|
Pour configurer SSL sur WebLogic Server, vous avez besoin d’informations d’identification SSL à des fins d’authentification. Vous pouvez utiliser l’outil Java keytool pour effectuer les tâches suivantes visant à créer ces informations :
-
Créez une paire de clés publique/privée, conservez la clé publique dans un certificat autosigné X.509 v1 enregistré en tant que chaîne de certificats à un seul élément, puis enregistrez la chaîne de certificats et la clé privée dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’identité personnalisée du serveur d’applications.
-
Extrayez le certificat et insérez-le dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’approbation personnalisée du serveur d’applications.
Configurez ensuite WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic.
Création d’informations d’identification SSL pour WebLogic Server
La commande keytool se situe généralement dans le répertoire Java jre/bin et doit comprendre plusieurs options et valeurs d’option, répertoriées dans le tableau suivant.
|
Option de keytool
|
Description
|
Valeur de l’option
|
|
-alias
|
Alias du fichier de stockage des clés.
|
|
|
-keyalg
|
Algorithme utilisé pour générer la paire de clés.
|
RSA
Vous pouvez utiliser un autre algorithme selon la stratégie de votre entreprise.
|
|
-keystore
|
Emplacement et nom du fichier de stockage de clés.
Cet emplacement peut contenir le chemin d’accès absolu du fichier. Il peut également s’agir du chemin d’accès relatif du répertoire courant de l’invite de commande dans laquelle la commande keytool a été saisie.
|
-
Fichier de stockage de clés d’identité personnalisée :
[
domaine du serveur d’applications]
/adobe/
[nom serveur]
/ads-ssl.jks
-
Fichier de stockage de clés d’approbation personnalisée :
[
domaine du serveur d’applications]
/adobe/
[nom serveur]/
ads-ca.jks
|
|
-file
|
Emplacement et nom du fichier de certificat.
|
|
|
-validity
|
Nombre de jours pendant lesquels le certificat est considéré comme valide.
|
3650
Vous pouvez utiliser une autre valeur, selon la stratégie de votre entreprise.
|
|
-storepass
|
Mot de passe protégeant le contenu du fichier de stockage des clés.
|
-
Fichier de stockage des clés d’identité personnalisée : le mot de passe du fichier de stockage des clés doit correspondre au mot de passe des informations d’identification SSL spécifié pour le composant Trust Store d’Administration Console.
-
Fichier de stockage de clés d’approbation personnalisée : appliquez le mot de passe utilisé pour le fichier de stockage des clés d’identité personnalisé.
|
|
-keypass
|
Mot de passe protégeant la clé privée de la paire de clés.
|
Utilisez le même mot de passe que celui de l’option
-storepass
. Ce mot de passe de clé doit comprendre au moins 6 caractères.
|
|
-dname
|
Nom identifiant le propriétaire du fichier de stockage des clés.
|
"CN=
[nom utilisateur]
, OU=
[nom groupe]
, O=
[nom société]
, L=
[nom ville]
, S=
[état ou région]
, C=
[code pays]
"
-
[nom utilisateur]
correspond à l’identifiant de l’utilisateur propriétaire du fichier de stockage des clés.
-
[nom groupe]
correspond au groupe de l’entreprise auquel le propriétaire du fichier de stockage des clés appartient.
-
[nom société]
correspond au nom de l’entreprise.
-
[nom ville]
correspond à la ville dans laquelle votre entreprise est implantée.
-
[état ou région]
correspond à la région dans laquelle votre entreprise est implantée.
-
[code pays]
correspond au code à deux lettres du pays où votre entreprise est implantée.
|
Pour plus d’informations sur l’utilisation de la commande keytool, consultez le fichier keytool.html inclus dans la documentation de votre JDK.
Création de fichiers de stockage des clés d’identité et d’approbation personnalisées
-
Ouvrez une invite de commande et recherchez
[racine du serveur d’applications]
/adobe/
[nom serveur]
.
-
Saisissez la commande suivante :
[
JAVA_HOME
]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass
mot_de_passe_stockage_clés
-keypass
mot_de_passe_clé
-dname "CN=
nom_hôte
, OU=
nom_groupe
, O=
société
nom
, L=
nom_ville
, S=
état
,C=
code_pays
Remarque :
remplacez
[JAVA_HOME]
par le répertoire dans lequel le JDK est installé, puis remplacez le texte en italiques par les valeurs correspondant à l’environnement.
Par exemple :
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91
Le fichier de stockage de clés d’identité personnalisée nommé ads-credentials.jks est créé dans le répertoire [
domaine du serveur d’applications
]/adobe/[
nom du serveur
].
