Configuration de SSL pour serveur WebLogic

Pour configurer SSL sur WebLogic Server, vous avez besoin d’informations d’identification SSL à des fins d’authentification. Vous pouvez utiliser l’outil Java keytool pour effectuer les tâches suivantes visant à créer ces informations :

  • Créez une paire de clés publique/privée, conservez la clé publique dans un certificat autosigné X.509 v1 enregistré en tant que chaîne de certificats à un seul élément, puis enregistrez la chaîne de certificats et la clé privée dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’identité personnalisée du serveur d’applications.

  • Extrayez le certificat et insérez-le dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’approbation personnalisée du serveur d’applications.

Configurez ensuite WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic.

Création d’informations d’identification SSL pour WebLogic Server

La commande keytool se situe généralement dans le répertoire Java jre/bin et doit comprendre plusieurs options et valeurs d’option, répertoriées dans le tableau suivant.

Option de keytool

Description

Valeur de l’option

-alias

Alias du fichier de stockage des clés.

  • Fichier de stockage de clés d’identité personnalisée : ads-credentials

  • Fichier de stockage de clés d’approbation personnalisée : bedrock

-keyalg

Algorithme utilisé pour générer la paire de clés.

RSA

Vous pouvez utiliser un autre algorithme selon la stratégie de votre entreprise.

-keystore

Emplacement et nom du fichier de stockage de clés.

Cet emplacement peut contenir le chemin d’accès absolu du fichier. Il peut également s’agir du chemin d’accès relatif du répertoire courant de l’invite de commande dans laquelle la commande keytool a été saisie.

  • Fichier de stockage de clés d’identité personnalisée : [ domaine du serveur d’applications] /adobe/ [nom serveur] /ads-ssl.jks

  • Fichier de stockage de clés d’approbation personnalisée : [ domaine du serveur d’applications] /adobe/ [nom serveur]/ ads-ca.jks

-file

Emplacement et nom du fichier de certificat.

ads-ca.cer

-validity

Nombre de jours pendant lesquels le certificat est considéré comme valide.

3650

Vous pouvez utiliser une autre valeur, selon la stratégie de votre entreprise.

-storepass

Mot de passe protégeant le contenu du fichier de stockage des clés.

  • Fichier de stockage des clés d’identité personnalisée : le mot de passe du fichier de stockage des clés doit correspondre au mot de passe des informations d’identification SSL spécifié pour le composant Trust Store d’Administration Console.

  • Fichier de stockage de clés d’approbation personnalisée : appliquez le mot de passe utilisé pour le fichier de stockage des clés d’identité personnalisé.

-keypass

Mot de passe protégeant la clé privée de la paire de clés.

Utilisez le même mot de passe que celui de l’option -storepass . Ce mot de passe de clé doit comprendre au moins 6 caractères.

-dname

Nom identifiant le propriétaire du fichier de stockage des clés.

"CN= [nom utilisateur] , OU= [nom groupe] , O= [nom société] , L= [nom ville] , S= [état ou région] , C= [code pays] "

  • [nom utilisateur] correspond à l’identifiant de l’utilisateur propriétaire du fichier de stockage des clés.

  • [nom groupe] correspond au groupe de l’entreprise auquel le propriétaire du fichier de stockage des clés appartient.

  • [nom société] correspond au nom de l’entreprise.

  • [nom ville] correspond à la ville dans laquelle votre entreprise est implantée.

  • [état ou région] correspond à la région dans laquelle votre entreprise est implantée.

  • [code pays] correspond au code à deux lettres du pays où votre entreprise est implantée.

Pour plus d’informations sur l’utilisation de la commande keytool, consultez le fichier keytool.html inclus dans la documentation de votre JDK.

Création de fichiers de stockage des clés d’identité et d’approbation personnalisées

  1. Ouvrez une invite de commande et recherchez [racine du serveur d’applications] /adobe/ [nom serveur] .

  2. Saisissez la commande suivante :

    [ JAVA_HOME ]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass mot_de_passe_stockage_clés -keypass mot_de_passe_clé -dname "CN= nom_hôte , OU= nom_groupe , O= société nom , L= nom_ville , S= état ,C= code_pays

    Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez le texte en italiques par les valeurs correspondant à l’environnement.

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -genkey -v -alias ads-credentials -keyalg RSA -keystore "ads-credentials.jks" -validity 3650 -storepass P@ssw0rd -keypass P@ssw0rd -dname "CN=wasnode01, OU=LC, O=Adobe, L=Noida, S=UP,C=91

    Le fichier de stockage de clés d’identité personnalisée nommé ads-credentials.jks est créé dans le répertoire [ domaine du serveur d’applications ]/adobe/[ nom du serveur ].

