Configuration de SSL pour WebSphere Application Server

Cette section décrit la procédure permettant de configurer SSL sur IBM WebSphere Application Server.

    Création d’un compte d’utilisateur local sur WebSphere

    Pour activer SSL, WebSphere doit accéder à un compte d’utilisateur dans le registre utilisateur du système d’exploitation local, qui soit autorisé à administrer le système :

    • (Windows) Créez un utilisateur Windows appartenant au groupe Administrateurs et possédant le droit d’agir en tant que partie du système d’exploitation (voir Création d’un utilisateur Windows pour WebSphere).

    • (Linux et UNIX) L’utilisateur peut être un utilisateur root ou un autre utilisateur possédant des droits racine. Lorsque vous activez le protocole SSL sur WebSphere, utilisez l’identifiant serveur et le mot de passe de cet utilisateur.

    Création d’un utilisateur Linux ou UNIX sur WebSphere

    1. Ouvrez une session en tant qu’utilisateur root.

    2. Ouvrez une invite de commande et créez un utilisateur en saisissant la commande suivante :

      • (Linux et Sun Solaris) useradd

      • (IBM AIX) mkuser

    3. Définissez le mot de passe du nouvel utilisateur en saisissant passwd à l’invite de commande.

    4. (Linux and Solaris) Créez un fichier de mots de passe cachés en saisissant pwconv (sans paramètre) à l’invite de commande.

      Remarque : (Linux et Solaris) pour que le registre de sécurité du système d’exploitation local du serveur d’applications WebSphere soit opérationnel, le fichier des mots de passe cachés doit exister. Ce fichier s’appelle généralement /etc/shadow et est basé sur le fichier /etc/passwd. S’il n’existe pas, une erreur se produit après l’activation de la sécurité globale et la configuration du registre de l’utilisateur comme système d’exploitation local.

    5. Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.

    6. Ajoutez l’utilisateur créé à l’étape 2 au groupe root.

    7. Enregistrez le fichier, puis fermez-le.

    8. (UNIX avec SSL activé) Démarrez et arrêtez WebSphere en tant qu’utilisateur root.

    Création d’un utilisateur Windows pour WebSphere

    1. Connectez-vous à Windows à l’aide d’un compte d’administrateur.

    2. Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Gestion de l’ordinateur > Utilisateurs et groupes locaux.

    3. Cliquez avec le bouton droit de la souris sur Utilisateurs et sélectionnez Nouvel utilisateur.

    4. Saisissez votre nom d’utilisateur et votre mot de passe dans les zones appropriées, puis renseignez éventuellement les autres zones.

    5. Supprimez la coche de la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session et cliquez sur Créer puis sur Fermer.

    6. Cliquez sur Utilisateurs, cliquez avec le bouton droit de la souris sur l’utilisateur que vous venez de créer, puis sélectionnez Propriétés.

    7. Cliquez sur l’onglet Membre de, puis sur Ajouter.

    8. Dans la zone Saisissez les noms des objets à sélectionner, saisissez Administrateurs, puis cliquez sur Vérifier les noms pour vous assurer que le nom du groupe est correct.

    9. Cliquez sur OK, puis de nouveau sur OK.

    10. Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Stratégie de sécurité locale > Stratégies locales.

    11. Cliquez sur Attribution des droits utilisateur, puis cliquez avec le bouton droit de la souris sur Fonctionner en tant que partie du système d’exploitation et sélectionnez Propriétés.

    12. Cliquez sur Ajouter un utilisateur ou un groupe.

    13. Dans la zone Saisissez les noms des objets à sélectionner, saisissez le nom de l’utilisateur que vous avez créé à l’étape 4, cliquez sur Vérifier les noms pour vous assurer que le nom est correct, puis cliquez sur OK.

    14. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Fonctionner en tant que partie du système d’exploitation.

    Création d’informations d’identification SSL

    Pour configurer SSL sur WebSphere, vous avez besoin d’informations d’identification SSL à des fins d’authentification. Vous pouvez utiliser l’outil IBM de gestion des clés installé avec WebSphere pour exécuter les tâches suivantes dans le but de créer des informations d’identification :

    • Créez un fichier de stockage des clés et utilisez-le pour enregistrer un nouveau certificat autosigné et la clé privée associée.

    • Exportez le certificat, puis ajoutez-le au fichier de stockage des clés en tant que certificat de signataire. Le même fichier de stockage des clés est utilisé comme fichier de clés et de confiance dans la configuration SSL de WebSphere.

    Création d’informations d’identification SSL

    1. Ouvrez une invite de commande, puis lancez l’outil IBM de gestion des clés en saisissant la commande suivante :

      • (Windows) [racine du serveur d’applications]\bin\ikeyman.bat

      • (Linux et UNIX) [racine du serveur d’applications]/bin/ikeyman.sh

    2. Dans la barre de menus, sélectionnez Key Database File > New, puis dans Key Database Type, choisissez JKS.

    3. Cliquez sur Browse et accédez au répertoire [racine du serveur d’applications]/etc.

    4. Dans le champ File Name, tapez ads-credentials.jks et cliquez sur Save puis sur OK.

    5. Dans la fenêtre Password Prompt, saisissez un mot de passe, puis ressaisissez-le dans le champ Confirm Password. Ce mot de passe doit correspondre au mot de passe d’identification SSL de la propriété SSL défini dans Administration Console > Trust Store Management.

