Création d'une configuration SSL (Secure Sockets Layer)

Les configurations SSL (Secure Sockets Layer) contiennent les attributs nécessaires au contrôle du comportement des noeuds finals SSL des clients et des serveurs. Les configurations SSL sont créées avec des noms uniques avec des portées de gestion données dans l'arborescence des communications entrantes et sortantes dans la topologie de configuration. Cette tâche explique comment définir des configurations SSL, notamment la qualité de la protection et les paramètres du gestionnaire de clés.

1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité des points de terminaison
2. Sélectionnez un lien de configuration SSL dans l'arborescence des communications entrantes ou sortantes, suivant le processus que vous configurez.

   • processus affectés par la configuration. Une configuration SSL d'unité de chiffrement, par exemple, peut nécessiter un magasin de clés disponible uniquement sur un noeud donné, ou vous pouvez avoir besoin d'une configuration SSL pour une connexion à un hôte SSL et à un port particuliers. Pour plus d'informations, voir Sélection sortante dynamique des configurations SSL (Secure Sockets Layer).

     Si la portée est déjà associée à une configuration et à un alias, l'alias de la configuration SSL et celui du certificat sont indiqués entre parenthèses.
   • Si les informations entre parenthèses ne sont pas incluses, la portée n'est pas associée. Elle hérite au lieu de cela des propriétés de configuration de la première portée précédente associée à un alias de configuration SSL et de certificat.
   La portée de la cellule doit être associée à une configuration SSL car elle se trouve en haut de la topologie et représente la configuration SSL par défaut pour la connexion entrante ou sortante.
3. Cliquez sur Configurations SSL.
   Vous pouvez visualiser et sélectionner l'une des configurations SSL configurées à ce niveau. Vous pouvez également afficher et sélectionner ces configurations à tous les niveaux inférieurs de la topologie.
4. Cliquez sur Nouveau pour afficher le panneau de configuration SSL.
   Les liens dans Propriétés supplémentaires ne peuvent pas être sélectionnés tant que vous n'entrez pas un nom de configuration et que vous ne cliquez pas sur Appliquer.
5. Entrez un nom de configuration SSL.
   Cette zone est obligatoire. Le nom de configuration correspond à l'alias de configuration SSL. Le nom d'alias doit être unique dans la liste des alias de configuration SSL déjà créés au niveau sélectionné. La nouvelle configuration SSL utilise cet alias pour d'autres tâches de configuration.
6. Sélectionnez un nom de magasin de clés de confiance dans la liste déroulante.
   Un nom de magasin de clés de confiance fait référence à un nom de magasin de clés de confiance donné qui contient des certificats de signataires qui valident la sécurité des certificats envoyés par des connexions distantes lors de l'établissement d'une liaison SSL. S'il n'y a pas de magasin de clés de confiance dans la liste, créez un nouveau magasin de clés de confiance, qui est un magasin de clés dont le rôle est d'établir une relation de confiance lors de la connexion.
7. Sélectionnez un nom de magasin de clés de confiance dans la liste déroulante.
   Un magasin de clés contient les certificats personnels qui représentent une identité de signataire et la clé privée utilisée par WebSphere® Application Server pour chiffrer et signer les données.
   • Si vous changez le nom du magasin de clés, cliquez sur Obtenir des alias de certificat pour régénérer la liste des certificats dans laquelle vous pouvez choisir un alias par défaut. WebSphere Application Server utilise un alias de serveur pour les connexions entrantes et un alias client pour les connexions sortantes.
   • S'il n'y a pas de magasin de clés dans la liste, voir Création d'un magasin de clés.
8. Choisissez un alias de certificat serveur par défaut pour les connexions entrantes.
   Sélectionnez la valeur par défaut uniquement lorsque vous n'avez pas défini d'alias de configuration SSL à un autre emplacement et que vous n'avez pas sélectionné un alias de certificat. Une arborescence de configuration SSL gérée de manière centralisée peut remplacer l'alias par défaut.
9. Choisissez un alias de certificat client par défaut pour les connexions sortantes.
   Sélectionnez la valeur par défaut uniquement lorsque la configuration SSL serveur définit une authentification client SSL.
10. Passez en revue la portée de la gestion de la configuration SSL identifiée.
    Rendez la portée de gestion dans cette zone identique au lien que vous avez sélectionné à l'étape 2. Si vous souhaitez modifier la portée, vous devez cliquer sur un autre lien dans l'arborescence de la topologie et passer à l'étape 3.
11. Cliquez sur Appliquer si vous avez l'intention de configurer des propriétés supplémentaires. Sinon, passez à l'étape 24.
12. Cliquez sur Paramètres de qualité de protection (QoP).
    Les paramètresQoP définissent la force du chiffrement SSL, l'intégrité du signataire et l'authenticité du certificat.
13. Sélectionnez un paramètre d'authentification client pour établir une configuration SSL pour les connexions entrantes et les clients pour envoyer leurs certificats, le cas échéant.
    • Si vous sélectionnez Aucun, le serveur ne demande pas au client d'envoyer un certificat lors de l'établissement de la connexion.
    • Si vous sélectionnez Pris en charge, le serveur demande qu'un client envoie un certificat. Si toutefois le client ne possède pas de certificat, la connexion peut tout de même aboutir.
    • Si vous sélectionnez Requis, le serveur demande qu'un client envoie un certificat. Si toutefois le client ne possède pas de certificat, la connexion échoue.
    Important: Le certificat de signataire qui représente le client doit se trouver dans le magasin de clés de confiance que vous sélectionnez pour la configuration SSL. Par défaut, les serveurs qui se trouvent dans la même cellule se font confiance car ils utilisent le magasin de relations de confiance commun, trust.p12, résidant dans le répertoire de la cellule du référentiel de la configuration. Si toutefois vous utilisez des magasins de clés et des magasins de relations de confiance que vous créez, procédez à un échange de signataire avant de sélectionner Pris en charge ou Requis.
14. Sélectionnez un ou plusieurs protocoles pour l'établissement de liaison SSL.

