Cette section décrit la procédure permettant de configurer SSL sur IBM WebSphere Application Server.
Création d’un compte d’utilisateur local sur WebSpherePour activer SSL, WebSphere doit accéder à un compte d’utilisateur dans le registre utilisateur du système d’exploitation local, qui soit autorisé à administrer le système :
(Windows) Créez un utilisateur Windows appartenant au groupe Administrateurs et possédant le droit d’agir en tant que partie du système d’exploitation (voir Création d’un utilisateur Windows pour WebSphere).
(Linux et UNIX) L’utilisateur peut être un utilisateur root ou un autre utilisateur possédant des droits racine. Lorsque vous activez le protocole SSL sur WebSphere, utilisez l’identifiant serveur et le mot de passe de cet utilisateur.
Création d’un utilisateur Linux ou UNIX sur WebSphereOuvrez une session en tant qu’utilisateur root.
Ouvrez une invite de commande et créez un utilisateur en saisissant la commande suivante :
Définissez le mot de passe du nouvel utilisateur en saisissant passwd à l’invite de commande.
(Linux and Solaris) Créez un fichier de mots de passe cachés en saisissant pwconv (sans paramètre) à l’invite de commande.
Remarque : (Linux et Solaris) pour que le registre de sécurité du système d’exploitation local du serveur d’applications WebSphere soit opérationnel, le fichier des mots de passe cachés doit exister. Ce fichier s’appelle généralement /etc/shadow et est basé sur le fichier /etc/passwd. S’il n’existe pas, une erreur se produit après l’activation de la sécurité globale et la configuration du registre de l’utilisateur comme système d’exploitation local.
Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.
Ajoutez l’utilisateur créé à l’étape 2 au groupe root.
Enregistrez le fichier, puis fermez-le.
(UNIX avec SSL activé) Démarrez et arrêtez WebSphere en tant qu’utilisateur root.
Création d’un utilisateur Windows pour WebSphereConnectez-vous à Windows à l’aide d’un compte d’administrateur.
Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Gestion de l’ordinateur > Utilisateurs et groupes locaux.
Cliquez avec le bouton droit de la souris sur Utilisateurs et sélectionnez Nouvel utilisateur.
Saisissez votre nom d’utilisateur et votre mot de passe dans les zones appropriées, puis renseignez éventuellement les autres zones.
Supprimez la coche de la case L’utilisateur doit changer de mot de passe à la prochaine ouverture de session et cliquez sur Créer puis sur Fermer.
Cliquez sur Utilisateurs, cliquez avec le bouton droit de la souris sur l’utilisateur que vous venez de créer, puis choisissez Propriétés.
Cliquez sur l’onglet Membre de, puis sur Ajouter.
Dans la zone Entrez les noms des objets à sélectionner, saisissez Administrateurs, puis cliquez sur Vérifier les noms pour vous assurer que le nom du groupe est correct.
Cliquez sur OK, puis de nouveau sur OK.
Sélectionnez Démarrer > Panneau de configuration > Outils d’administration > Stratégie de sécurité locale > Stratégies locales.
Cliquez sur Attribution des droits utilisateur, puis cliquez avec le bouton droit de la souris sur Fonctionner en tant que partie du système d’exploitation et sélectionnez Propriétés.
Cliquez sur Ajouter un utilisateur ou un groupe.
Dans la zone Entrez les noms des objets à sélectionner, saisissez le nom de l’utilisateur que vous avez créé à l’étape 4, cliquez sur Vérifier les noms pour vous assurer que le nom est correct, puis cliquez sur OK.
Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Fonctionner en tant que partie du système d’exploitation.
Configuration de WebSphere pour une utilisation de l’utilisateur nouvellement créé en tant qu’administrateurVérifiez que WebSphere est en cours d’exécution.
Dans la console d’administration WebSphere, sélectionnez Security > Global Security.
Sous Administrative Security, sélectionnez les rôles utilisateurs administratifs.
Cliquez sur Add et effectuez les opérations suivantes :
Tapez * dans la zone de recherche et cliquez sur le bouton de recherche.
Cliquez sur le rôle Administrator.
Ajoutez l’utilisateur nouvellement créé dans la zone Mapped to role et mappez-le à Administrator.
Cliquez sur OK et enregistrez les modifications.
Redémarrez le profil WebSphere.
Activation de la sécurité administrativeDans la console d’administration WebSphere, sélectionnez Security > Global Security.
Cliquez sur Security Configuration Wizard.
