Cette section décrit la procédure permettant de configurer SSL sur IBM WebSphere Application Server.
Création d’un compte d’utilisateur local sur WebSphere
Pour activer SSL, WebSphere doit accéder à un compte d’utilisateur dans le registre utilisateur du système d’exploitation local, qui soit autorisé à administrer le système :
-
(Windows) Créez un utilisateur Windows appartenant au groupe Administrateurs et possédant le droit d’agir en tant que partie du système d’exploitation (voir
Création d’un utilisateur Windows pour WebSphere
).
-
(Linux et UNIX) L’utilisateur peut être un utilisateur root ou un autre utilisateur possédant des droits racine. Lorsque vous activez le protocole SSL sur WebSphere, utilisez l’identifiant serveur et le mot de passe de cet utilisateur.
Création d’un utilisateur Linux ou UNIX sur WebSphere
-
Ouvrez une session en tant qu’utilisateur root.
-
Ouvrez une invite de commande et créez un utilisateur en saisissant la commande suivante :
-
Définissez le mot de passe du nouvel utilisateur en saisissant
passwd
à l’invite de commande.
-
(Linux and Solaris) Créez un fichier de mots de passe cachés en saisissant
pwconv
(sans paramètre) à l’invite de commande.
Remarque :
(Linux et Solaris) pour que le registre de sécurité du système d’exploitation local du serveur d’applications WebSphere soit opérationnel, le fichier des mots de passe cachés doit exister. Ce fichier s’appelle généralement
/etc/shadow
et est basé sur le fichier /etc/passwd. S’il n’existe pas, une erreur se produit après l’activation de la sécurité globale et la configuration du registre de l’utilisateur comme système d’exploitation local.
-
Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.
-
Ajoutez l’utilisateur créé à l’étape 2 au groupe
root
.
-
Enregistrez le fichier, puis fermez-le.
-
(UNIX avec SSL activé) Démarrez et arrêtez WebSphere en tant qu’utilisateur root.
Création d’un utilisateur Windows pour WebSphere
-
Connectez-vous à Windows à l’aide d’un compte d’administrateur.
-
Sélectionnez
Démarrer > Panneau de configuration > Outils d’administration > Gestion de l’ordinateur > Utilisateurs et groupes locaux
.
-
Cliquez avec le bouton droit de la souris sur Utilisateurs et sélectionnez
Nouvel utilisateur
.
-
Saisissez votre nom d’utilisateur et votre mot de passe dans les zones appropriées, puis renseignez éventuellement les autres zones.
-
Supprimez la coche de la case
L’utilisateur doit changer de mot de passe à la prochaine ouverture de session
et cliquez sur
Créer
puis sur
Fermer
.
-
Cliquez sur
Utilisateurs
, cliquez avec le bouton droit de la souris sur l’utilisateur que vous venez de créer, puis choisissez
Propriétés
.
-
Cliquez sur l’onglet
Membre de
, puis sur
Ajouter
.
-
Dans la zone Entrez les noms des objets à sélectionner, saisissez
Administrateurs
, puis cliquez sur Vérifier les noms pour vous assurer que le nom du groupe est correct.
-
Cliquez sur
OK
, puis de nouveau sur
OK
.
-
Sélectionnez
Démarrer > Panneau de configuration > Outils d’administration > Stratégie de sécurité locale > Stratégies locales
.
-
Cliquez sur Attribution des droits utilisateur, puis cliquez avec le bouton droit de la souris sur Fonctionner en tant que partie du système d’exploitation et sélectionnez Propriétés.
-
Cliquez sur
Ajouter un utilisateur ou un groupe
.
-
Dans la zone Entrez les noms des objets à sélectionner, saisissez le nom de l’utilisateur que vous avez créé à l’étape 4, cliquez sur
Vérifier les noms
pour vous assurer que le nom est correct, puis cliquez sur
OK
.
-
Cliquez sur
OK
pour fermer la boîte de dialogue Propriétés de Fonctionner en tant que partie du système d’exploitation.
Configuration de WebSphere pour une utilisation de l’utilisateur nouvellement créé en tant qu’administrateur
-
Vérifiez que WebSphere est en cours d’exécution.
-
Dans la console d’administration WebSphere, sélectionnez
Security > Global Security
.
-
Sous Administrative Security, sélectionnez les
rôles utilisateurs administratifs
.
-
Cliquez sur Add et effectuez les opérations suivantes :
-
Tapez
*
dans la zone de recherche et cliquez sur le bouton de recherche.
-
Cliquez sur le rôle
Administrator
.
-
Ajoutez l’utilisateur nouvellement créé dans la zone Mapped to role et mappez-le à Administrator.
-
Cliquez sur
OK
et enregistrez les modifications.
-
Redémarrez le profil WebSphere.
Activation de la sécurité administrative
-
Dans la console d’administration WebSphere, sélectionnez
Security > Global Security
.
