Configuration de SSL pour serveur WebLogic

Pour configurer SSL sur WebLogic Server, vous avez besoin d’informations d’identification SSL à des fins d’authentification. Vous pouvez utiliser l’outil Java keytool pour effectuer les tâches suivantes visant à créer ces informations :

  • Créez une paire de clés publique/privée, conservez la clé publique dans un certificat autosigné X.509 v1 enregistré en tant que chaîne de certificats à un seul élément, puis enregistrez la chaîne de certificats et la clé privée dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’identité personnalisée du serveur d’applications.

  • Extrayez le certificat et insérez-le dans un nouveau fichier de stockage des clés. Il s’agit du fichier de stockage de clés d’approbation personnalisée du serveur d’applications.

Configurez ensuite WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic.

    Création d’informations d’identification SSL pour WebLogic Server

    La commande keytool se situe généralement dans le répertoire Java jre/bin et doit comprendre plusieurs options et valeurs d’option, répertoriées dans le tableau suivant.

    Option de keytool

    Description

    Valeur de l’option

    -alias

    Alias du fichier de stockage des clés.

    • Fichier de stockage de clés d’identité personnalisée : ads-credentials

    • Fichier de stockage de clés d’approbation personnalisée : bedrock

    -keyalg

    Algorithme utilisé pour générer la paire de clés.

    RSA

    Vous pouvez utiliser un autre algorithme selon la stratégie de votre entreprise.

    -keystore

    Emplacement et nom du fichier de stockage de clés.

    Cet emplacement peut contenir le chemin d’accès absolu du fichier. Il peut également s’agir du chemin d’accès relatif du répertoire courant de l’invite de commande dans laquelle la commande keytool a été saisie.

    • Fichier de stockage de clés d’identité personnalisée : [domaine du serveur d’applications]/adobe/[nom serveur]/ads-ssl.jks

    • Fichier de stockage de clés d’approbation personnalisée : [domaine du serveur d’applications]/adobe/[nom serveur]/ads-ca.jks

    -file

    Emplacement et nom du fichier de certificat.

    		 
    ads-ca.cer

    -validity

    Nombre de jours pendant lesquels le certificat est considéré comme valide.

    3650

    Vous pouvez utiliser une autre valeur, selon la stratégie de votre entreprise.

    -storepass

    Mot de passe protégeant le contenu du fichier de stockage des clés.

    • Fichier de stockage des clés d’identité personnalisée : le mot de passe du fichier de stockage des clés doit correspondre au mot de passe des informations d’identification SSL spécifié pour le composant Trust Store d’Administration Console.

    • Fichier de stockage de clés d’approbation personnalisée : appliquez le mot de passe utilisé pour le fichier de stockage des clés d’identité personnalisé.

    -keypass

    Mot de passe protégeant la clé privée de la paire de clés.

    Utilisez le même mot de passe que celui de l’option -storepass. Ce mot de passe de clé doit comprendre au moins 6 caractères.

    -dname

    Nom identifiant le propriétaire du fichier de stockage des clés.

    "CN=[nom utilisateur], OU=[nom groupe], O=[nom société], L=[nom ville], S=[état ou région], C=[code pays]"

    • [nom utilisateur] correspond à l’identifiant de l’utilisateur propriétaire du fichier de stockage des clés.

    • [nom groupe] correspond au groupe de l’entreprise auquel le propriétaire du fichier de stockage des clés appartient.

    • [nom société] correspond au nom de l’entreprise.

    • [nom ville] correspond à la ville dans laquelle votre entreprise est implantée.

    • [état ou région] correspond à la région dans laquelle votre entreprise est implantée.

    • [code pays] correspond au code à deux lettres du pays où votre entreprise est implantée.

    Pour plus d’informations sur l’utilisation de la commande keytool, consultez le fichier keytool.html inclus dans la documentation de votre JDK.

    Création de fichiers de stockage des clés d’identité et d’approbation personnalisées

    1. Ouvrez une invite de commande et recherchez [racine du serveur d’applications]/adobe/[nom serveur].

    2. Saisissez la commande suivante :

      [JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA

      -keystore "ads-credentials.jks" -validity 3650 -storepass store_password

      -keypass mot_de_passe_clés -dname "CN=nom_hôte, OU=nom_groupe, O=nom_société,

      L=nom_ville, S=état,C=code_pays"

      Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez le texte en italiques par les valeurs correspondant à l’environnement.

