Cette section décrit la procédure permettant de configurer SSL sur IBM WebSphere Application Server.
Pour activer SSL, WebSphere doit accéder à un compte d’utilisateur dans le registre utilisateur du système d’exploitation local, qui soit autorisé à administrer le système :
Ouvrez une session en tant qu’utilisateur root.
Ouvrez une invite de commande et créez un utilisateur en saisissant la commande suivante :
useradd
mkuser
Définissez le mot de passe du nouvel utilisateur en saisissant passwd
à l’invite de commande.
(Linux and Solaris) Créez un fichier de mots de passe cachés en saisissant pwconv
(sans paramètre) à l’invite de commande.
(Linux et Solaris) pour que le registre de sécurité du système d’exploitation local du serveur d’applications WebSphere soit opérationnel, le fichier des mots de passe cachés doit exister. Ce fichier s’appelle généralement /etc/shadow et est basé sur le fichier /etc/passwd. S’il n’existe pas, une erreur se produit après l’activation de la sécurité globale et la configuration du registre de l’utilisateur comme système d’exploitation local.
Ouvrez le fichier de groupe du répertoire /etc dans un éditeur de texte.
Ajoutez l’utilisateur créé à l’étape 2 au groupe root
.
Enregistrez et fermez le fichier.
(UNIX avec SSL activé) Démarrez et arrêtez WebSphere en tant qu’utilisateur root.
Administrators
, puis cliquez sur Vérifier les noms pour vous assurer que le nom du groupe est correct.Vérifiez que WebSphere est en cours d’exécution.
Dans la console d’administration WebSphere, sélectionnez Security > Global Security.
Sous Administrative Security, sélectionnez les rôles utilisateurs administratifs.
Cliquez sur Add et effectuez les opérations suivantes :
Cliquez sur OK et enregistrez les modifications.
Redémarrez le profil WebSphere.
Dans la console d’administration WebSphere, sélectionnez Security > Global Security.
Cliquez sur Security Configuration Wizard.
Assurez-vous que la case à cocher Enable Application Security est activée. Cliquez sur Suivant.
Sélectionnez Federated Repositories et cliquez sur Next.
Spécifiez les informations d’identification que vous souhaitez configurer et cliquez sur Next.
Cliquez sur Finish (Terminer).
Redémarrez le profil WebSphere.
WebSphere commencera à utiliser le fichier de stockage de clés et le fichier de magasin d’approbations (Trust Store) par défaut.
Vous pouvez créer des fichiers Trust Store et des fichiers de stockage de clés à l’aide de la console d’administration ou de l’utilitaire iKeyman. Pour un bon fonctionnement d’iKeyman, vérifiez que le chemin d’installation de WebSphere ne contient aucune parenthèse.
Dans la console d’administration WebSphere, sélectionnez Security > SSL certificate and key management.
Cliquez sur Keystores and certificates sous Related Items.
Dans la liste déroulante Key store usages, vérifiez que l’option SSL Keystores est sélectionnée. Cliquez sur Nouveau.
Saisissez un nom et une description logiques.
Spécifiez le chemin d’accès à l’emplacement où vous souhaitez créer le fichier de stockage de clés. Si vous avez déjà créé un fichier de stockage de clés par le biais d’iKeyman, spécifiez son chemin d’accès.
Spécifiez et confirmez le mot de passe.
Choisissez le type de fichier de stockage de clés et cliquez sur Apply.
Enregistrez la configuration principale.
Cliquez sur Personal Certificate.
Si vous avez déjà ajouté un fichier de stockage de clés à l’aide d’iKeyman, votre certificat s’affiche. Dans le cas contraire, vous devez ajouter un nouveau certificat autosigné en suivant la procédure ci-dessous :
Répétez les étapes 2 à 10 pour créer un fichier Trust Store.
Dans la console d’administration WebSphere, sélectionnez Security > SSL certificate and key management.
Cliquez sur Manage endpoint security configuration. La carte topologique locale s’ouvre.
Sous Inbound, sélectionnez un enfant direct de nœuds.
Sous Related Items, sélectionnez SSL configurations.
Sélectionnez NodeDeafultSSLSetting.
Dans les listes déroulantes de noms de fichier Trust Store et de fichier de stockage de clés, sélectionnez le fichier Trust Store et le fichier de stockage de clés que vous avez créés.
Cliquez sur Appliquer.
Enregistrez la configuration principale.
Redémarrez le profil WebSphere.
Votre profil s’exécute à présent sur des paramètres SSL personnalisés et votre certificat.
Pour convertir une URL commençant par https, ajoutez un certificat de signataire correspondant à cette URL sur le serveur WebSphere.
Création d’un certificat de signataire pour un site https
Vérifiez que WebSphere est en cours d’exécution.
Dans WebSphere Administrative Console, naviguez jusqu’à Signer certificates, puis cliquez sur Security > SSL Certificate and Key Management > Key Stores and Certificates > NodeDefaultTrustStore > Signer Certificates.
Cliquez sur Retrieve From Port et effectuez les tâches suivantes :
www.paypal.com
.443
. Il s’agit du port SSL par défaut.Cliquez sur Retrieve Signer Information, puis vérifiez que les informations sont récupérées.
Cliquez sur Apply, puis sur Save.
Le service Generate PDF peut maintenant effectuer des conversions HTML en PDF à partir du site dont le certificat est ajouté.
Pour qu’une application se connecte à des sites SSL depuis WebSphere, un certificat de signataire est requis. Celui-ci est utilisé par JSSE (Java Secure Socket Extensions) pour valider les certificats envoyés par le site distant lors de l’établissement de la connexion SSL.
IBM WebSphere n’autorise pas les appels multiples à ORB.init () lorsque la Sécurité Globale est activée. Vous pouvez consulter la restriction permanente à l’adresse https://www-01.ibm.com/support/docview.wss?uid=swg1PK58704.
Effectuez les étapes suivantes pour faire en sorte que le port soit dynamique et pour résoudre le problème :
Dans la console d’administration WebSphere, sélectionnez Servers > Server Types > WebSphere application server.
Dans la section Preferences, sélectionnez votre serveur.
Dans l’onglet Configuration, sous la section Communications, développez Ports et cliquez sur Details.
Cliquez sur les noms de port suivants, définissez le numéro de port sur 0 et cliquez sur OK.
ORB_LISTENER_ADDRESS
SAS_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_SERVERAUTH_LISTENER_ADDRESS
CSIV2_SSL_MUTUALAUTH_LISTENER_ADDRESS
Ouvrez le fichier [aem-forms_root]
\crx-repository\launchpad\sling.properties pour le modifier.
Recherchez la propriété sling.bootdelegation.ibm
et ajoutez com.ibm.websphere.ssl.*
à son champ de valeur. Le champ mis à jour ressemble à ce qui suit :
sling.bootdelegation.ibm=com.ibm.xml.*, com.ibm.websphere.ssl.*
Enregistrez le fichier et redémarrez le serveur.