Cette section décrit les étapes à suivre pour configurer SSL avec votre serveur d’applications IBM WebSphere.
Pour activer le protocole SSL, WebSphere doit avoir accès à un compte d’utilisateur dans le registre d’utilisateurs du système d’exploitation local, qui est autorisé à administrer le système :
Connectez-vous en tant qu’utilisateur root.
Créez un utilisateur en saisissant la commande suivante dans une invite de commande :
useradd
mkuser
Définissez le mot de passe du nouvel utilisateur en saisissant passwd
à l’invite de commande.
(Linux and Solaris) Créez un fichier de mots de passe cachés en saisissant pwconv
(sans paramètre) à l’invite de commande.
(Linux et Solaris) pour que le registre de sécurité du système d’exploitation local du serveur d’applications WebSphere soit opérationnel, le fichier des mots de passe cachés doit exister. Ce fichier s’appelle généralement /etc/shadow et est basé sur le fichier /etc/passwd. S’il n’existe pas, une erreur se produit après l’activation de la sécurité globale et la configuration du registre de l’utilisateur comme système d’exploitation local.
Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.
Ajoutez l’utilisateur créé à l’étape 2 au groupe root
.
Enregistrez et fermez le fichier.
(UNIX avec SSL activé) Démarrez et arrêtez WebSphere en tant qu’utilisateur root.
Administrators
, puis cliquez sur Vérifier les noms pour vous assurer que le nom du groupe est correct.Vérifiez que WebSphere est en cours d’exécution.
Dans la console d’administration WebSphere, sélectionnez Sécurité > Sécurité globale.
Sous Administrative Security, sélectionnez Rôles des utilisateurs administratifs.
Cliquez sur Ajouter et procédez comme suit :
Cliquez sur OK et enregistrez vos modifications.
Redémarrez le profil WebSphere.
Dans la console d’administration WebSphere, sélectionnez Sécurité > Sécurité globale.
Cliquez sur Assistant de configuration de la sécurité.
Assurez-vous que Activation de la sécurité des applications est activée. Cliquez sur Suivant.
Sélectionner Référentiels fédérés et cliquez sur Suivant.
Indiquez les informations d’identification à définir, puis cliquez sur Suivant.
Cliquez sur Finish (Terminer).
Redémarrez le profil WebSphere.
WebSphere commence à utiliser le KeyStore et le TrustStore par défaut.
Il est possible de créer des Trust Store et des KeyStore à l’aide de l’utilitaire iKeyman ou d’admin Console. Pour que ikeyman fonctionne correctement, assurez-vous que le chemin d’installation de WebSphere ne contient pas de parenthèses.
Dans la console d’administration WebSphere, sélectionnez Sécurité > Gestion des certificats SSL et des clés.
Cliquez sur Keystores et certificats sous Éléments connexes.
Dans le Principales utilisations des magasins , assurez-vous que la variable Keystores SSL est sélectionnée. Cliquez sur Nouveau.
Saisissez un nom et une description logiques.
Spécifiez le chemin d’accès à l’emplacement où vous souhaitez créer votre fichier de stockage de clés. Si vous avez déjà créé un fichier de stockage de clés via ikeyman, indiquez le chemin d’accès au fichier de stockage de clés.
Indiquez et confirmez le mot de passe.
Choisissez le type de fichier de stockage de clés et cliquez sur Appliquer.
Enregistrez la configuration principale.
Cliquez sur Certificat personnel.
Si vous avez déjà ajouté un fichier de stockage de clés à l’aide d’ikeyman, votre certificat s’affiche. Dans le cas contraire, vous devez ajouter un nouveau certificat auto-signé en procédant comme suit :
Répétez les étapes 2 à 10 pour créer un TrustStore.
Dans la console d’administration WebSphere, sélectionnez Sécurité > Gestion des certificats SSL et des clés.
Cliquez sur Gestion de la configuration de la sécurité des points d’entrée. La carte topologique locale s’ouvre.
Sous Entrant, sélectionnez l’enfant direct des noeuds.
Sous Éléments connexes, sélectionnez Configurations SSL.
Sélectionner NodeDeafultSSLSetting.
Dans les listes déroulantes nom du fichier Trust Store et nom du fichier de stockage de clés, sélectionnez le fichier Trust Store et le fichier de stockage de clés personnalisés que vous avez créés.
Cliquez sur Appliquer.
Enregistrez la configuration principale.
Redémarrez le profil WebSphere.
Votre profil s’exécute désormais sur des paramètres SSL personnalisés et votre certificat.
Pour convertir une URL commençant par https, ajoutez un certificat de signataire correspondant à cette URL au serveur WebSphere.
Créer un certificat de signataire pour un site https
Vérifiez que WebSphere est en cours d’exécution.
Dans la console d’administration WebSphere, accédez aux certificats du signataire, puis cliquez sur Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.
Cliquez sur Retrieve From Port et effectuez les tâches suivantes :
www.paypal.com
.443
. Ce port est le port SSL par défaut.Cliquez sur Récupérer les informations sur le signataire , puis vérifiez que les informations sont récupérées.
Cliquez sur Apply, puis sur Save.
La conversion HTML à PDF du site dont le certificat est ajouté fonctionnera désormais à partir du service Generate PDF.
Pour qu’une application se connecte à des sites SSL depuis WebSphere, un certificat de signataire est requis. Il est utilisé par Java Secure Socket Extensions (JSSE) pour valider les certificats envoyés par le côté distant de la connexion lors d’une liaison SSL.
IBM WebSphere n’autorise pas plusieurs appels à ORB.init() lorsque la sécurité globale est activée. Vous pouvez consulter la restriction permanente à l’adresse https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Effectuez les étapes suivantes pour définir le port pour qu’il soit dynamique et résoudre le problème :
Dans la console d’administration WebSphere, sélectionnez Serveurs > Types de serveur > Serveur d’applications WebSphere.
Dans la section Préférences , sélectionnez votre serveur.
Dans le Configuration sous Communications , développez Ports, puis cliquez sur Détails.
Cliquez sur les noms de port suivants, modifiez la variable numéro de port sur 0, puis cliquez sur OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Ouvrez le fichier [aem-forms_root]
\crx-repository\launchpad\sling.properties pour le modifier.
Recherchez la propriété sling.bootdelegation.ibm
et ajoutez com.ibm.websphere.ssl.*
à son champ de valeur. Le champ mis à jour ressemble à ce qui suit :
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Enregistrez le fichier et redémarrez le serveur.