Utilisation du fichier java.security dans Java 8

A partir de Java™ 8, WebSphere® utilise le fichier IBMJDK java.security .

Sur les autres versions du JDK, WebSphere fournit un fichier java.security personnalisé. Le code de sécurité d'exécution WebSphere a été modifié pour configurer les informations de sécurité Java qui faisaient partie du fichier java.security personnalisé.

Liste des fournisseurs

WebSphere est fourni avec une liste de fournisseurs personnalisée qui inclut les fournisseurs PKCS11 et CMS que la liste de fournisseurs IBMJDK n'a pas inclus auparavant par défaut. Ces fournisseurs sont désormais ajoutés à l'aide d'un programme dans Java 8. Le code vérifie si ces fournisseurs existent déjà dans la liste des fournisseurs avant de les ajouter.

Fabriques SSLSocketFactory et SSLServerSocketFactory par défaut

Le code SSL de WebSphere dépend des fabriques de sockets personnalisées pour des fonctions telles que SSL par programmation et SSL sortant dynamique. Les fabrique de sockets personnalisées sont définies à l'aide des propriétés de sécurité qui sont définies dans le fichier java.security. Le code d'initialisation SSL WebSphere définit à l'aide d'un programme ces propriétés si elles ne sont pas définies de sorte que la fonction qui en dépend continue de fonctionner sur le serveur.

Les clients légers et les clients d'administration utilisent généralement le code d'initialisation SSL qui définit les fabriques de sockets WebSphere à l'aide d'un programme, mais il existe des cas où les utilisateurs écrivent des programmes client qui dépendent des fabriques de sockets WebSphere pour initialiser le SSL du client WebSphere . Si un client a besoin que les fabriques de sockets WebSphere soient définies pour que l'initialisation SSL du client WebSphere ait lieu, il peut éditer le fichier java.security du JDK afin d'inclure les propriétés de la fabrique de sockets.

ssl.SocketFactory.provider=com.ibm.websphere.ssl.protocol.SSLSocketFactory
ssl.ServerSocketFactory.provider=com.ibm.websphere.ssl.protocol.SSLServerSocketFactory
Un utilisateur peut également créer un nouveau fichier en y ajoutant les deux propriétés précédemment répertoriées, puis, sur le processus client, utiliser la propriété système java.security.properties pour pointer vers le fichier qui contient les propriétés de fabrique de sockets. Le programme client peut être nommé comme suit, si l'on part du principe que les propriétés se trouvent dans un fichier appelé socket.properties :

java -Djava.security.properties=socket.properties  clientProgram

WebSphere fournit également un mécanisme permettant d'augmenter le fichier java.security . Si vous devez apporter des modifications système au fichier java.security, éditez le fichier WAS_HOME/properties/java.security. Toute mise à jour placée dans ce fichier remplace le fichier java/jre/security/java.security. Vous devez uniquement ajouter des différences à ce fichier et ne pas remplacer l'intégralité du contenu, car cela permettra de prendre en compte toutes les vulnérabilités de sécurité qui seront corrigées dans une future édition de service Java. Le fichier java.security du répertoire java/jre/lib/security est écrasé quand des mises à jour java sont appliquées, mais le fichier dans WAS_HOME/properties n'est pas gérable.