    Par défaut, le produit utilise un protocole d'établissement de liaison SSL unique, SSL_TLSv2. Avec SSL_TLSv2, les connexions peuvent accepter les protocoles TLSv1, TLSv1.1, TLSv1.2, TLSv1.3 . Le protocole SSL_TLSv2 prend en charge tous les protocoles d'établissement de liaison, à l'exception de SSLv2 côté serveur. Vous pouvez remplacer la valeur par défaut SSL_TLSv2 par un autre protocole unique ou par une liste personnalisée de protocoles.

    • Pour spécifier un protocole unique, cliquez sur Protocoles prédéfinis et sélectionnez un protocole SSL dans la liste Sélectionner un protocole .

      En version 8.5.5.21, le nom de ce paramètre est passé de Protocole à Protocoles prédéfinis.

      Certaines valeurs de protocole SSL uniques représentent plusieurs configurations SSL. Par exemple, SSL_TLSv2 permet d'utiliser les protocoles TLSv1, TLSv1.1et TLSv1.2 .

    • Pour spécifier une liste personnalisée de plusieurs protocoles SSL, cliquez sur Liste de protocoles personnalisés, sélectionnez les protocoles dans la liste et cliquez sur Ajouter. La liste des protocoles personnalisés s'affiche dans la configuration de la sécurité sous la forme d'une liste séparée par des virgules.

    Vous pouvez sélectionner l'un des protocoles suivants:

    • SSL_TLSv2, le protocole par défaut, prend en charge les protocoles client TLSv1 et SSLv3.
    • TLSv1 prend en charge TLS et TLSv1. La connexion au serveur SSL doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
    • SSLv2
    • SSLv3 prend en charge SSL et SSLv3. La connexion au serveur SSL doit prendre en charge ce protocole pour effectuer l'établissement de liaison.
    • TLS est TLSv1
    • TLSv1
    • SSL_TLSv2 est SSLv3 et TLSv1, TLSv1.1, TLSv1.2
    • TLSv1.1
    • TLSv1.2
    • TLSv1.3

    Important :