    6. Cliquez sur OK.

    7. Dans la barre de menus, sélectionnez Create, puis cliquez sur New Self signed certificate. La fenêtre Create New Self-Signed Certificate apparaît.

    8. Dans la zone Key Label, saisissez ads-credentials, puis spécifiez des valeurs dans Organization, Organization Unit, Country or Region et Validity Period.

    9. Remplacez la valeur Common Name par le nom de domaine complet du serveur LiveCycle, puis cliquez sur OK.

    10. Dans la liste, sélectionnez le certificat ads-credentials, puis cliquez sur Extract Certificate.

    11. Sous Data type, sélectionnez Base64-encoded ASCII data. Sous Certificate File Name, saisissez ads-cert.arm. Puis sous Location, saisissez [racine du serveur d’applications]/etc et cliquez sur OK.

    12. Dans le menu de la zone Key Database Content, sélectionnez Signer Certificates, puis cliquez sur Add.

    13. Dans la zone Certificate File Name, cliquez sur Browse, sélectionnez le fichier ads-cert.arm créé à l’étape 11, cliquez sur Open et sur OK.

    14. Dans la boîte de dialogue Enter a Label, saisissez ads-credentials-cert, puis cliquez sur OK.

    15. Sélectionnez Key Database File > New.

    Configuration de l’utilisation du registre du système d’exploitation local sur WebSphere au lieu de LDAP

    Si vous n’utilisez pas LDAP, configurez WebSphere pour qu’il utilise le registre du système d’exploitation local.

    1. Vérifiez que WebSphere est en cours d’exécution.

    2. Dans WebSphere Administrative Console, accédez au système d’exploitation local.

    3. Dans l’arborescence de navigation, cliquez sur Security > Global Security, puis sous User Registries, sélectionnez Local OS.

    4. Procédez comme suit :

      • Dans la zone Server User ID, indiquez le nom du compte utilisateur créé en suivant les instructions de la section Création d’un compte d’utilisateur local sur WebSphere.

      • Dans le champ Server User Password, indiquez le mot de passe de l’utilisateur spécifié dans le champ Server User ID.

    5. Cliquez sur OK et enregistrez les modifications.

    Activation de SSL sur WebSphere

    1. Dans WebSphere Administrative Console, naviguez jusqu’à LTPA, cliquez sur Security > Secure Administration, Applications and Infrastructure, puis sous Authentication, cliquez sur Authentication Mechanisms and Expiration.

    2. Procédez comme suit :

      • Dans le champ Password, indiquez le mot de passe spécifié lors de la création du fichier ads-credential.jks, comme décrit dans la section Création d’informations d’identification SSL.

      • Dans le champ Confirm Password, saisissez de nouveau le mot de passe.

      • Dans la zone Timeout Value For Forwarded Credentials Between Servers, saisissez 10. 10 représente le délai (en minutes) à l’issue duquel le jeton LTPA expire. Ce délai doit être supérieur au délai d’expiration du cache de l’application (propriété Cache Timeout) défini dans la sécurité globale de WebSphere.

    3. Cliquez sur OK.

    4. Dans l’arborescence de navigation, cliquez sur Security > Secure Administration, Applications And Infrastructure.

    5. Procédez comme suit :

      • Sélectionnez Enable Administrative Security.

      • Désélectionnez Use Java 2 Security To Restrict Application Access To Local Resources, Use Domain-Qualified User Names.

      • Dans la liste Active User Registries, sélectionnez le registre utilisateur que vous utilisez.

    6. Cliquez sur OK. Si un message vous invite à saisir les informations de connexion au système d’exploitation local, saisissez les mêmes informations que celles spécifiées à l’étape 2 de cette procédure.

    7. Dans l’arborescence de navigation, sélectionnez Security > SSL Certificate And Key Management.

    8. Sous Key Stores and Certificates, cliquez sur New et procédez à la configuration comme suit :

      • Dans la zone Name, saisissez AdsSSL.

      • Dans la zone Path, saisissez [racine du serveur d’applications]/etc/ads-credentials.jks.

      • Dans la zone Password, saisissez le mot de passe utilisé à la création du fichier ads-credentials.jks.

      • Dans la zone Confirm Password, saisissez le mot de passe utilisé à la création du fichier ads-credentials.jks.

      • Dans la liste Type, sélectionnez JKS.

    9. Cliquez sur OK et enregistrez la configuration.

    10. Sous SSL Configuration, cliquez sur New et procédez à une configuration comme suit :

      • Dans la zone Name, saisissez AdsSSL.

      • Dans la liste Trust Store Name, sélectionnez AdsSSL.

      • Dans la liste Keystore Name, sélectionnez AdsSSL, puis cliquez sur Get certificate aliases.

      • Dans la liste Default server certificate alias, sélectionnez ads-credentials.