Assurez-vous que la case à cocher Enable Application Security est activée. Cliquez sur Next.
Sélectionnez Federated Repositories et cliquez sur Next.
Spécifiez les informations d’identification que vous souhaitez configurer et cliquez sur Next.
Cliquez sur Finish.
Redémarrez le profil WebSphere.
WebSphere commencera à utiliser le fichier de stockage de clés et le fichier de magasin d’approbations (Trust Store) par défaut.
Activation de SSL (fichier Trust Store et clé personnalisés)Vous pouvez créer des fichiers Trust Store et des fichiers de stockage de clés à l’aide de la console d’administration ou de l’utilitaire iKeyman. Pour un bon fonctionnement d’iKeyman, vérifiez que le chemin d’installation de WebSphere ne contient aucune parenthèse.
Dans la console d’administration WebSphere, sélectionnez Security > SSL certificate and key management.
Cliquez sur Keystores and certificates sous Related Items.
Dans la liste déroulante Key store usages, vérifiez que l’option SSL Keystores est sélectionnée. Cliquez sur New.
Saisissez un nom et une description logiques.
Spécifiez le chemin d’accès à l’emplacement où vous souhaitez créer le fichier de stockage de clés. Si vous avez déjà créé un fichier de stockage de clés par le biais d’iKeyman, spécifiez son chemin d’accès.
Spécifiez et confirmez le mot de passe.
Choisissez le type de fichier de stockage de clés et cliquez sur Apply.
Enregistrez la configuration principale.
Cliquez sur Personal Certificate.
Si vous avez déjà ajouté un fichier de stockage de clés à l’aide d’iKeyman, votre certificat s’affiche. Dans le cas contraire, vous devez ajouter un nouveau certificat autosigné en suivant la procédure ci-dessous :
Sélectionnez Create > Self-signed Certificate.
Spécifiez les valeurs appropriées dans le formulaire de certificat. Assurez-vous que le nom de l’alias et le nom commun restent le nom de domaine complet de l’ordinateur.
Cliquez sur Apply.
Répétez les étapes 2 à 10 pour créer un fichier Trust Store.
Application du fichier de stockage de clés et du fichier Trust Store personnalisés au serveurDans la console d’administration WebSphere, sélectionnez Security > SSL certificate and key management.
Cliquez sur Manage endpoint security configuration. La carte topologique locale s’ouvre.
Sous Inbound, sélectionnez un enfant direct de nœuds.
Sous Related Items, sélectionnez SSL configurations.
Sélectionnez NodeDeafultSSLSetting.
Dans les listes déroulantes de noms de fichier Trust Store et de fichier de stockage de clés, sélectionnez le fichier Trust Store et le fichier de stockage de clés que vous avez créés.
Cliquez sur Apply.
Enregistrez la configuration principale.
Redémarrez le profil WebSphere.
Votre profil s’exécute à présent sur des paramètres SSL personnalisés et votre certificat.
Activation de la prise en charge des natifs LiveCycleDans la console d’administration WebSphere, sélectionnez Security > Global Security.
Dans la section Authentication, développez RMI/IIOP security et cliquez sur CSIv2 inbound communications.
Assurez-vous que l’option SSL-supported est sélectionnée dans la liste déroulante Transport.
Redémarrez le profil WebSphere.
Configuration de WebSphere pour convertir les URL commençant par httpsPour convertir une URL commençant par https, ajoutez un certificat de signataire correspondant à cette URL sur le serveur WebSphere.
Création d’un certificat de signataire pour un site httpsVérifiez que WebSphere est en cours d’exécution.
Dans WebSphere Administrative Console, naviguez jusqu’à Signer certificates, puis cliquez sur Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.
Cliquez sur Retrieve From Port et effectuez les tâches suivantes :
Dans le champ Host, saisissez l’URL. Par exemple, saisissez www.paypal.com.
Dans le champ Port, saisissez 443. Il s’agit du port SSL par défaut.
Dans le champ Alias, saisissez un alias.
Cliquez sur Retrieve Signer Information, puis vérifiez que les informations sont récupérées.
Cliquez sur Apply, puis sur Save.
Le service Generate PDF peut maintenant effectuer des conversions HTML en PDF à partir du site dont le certificat est ajouté.
Remarque : pour qu’une application se connecte à des sites SSL depuis WebSphere, un certificat de signataire est requis. Celui-ci est utilisé par JSSE (Java Secure Socket Extensions) pour valider les certificats envoyés par le site distant lors de l’établissement de la connexion SSL.
|
|
|