est affectée par défaut à cette valeur. Cependant, si votre ordinateur possède une propriété système java.protocol.handler.pkgs avec une valeur non vide, le connecteur l'écrasera uniquement si la propriété de connecteur JavaProtocolHandlerPackages est également définie.
Lors de l'initialisation, le connecteur désactive toutes les suites de chiffrement anonyme prises en charge par JSSE.
KeyStore et TrustStore
Pour SSL avec le connecteur, vous devez configurer des magasins de clés et des magasins de certificats. Aucun outil n'est fourni pour configurer magasins de clés, certificats et génération de clés. Pour effectuer ces tâches, vous devez utiliser des outils tiers.
Propriétés SSL
Vous pouvez indiquer les propriétés propres au connecteur SSL suivantes :
- SSLVersion
- SSLDebug
- KeyStore
- KeyStoreAlias
- KeyStorePassword
- TrustStore
- TrustStorePassword
Notez que ces propriétés s'appliquent à une instance de connecteur. Le même ensemble de valeurs de propriété SSL est employé par tous les programmes d'écoute de protocole HTTPS branchés au connecteur et par le gestionnaire de protocole HTTP-HTTPS pour chaque instance de connecteur. Pour plus d'informations sur la configuration de HTTPS/SSL, voir Annexe D. Configuration de HTTPS/SSL.
SSL et le programme d'écoute de protocole HTTPS
Pour utiliser le programme d'écoute de protocole HTTPS, vous devez utiliser des propriétés spécifiques du connecteur SSL. Les valeurs que vous affectez à ces propriétés doivent refléter vos exigences SSL :
- SSLVersion Assurez-vous que la version SSL (SSLVersion) à utiliser est prise en charge par JSSE.
- KeyStore Du fait que le programme d'écoute de protocole HTTPS joue le rôle de serveur dans les communications SSL, vous devez indiquer le magasin de clés. Le programme d'écoute utilise le magasin de clés indiqué dans la propriété de configuration SSL->KeyStore. La valeur de cette propriété doit être le chemin d'accès complet au fichier du magasin de clés. Assurez-vous que le magasin de clés possède une paire de clés (clé privée et clé publique) pour le connecteur. L'alias de la clé privée doit être indiqué comme propriété SSL->KeyStoreAlias. Vous devez indiquer le mot de passe requis pour accéder au magasin de clés (propriété SSL-> KeyStorePassword). Vérifiez également que le mot de passe requis pour accéder au magasin de clés et que la clé privée (dans le magasin de clés) sont identiques. Enfin, vous devez distribuer le certificat numérique du connecteur à vos clients pour qu'ils puissent authentifier ce dernier.
- TrustStore Si vous souhaitez que le programme d'écoute de protocole HTTPS authentifie des clients, vous devez activer l'authentification client. Pour cela, réglez la propriété SSL ->UseClientAuth sur true. Vous devez également indiquer :
- l'emplacement de votre truststore comme valeur de la propriété de configuration SSL->TrustStore
- le mot de passe requis pour accéder à votre truststore comme valeur de la propriété SSL->TrustStorePassword
Assurez-vous que votre truststore contient le certificat numérique de vos clients. Les certificats numériques utilisés par vos clients peuvent être auto-signés ou émis par une autorité de certification (CA). Notez que si votre truststore fait confiance au certificat racine du CA, JSSE authentifiera tous les certificats numériques émis par cette autorité.
Pour plus d'informations sur la configuration de HTTPS/SSL, voir Annexe D. Configuration de HTTPS/SSL.
SSL et le gestionnaire de protocole HTTP-HTTPS
Si vous utilisez SSL avec le gestionnaire de de protocole HTTP-HTTPS, vous devez opter pour des propriétés spécifiques du connecteur SSL. Les valeurs que vous affectez à ces propriétés doivent refléter les exigences HTTPS/SSL de votre fournisseur HTTP :
- SSLVersion Assurez-vous que la version SSL (SSLVersion) à utiliser est prise en charge par votre fournisseur et par JSSE.
- TrustStore Du fait que le gestionnaire de protocole HTTP-HTTPS jour le rôle de client dans les communications SSL, vous devez configurer un truststore. Le gestionnaire utilise le truststore indiqué dans la propriété de configuration SSL->Truststore. La valeur de cette propriété doit être le chemin d'accès complet au fichier du truststore. Vous devez indiquer le mot de passe requis pour accéder au truststore(propriété SSL-> TrustStorePassword). Assurez-vous que votre truststore contient le certificat numérique de votre fournisseur. Les certificats numériques utilisés par votre fournisseur peuvent être auto-signés ou émis par une autorité de certification. Notez que si votre truststore fait confiance au certificat racine du CA, JSSE authentifiera tous les certificats numériques émis par cette autorité.
- KeyStore Si votre fournisseur de services HTTP requiert une authentification client, vous devez configurer un magasin de clés. Le gestionnaire de protocole HTTP-HTTPS utilise le magasin de clés indiqué dans la propriété de configuration SSL->KeyStore. Cette valeur doit être le chemin d'accès complet au fichier du magasin de clés. Assurez-vous que ce magasin de clés possède une paire de clés (clé privée et clé publique) pour le connecteur. L'alias de la clé privée doit être indiqué comme propriété SSL->KeyStoreAlias. Le mot de passe requis pour accéder au magasin de clés doit être indiqué comme propriété SSL->KeyStorePassword. Enfin, vérifiez que le mot de passe requis pour accéder au magasin de clés et que la clé privée (dans le magasin de clés) sont identiques. Vous devez distribuer le certificat numérique du connecteur à votre fournisseur de services HTTP pour authentification.
Pour plus d'informations sur la configuration de HTTPS/SSL, voir Annexe D. Configuration de HTTPS/SSL.