      • Dans la liste Default Client Certificate Alias, sélectionnez ads-credentials.

    11. Cliquez sur OK et enregistrez la configuration.

    12. Naviguez jusqu’à CSIv2 Inbound Authentication, puis cliquez sur Security > Secure Administration, Applications and Infrastructure. Ensuite, sous Authentication, cliquez sur RMI/IIOP Security > CSIv2 Inbound Authentication.

    13. Affectez à Basic Authentication et à Client Certificate Authentication la valeur Supported, puis cliquez sur OK.

    14. Naviguez jusqu’à CSIv2 Outbound Authentication, puis cliquez sur Security > Secure Administration, Applications and Infrastructure. Ensuite, sous Authentication, cliquez sur RMI/IIOP Security > CSIv2 Outbound Authentication.

    15. Affectez à Basic Authentication et à Client Certificate Authentication la valeur Supported, puis cliquez sur OK.

    16. Naviguez jusqu’à CSIv2 Inbound Transport, puis cliquez sur Security > Secure Administration, Applications and Infrastructure. Ensuite, sous Authentication, cliquez sur RMI/IIOP Security > CSIv2 Inbound Transport.

    17. Définissez Transport sur SSL-Supported et SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.

    18. Naviguez jusqu’à CSIv2 Outbound Transport, puis cliquez sur Security > Secure Administration, Applications and Infrastructure. Ensuite, sous Authentication, cliquez sur RMI/IIOP Security > CSIv2 Outbound Transport.

    19. Définissez Transport sur SSL-Supported et SSL Settings sur localhost/AdsSSL, puis cliquez sur OK.

    20. Dans l’arborescence de navigation, cliquez sur Servers > Application Servers puis sur [nom du serveur].

    21. Sous Container Settings, cliquez sur Web Container Settings > Web Container.

    22. Sous Additional Properties, cliquez sur Web Container Transport Chains, puis sur WCInboundDefaultSecure.

    23. Cliquez sur SSL Inbound Channel (SSL_2), puis sous SSL Configuration, sélectionnez Specific To This Endpoint et choisissez AdsSSL dans la liste.

      Si vous vous connectez à SSL via Internet Explorer 6.x, désactivez l’ajout de l’en-tête de contrôle de cache. Configurez la propriété WCInboundDefaultSecure de la manière suivante :

      • Cliquez sur HTTP Inbound Channel, puis sélectionnez Custom Properties.

      • Cliquez sur New et configurez les éléments suivants comme indiqué ci-dessous :

        Name - CookiesConfigureNoCache

        Value - false

        Description - To disable the addition of Cache-Control header to response in SSL

    24. Cliquez sur OK et enregistrez les modifications apportées à la configuration principale.

    25. Arrêtez WebSphere, puis redémarrez-le. La console d’administration WebSphere affiche une boîte de dialogue dans laquelle vous devez saisir le nom d’utilisateur et le mot de passe spécifiés à l’étape 2.

    26. (Workspace, Process Management) Dans l’arborescence de navigation, cliquez sur Resources > JMS > JMS Providers, puis sur Default Messaging.

    27. Sous Connection Factories, sélectionnez JMS Queue Connection Factory, puis QueueConnectionFactory.

    28. (Workspace, Process Management) Dans la liste Component-Managed Authentication Alias, sélectionnez [nom de l’ordinateur]/myAlias et cliquez sur OK.

    29. (Workspace, Process Management) Sous Related Items, sélectionnez J2C Authentication Data Entries, vérifiez que l’utilisateur de la base de données dispose de droits racine, puis cliquez sur OK.

    30. (Workspace, Process Management) Enregistrez les modifications apportées à la configuration principale.

    31. (Workspace, Process Management) Arrêtez, puis redémarrez WebSphere.

    Configuration de WebSphere pour convertir les URL commençant par https

    Pour convertir une URL commençant par https, ajoutez un certificat de signataire correspondant à cette URL sur le serveur WebSphere.

    Création d’un certificat de signataire pour un site https

    1. Vérifiez que WebSphere est en cours d’exécution.

    2. Dans WebSphere Administrative Console, naviguez jusqu’à Signer certificates, puis cliquez sur Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.

    3. Cliquez sur Retrieve From Port et effectuez les tâches suivantes :

      • Dans le champ Host, saisissez l’URL. Par exemple, saisissez www.paypal.com.

      • Dans le champ Port, saisissez 443. Il s’agit du port SSL par défaut.

      • Dans le champ Alias, saisissez un alias.

    4. Cliquez sur Retrieve Signer Information, puis vérifiez que les informations sont récupérées.

    5. Cliquez sur Apply, puis sur Save.

    Le service Generate PDF peut maintenant effectuer des conversions HTML en PDF à partir du site dont le certificat est ajouté.

    Remarque : pour qu’une application se connecte à des sites SSL depuis WebSphere, un certificat de signataire est requis. Celui-ci est utilisé par JSSE (Java Secure Socket Extensions) pour valider les certificats envoyés par le site distant lors de l’établissement de la connexion SSL.