    • N'utilisez pas le protocole SSLv2 pour la connexion au serveur SSL. Utilisez-le uniquement lorsque c'est nécessaire côté client.
    • Pour V8.5.5.20 uniquement, les informations suivantes s'appliquent : TLSv1.3 apparaît dans la liste des protocoles sélectionnables lorsque l'ID de votre serveur d'applications s'exécute sur une JVM où le TLSv1.3 Le protocole est pris en charge. Le protocole TLSv1.3 n'est pour l'instant pas inclus dans les autres protocoles. Si vous utilisez TLSv1.3, il s'agit du seul protocole accepté.
    • TLSv1.3est pris en charge sur AIX®, Windows et Linux®. Pour Solaris, où votre identifiant de serveur d'applications s'exécute sur une JVM, leTLSv1.3 le protocole n’est PAS pris en charge.
15. Sélectionnez un fournisseur JSSE.
    • Un fournisseur JSSE (Java™ Secure Socket Extension) prédéfini. Il est recommandé d'utiliser le fournisseur IBMJSSE2 sur toutes les plateformes qui le prennent en charge. Il doit obligatoirement être utilisé par la structure de canaux SSL. Lorsque FIPS (Federal Information Processing Standard) est activé, IBMJSSE2 est utilisé en association avec le fournisseur de chiffrement IBMJCEFIPS.
    • Fournisseur JSSE personnalisé. Entrez un nom de fournisseur dans la zone Fournisseur personnalisé.
16. Sélectionnez l'un des groupes de suites de chiffrement suivants.
    • Fort : WebSphere Application Server peut exécuter des algorithmes de confidentialité de 128 bits pour le chiffrement et prendre en charge des algorithmes de signature d'intégrité. Un algorithme de cryptographie fort peut toutefois nuire aux performances de la connexion.
    • Moyen : WebSphere Application Server peut exécuter des algorithmes de confidentialité de 40 bits pour le chiffrement et prendre en charge des algorithmes de signature d'intégrité.
    • Faible : WebSphere Application Server peut prendre en charge des algorithmes de signature d'intégrité mais pas procéder au chiffrement. Sélectionnez cette option avec prudence car les mots de passe et autres informations sensibles en transit sur le réseau sont alors détectables par un sniffer de protocole IP.
    • Personnalisé : vous pouvez sélectionner des codes de chiffrement particuliers. Chaque fois que vous modifiez un code de chiffrement répertorié dans un groupe d'algorithmes de chiffrement donné, la valeur Personnalisé est associée au nom de groupe.
17. Cliquez sur Mettre à jour les chiffrements sélectionnés pour afficher la liste des chiffrements disponibles pour chaque niveau de chiffrement.
18. Cliquez sur OK pour revenir au nouveau panneau de configuration SSL.
19. Cliquez sur Faire confiance aux gestionnaires de clés.
20. Sélectionnez un gestionnaire de relations de confiance par défaut pour la décision sécurisée de connexion SSL primaire.
    • Choisissez IbmPKIX lorsque vous avez besoin de la vérification CRL (certificate revocation list) à l'aide des points de distribution CRL dans les certificats ou du protocole OCSP (online certificate status protocol).
    • Choisissez IbmX509 lorsque vous n'avez pas besoin de la vérification CRL mais que vous devez améliorer les performances. Vous pouvez configurer un gestionnaire de relations de confiance par défaut pour effectuer la vérification CRL si nécessaire.
21. Définissez un gestionnaire de relations de confiance personnalisé, le cas échéant.
    Vous pouvez définir un gestionnaire de relations de confiance personnalisé qui s'exécute en même temps que le gestionnaire de relations de confiance personnalisé par défaut sélectionné. Le gestionnaire de relations de confiance personnalisé doit mettre en oeuvre l'interface JSSE javax.net.ssl.X509TrustManager et éventuellement l'interface com.ibm.wsspi.ssl.TrustManagerExtendedInfo pour obtenir des informations spécifiques du produit.
    1. Cliquez sur Sécurité > Certificat SSL et gestion des clés > Gérer les configurations de sécurité du noeud final > SSL_configuration > Gestionnaires de clés et de clés de confiance > Gestionnaires de clés de confiance > Nouveau.
    2. Entrez un nom de gestionnaire de relations de confiance unique.
    3. Sélectionnez l'option Personnalisé .
    4. Entrez un nom de classe.
    5. Cliquez sur OK.
       Lorsque vous repassez au panneau Gestionnaires de clés et de relations de confiance, le nouveau gestionnaire de confiance apparaît dans la zone Gestionnaires de relations de confiance ordonnés supplémentaires. Utilisez les zones de liste pour ajouter et retirer des gestionnaires de relations de confiance personnalisés.
22. Sélectionnez un gestionnaire de clés pour la configuration SSL.
    Par défaut, IbmX509 est le seul gestionnaire de clés, à moins que vous n'en génériez un autre.

    Important: Si vous choisissez d'implémenter votre propre gestionnaire de clés, vous pouvez affecter le comportement de sélection d'alias car le gestionnaire de clés est chargé de sélectionner l'alias de certificat dans le magasin de clés. Le gestionnaire de clés personnalisé peut ne pas interpréter la configuration SSL comme le fait le gestionnaire de clés WebSphere Application Server IbmX509. Pour définir un gestionnaire de clés personnalisé, cliquez sur Sécurité > Communications sécurisées > Configurations SSL > configuration_SSL > Gestionnaires de clés et de relations de confiance > Gestionnaires de clés > Nouveau.
23. Cliquez sur OK pour sauvegarder les paramètres de confiance et de gestionnaire de clés et revenir au nouveau panneau de configuration SSL.
24. Cliquez sur Sauvegarder pour sauvegarder la nouvelle configuration SSL.