  3. Extrayez le certificat du fichier de stockage des clés ads-credentials en tapant la commande suivante :

    [JAVA_HOME] /bin/keytool -export -v -alias ads-credentials

    -file "ads-ca.cer" -keystore "ads-credentials.jks"

    -storepass store _ password

    Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez mot_de_passe _ stockage par le mot de passe du fichier de stockage des clés d’identité personnalisée.

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -export -v -alias ads-credentials -file "ads-ca.cer" -keystore "ads-credentials.jks" -storepass P@ssw0rd

    Le fichier de certificats nommé ads-ca.cer est créé dans le répertoire [ domaine du serveur d’applications ]/adobe/[ nom du serveur ].

  4. Copiez le fichier ads-ca.cer sur tous les ordinateurs hôtes devant établir des communications sécurisées avec le serveur d’applications.

  5. Insérez le certificat dans un nouveau fichier de stockage des clés (celui des clés d’approbation personnalisée) à l’aide de la commande suivante :

    [JAVA_HOME] /bin/keytool -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass mot_de_passe_stockage -keypass mot_de_passe_clé

    Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez mot_de_passe _ stockage et mot_de_passe _ clés par vos propres mots de passe.

    Par exemple :

    C:\Program Files\Java\jrockit-jdk1.6.0_24-R28\bin\keytool" -import -v -noprompt -alias bedrock -file "ads-ca.cer" -keystore "ads-ca.jks" -storepass Password1 -keypass Password1

Le fichier de stockage de clés d’approbation personnalisée nommé ads-ca.jks est créé dans le répertoire [ domaine du serveur d’applications ]/adobe/[ nom du serveur ].

Configurez WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic Server.

Configuration de WebLogic pour l’utilisation de SSL

  1. Ouvrez WebLogic Server Administration Console en saisissant http:// [nom hôte] :7001/console dans la ligne d’adresse d’un navigateur Web.

  2. Sous Environment, dans Domain Configurations, sélectionnez Servers > [ serveur ] > Configuration > General .

  3. Sous General, dans Configuration, assurez-vous que les options Listen Port Enabled et SSL Listen Port Enabled sont sélectionnées. Si elles ne sont pas activées, effectuez les opérations suivantes :
    1. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

    2. Sélectionnez les cases à cocher Listen Port Enabled et SSL Listen Port Enabled .

  4. Si le serveur est un serveur géré, indiquez un numéro de port non utilisé dans les champs Listen Port et SSL Listen Port (par exemple, 8001 et 8002). Sur un serveur autonome, le port SSL par défaut est 7002.

  5. Cliquez sur Release Configuration .

  6. Sous Environment, dans Domain Configurations, cliquez sur Servers > [ serveur géré ] > Configuration > General .

  7. Sous General, dans Configuration, sélectionnez Keystores .

  8. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

  9. Cliquez sur Change pour afficher la liste des fichiers de stockage des clés sous forme de liste déroulante et sélectionnez Custom Identity And Custom Trust .

  10. Sous Identity, spécifiez les valeurs suivantes :

    Custom Identity Keystore : [domaine du serveur d’applications] /adobe/ [nom serveur] /ads-credentials.jks, [domaine du serveur d’applications] correspondant au chemin d’accès réel et [nom serveur] au nom du serveur d’applications.

    Custom Identity Keystore Type : JKS

    Custom Identity Keystore Passphrase : mypassword (mot de passe du fichier de stockage des clés d’identité personnalisée)

  11. Sous Trust, spécifiez les valeurs suivantes :

    Custom Trust Keystore File Name : [domaine du serveur d’applications] /adobe/ [serveur] /ads-ca.jks, [domaine du serveur d’applications] correspondant au chemin d’accès réel.

    Custom Trust Keystore Type : JKS

    Custom Trust Keystore Pass Phrase : mypassword (mot de passe de la clé d’approbation personnalisée)

  12. Sous General, dans Configuration, sélectionnez SSL .

  13. Par défaut, Keystore est sélectionné pour Identity et Trust Locations. Si ce n’est pas le cas, remplacez la valeur.

  14. Sous Identity, spécifiez les valeurs suivantes :

    Private Key Alias : ads-credentials

    Passphrase : mon_mot_de_passe

  15. Cliquez sur Release Configuration .

Désactivation de la fonction de vérification du nom d’hôte

  1. Dans l’onglet Configuration, cliquez sur SSL.

  2. Sous Advanced, sélectionnez None dans la liste Hostname Verification.

    Si la fonction de vérification du nom d’hôte n’est pas activée, le champ Common Name (CN) doit contenir le nom d’hôte du serveur.

  3. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

  4. Redémarrez le serveur d’applications.