-
Extrayez le certificat du fichier de stockage des clés ads-credentials en tapant la commande suivante :
[JAVA_HOME]
/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass
store
_
password
Remarque :
remplacez
[JAVA_HOME]
par le répertoire dans lequel le JDK est installé, puis remplacez
mot_de_passe
_
stockage
par le mot de passe du fichier de stockage des clés d’identité personnalisée.
Par exemple :
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd
Le fichier de certificats nommé ads-ca.cer est créé dans le répertoire [
domaine du serveur d’applications
]/adobe/[
nom du serveur
].
-
Copiez le fichier ads-ca.cer sur tous les ordinateurs hôtes devant établir des communications sécurisées avec le serveur d’applications.
-
Insérez le certificat dans un nouveau fichier de stockage des clés (celui des clés d’approbation personnalisée) à l’aide de la commande suivante :
[JAVA_HOME]
/bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass
mot_de_passe_stockage
-keypass
mot_de_passe_clé
Remarque :
remplacez
[JAVA_HOME]
par le répertoire dans lequel le JDK est installé, puis remplacez
mot_de_passe
_
stockage
et
mot_de_passe
_
clés
par vos propres mots de passe.
Par exemple :
C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1
Le fichier de stockage de clés d’approbation personnalisée nommé ads-ca.jks est créé dans le répertoire [
domaine du serveur d’applications
]/adobe/[
nom du serveur
].
Configurez WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic Server.
Configuration de WebLogic pour l’utilisation de SSL
-
Ouvrez WebLogic Server Administration Console en saisissant
http://
[nom hôte]
:7001/console
dans la ligne d’adresse d’un navigateur Web.
-
Sous Environment, dans Domain Configurations, sélectionnez
Servers > [
serveur
] > Configuration > General
.
-
Sous General, dans Configuration, assurez-vous que les options
Listen Port Enabled
et
SSL Listen Port Enabled
sont sélectionnées. Si elles ne sont pas activées, effectuez les opérations suivantes :
-
Sous Change Center, cliquez sur
Lock & Edit
pour modifier les sélections et leurs valeurs.
-
Sélectionnez les cases à cocher
Listen Port Enabled
et
SSL Listen Port Enabled
.
-
Si le serveur est un serveur géré, indiquez un numéro de port non utilisé dans les champs Listen Port et SSL Listen Port (par exemple, 8001 et 8002). Sur un serveur autonome, le port SSL par défaut est 7002.
-
Cliquez sur
Release Configuration
.
-
Sous Environment, dans Domain Configurations, cliquez sur
Servers > [
serveur géré
] > Configuration > General
.
-
Sous General, dans Configuration, sélectionnez
Keystores
.
-
Sous Change Center, cliquez sur
Lock & Edit
pour modifier les sélections et leurs valeurs.
-
Cliquez sur
Change
pour afficher la liste des fichiers de stockage des clés sous forme de liste déroulante et sélectionnez
Custom Identity And Custom Trust
.
-
Sous Identity, spécifiez les valeurs suivantes :
Custom Identity Keystore
:
[domaine du serveur d’applications]
/adobe/
[nom serveur]
/ads-credentials.jks,
[domaine du serveur d’applications]
correspondant au chemin d’accès réel et
[nom serveur]
au nom du serveur d’applications.
Custom Identity Keystore Type
: JKS
Custom Identity Keystore Passphrase
:
mypassword
(mot de passe du fichier de stockage des clés d’identité personnalisée)
-
Sous Trust, spécifiez les valeurs suivantes :
Custom Trust Keystore File Name
:
[domaine du serveur d’applications]
/adobe/
[serveur]
/ads-ca.jks,
[domaine du serveur d’applications]
correspondant au chemin d’accès réel.
Custom Trust Keystore Type
: JKS
Custom Trust Keystore Pass Phrase
:
mypassword
(mot de passe de la clé d’approbation personnalisée)
-
Sous General, dans Configuration, sélectionnez
SSL
.
-
Par défaut, Keystore est sélectionné pour Identity et Trust Locations. Si ce n’est pas le cas, remplacez la valeur.
-
Sous Identity, spécifiez les valeurs suivantes :
Private Key Alias
: ads-credentials
Passphrase
:
mon_mot_de_passe
-
Cliquez sur
Release Configuration
.
Désactivation de la fonction de vérification du nom d’hôte
-
Dans l’onglet Configuration, cliquez sur SSL.
-
Sous Advanced, sélectionnez None dans la liste Hostname Verification.
Si la fonction de vérification du nom d’hôte n’est pas activée, le champ Common Name (CN) doit contenir le nom d’hôte du serveur.
-
Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.
-
Redémarrez le serveur d’applications.
|
|
|