-
Cliquez sur
Security Configuration Wizard
.
-
Assurez-vous que la case à cocher
Enable Application Security
est activée. Cliquez sur
Suivant
.
-
Sélectionnez
Federated Repositories
et cliquez sur
Next
.
-
Spécifiez les informations d’identification que vous souhaitez configurer et cliquez sur
Next
.
-
Cliquez sur
Terminer
.
-
Redémarrez le profil WebSphere.
WebSphere commencera à utiliser le fichier de stockage de clés et le fichier de magasin d’approbations (Trust Store) par défaut.
Activation de SSL (fichier Trust Store et clé personnalisés)
Vous pouvez créer des fichiers Trust Store et des fichiers de stockage de clés à l’aide de la console d’administration ou de l’utilitaire iKeyman. Pour un bon fonctionnement d’iKeyman, vérifiez que le chemin d’installation de WebSphere ne contient aucune parenthèse.
-
Dans la console d’administration WebSphere, sélectionnez
Security > SSL certificate and key management
.
-
Cliquez sur
Keystores and certificates
sous Related Items.
-
Dans la liste déroulante
Key store usages
, vérifiez que l’option
SSL Keystores
est sélectionnée. Cliquez sur
New
.
-
Saisissez un nom et une description logiques.
-
Spécifiez le chemin d’accès à l’emplacement où vous souhaitez créer le fichier de stockage de clés. Si vous avez déjà créé un fichier de stockage de clés par le biais d’iKeyman, spécifiez son chemin d’accès.
-
Spécifiez et confirmez le mot de passe.
-
Choisissez le type de fichier de stockage de clés et cliquez sur
Apply
.
-
Enregistrez la configuration principale.
-
Cliquez sur
Personal Certificate
.
-
Si vous avez déjà ajouté un fichier de stockage de clés à l’aide d’iKeyman, votre certificat s’affiche. Dans le cas contraire, vous devez ajouter un nouveau certificat autosigné en suivant la procédure ci-dessous :
-
Sélectionnez
Create > Self-signed Certificate
.
-
Spécifiez les valeurs appropriées dans le formulaire de certificat. Assurez-vous que le nom de l’alias et le nom commun restent le nom de domaine complet de l’ordinateur.
-
Cliquez sur
Appliquer
.
-
Répétez les étapes 2 à 10 pour créer un fichier Trust Store.
Application du fichier de stockage de clés et du fichier Trust Store personnalisés au serveur
-
Dans la console d’administration WebSphere, sélectionnez
Security > SSL certificate and key management
.
-
Cliquez sur
Manage endpoint security configuration
. La carte topologique locale s’ouvre.
-
Sous Inbound, sélectionnez un enfant direct de nœuds.
-
Sous Related Items, sélectionnez
SSL configurations
.
-
Sélectionnez
NodeDeafultSSLSetting
.
-
Dans les listes déroulantes de noms de fichier Trust Store et de fichier de stockage de clés, sélectionnez le fichier Trust Store et le fichier de stockage de clés que vous avez créés.
-
Cliquez sur
Appliquer
.
-
Enregistrez la configuration principale.
-
Redémarrez le profil WebSphere.
Votre profil s’exécute à présent sur des paramètres SSL personnalisés et votre certificat.
Activation de la prise en charge des applications AEM forms natives
-
Dans la console d’administration WebSphere, sélectionnez
Security > Global Security
.
-
Dans la section Authentication, développez
RMI/IIOP security
et cliquez sur
CSIv2 inbound communications
.
-
Assurez-vous que l’option
SSL-supported
est sélectionnée dans la liste déroulante Transport.
-
Redémarrez le profil WebSphere.
Configuration de WebSphere pour convertir les URL commençant par https
Pour convertir une URL commençant par https, ajoutez un certificat de signataire correspondant à cette URL sur le serveur WebSphere.
Création d’un certificat de signataire pour un site https
-
Vérifiez que WebSphere est en cours d’exécution.
-
Dans WebSphere Administrative Console, naviguez jusqu’à Signer certificates, puis cliquez sur Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.
-
Cliquez sur Retrieve From Port et effectuez les tâches suivantes :
-
Dans le champ Host, saisissez l’URL. Par exemple, saisissez
www.paypal.com
.
-
Dans le champ Port, saisissez
443
. Il s’agit du port SSL par défaut.
-
Dans le champ Alias, saisissez un alias.
-
Cliquez sur Retrieve Signer Information, puis vérifiez que les informations sont récupérées.
-
Cliquez sur Apply, puis sur Save.
Le service Generate PDF peut maintenant effectuer des conversions HTML en PDF à partir du site dont le certificat est ajouté.
Remarque :
pour qu’une application se connecte à des sites SSL depuis WebSphere, un certificat de signataire est requis. Celui-ci est utilisé par JSSE (Java Secure Socket Extensions) pour valider les certificats envoyés par le site distant lors de l’établissement de la connexion SSL.
|
|
|