      Le fichier de stockage de clés est créé dans le répertoire [domaine du serveur d’applications]/adobe/[nom serveur].

    3. Extrayez le certificat du fichier de stockage des clés ads-credentials en tapant la commande suivante :

      [JAVA_HOME]/bin/keytool -export -v -alias ads-credentials

      -file "ads-ca.cer" -keystore "ads-credentials.jks"

      -storepass store_password

      Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez mot_de_passe_stockage par le mot de passe du fichier de stockage des clés d’identité personnalisée.

      Le fichier de certificats est créé dans le répertoire [domaine du serveur d’applications]/adobe/[nom serveur].

    4. Copiez le fichier ads-ca.cer sur tous les ordinateurs hôtes devant établir des communications sécurisées avec le serveur d’applications.

    5. Insérez le certificat dans un nouveau fichier de stockage des clés (celui des clés d’approbation personnalisée) à l’aide de la commande suivante :

      [JAVA_HOME]/bin/keytool -import -v -noprompt -alias bedrock

      -file "ads-ca.cer" -keystore "ads-ca.jks" -storepassmot_de_passe_stockage

      -keypass mot_de_passe_clés

      Remarque : remplacez [JAVA_HOME] par le répertoire dans lequel le JDK est installé, puis remplacez mot_de_passe_stockage et mot_de_passe_clés par vos propres mots de passe.

    Le fichier de stockage des clés est créé dans le répertoire [domaine du serveur d’applications]/adobe/[serveur].

    Configurez WebLogic pour qu’il utilise les fichiers de stockage des clés d’identité et d’approbation personnalisées que vous avez créés. Désactivez également la fonction de vérification du nom d’hôte de WebLogic car le nom unique utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l’ordinateur hébergeant WebLogic Server.

    Configuration de WebLogic pour l’utilisation de SSL

    1. Ouvrez la console d’administration du serveur WebLogic en saisissant http://[nom hôte]:7001/console dans la ligne d’URL d’un navigateur Web.

    2. Dans Domain Configurations > Environment, cliquez sur Servers, puis sélectionnez [serveur].

    3. Dans l’onglet Configuration, vérifiez que les options Listen Port Enabled et SSL Listen Port Enabled sont sélectionnées.

    4. Si le serveur est un serveur géré, indiquez un numéro de port non utilisé dans les champs Listen Port et SSL Listen Port (par exemple, 8001 et 8002). Sur un serveur autonome, le port SSL par défaut est 7002.

    5. Sous Change Center dans le volet de gauche, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

    6. Dans l’onglet Configuration, cliquez sur Keystores et sélectionnez Custom Identity and Custom Trust dans la liste Keystores.

    7. Sous Identity, spécifiez les valeurs suivantes :

      Custom Identity Keystore : [domaine du serveur d’applications]/adobe/[nom serveur] /ads-credentials.jks, [domaine du serveur d’applications] correspondant au chemin d’accès réel et [nom serveur] au nom du serveur d’applications.

      Custom Identity Keystore Type : JKS

      Custom Identity Keystore Passphrase : mypassword

    8. Sous Trust, spécifiez les valeurs suivantes :

      Custom Trust Keystore File Name : [domaine du serveur d’applications]/adobe/[serveur]/ads-ca.jks, [domaine du serveur d’applications] correspondant au chemin d’accès réel.

      Custom Trust Keystore Type : JKS

      Custom Trust Keystore Pass Phrase : mypassword

    9. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

    10. Dans l’onglet Configuration, cliquez sur SSL. Dans la liste Identity and Trust Locations, sélectionnez Keystores.

    11. Sous Identity, spécifiez les valeurs suivantes :

      Private Key Alias : ads-credentials

      Passphrase : mon_mot_de_passe

    12. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

    Désactivation de la fonction de vérification du nom d’hôte

    1. Dans l’onglet Configuration, cliquez sur SSL.

    2. Sous Advanced, sélectionnez None dans la liste Hostname Verification.

      Si la fonction de vérification du nom d’hôte n’est pas activée, le champ Common Name (CN) doit contenir le nom d’hôte du serveur.

    3. Sous Change Center, cliquez sur Lock & Edit pour modifier les sélections et leurs valeurs.

    4. Redémarrez le serveur d’applications.