Activation de la couche SSL pour les services Web sortants

Vous pouvez activer SSL pour les services Web en utilisant la console d'administration WebSphere Application Server pour le développement et le test, et à l'aide des commandes Run Engine pour les modifications de configuration permanentes.

Procédure

Pour le développement et les tests, utilisez la console d'administration WebSphere Application Server :
  1. Lorsque l'authentification de client n'est pas obligatoire.

    Si le serveur ne requiert pas d'authentification de client, c'est-à-dire s'il ne valide pas le certificat client, la configuration n'est pas complexe. Le certificat du serveur est ajouté au fichier de clés certifiées par défaut :

    1. Ouvrez la console d'administration de WebSphere Application Server.
    2. Développez Sécurité. Cliquez sur Gestion des certificats et clés SSL.
    3. Dans la section Articles liés, cliquez sur Magasins de clés et certificats.
    4. Sélectionnez NodeDefaultTrustStore.
    5. Dans la section Propriétés supplémentaires, cliquez sur Certificats de signataire.
    6. Vous pouvez, au choix :
      • Cliquez sur Extraire d'un port et entrez le nom d'hôte et le port HTTPS. Ce paramètre extrait automatiquement le certificat.
      • Cliquez sur Ajouter pour importer le fichier certificat codé en base 64.

      Le serveur est à présent sécurisé.

  2. Lorsque l'authentification de client est obligatoire.

    Si l'authentification de client est nécessaire, le serveur vérifie le certificat client et refuse la connexion si le client n'est pas digne de confiance. Le serveur doit ajouter le certificat client à son propre fichier de clés certifiées.

    1. Créez le fichier de clés et le fichier de clés certifiées.
      A des fins de test, vous pouvez créer un nouveau fichier de clés et un fichier de clés certifiées et utiliser un certificat autosigné.  Cependant, en production, vous devez utiliser un certificat d'une autorité de certification de confiance.
      1. Ouvrez ikeyman pour créer les espaces de magasins de certificats. ikeyman se trouve dans le répertoire AppServer/bin.
      2. Dans le menu Fichier de base de données de clés, sélectionnez Nouveau….
        1. Pour le type de base de données de clés, sélectionnez JKS. D'autres formats tels que PKCS12 peuvent également être sélectionnés.
        2. Sélectionnez un nom et un chemin d'accès pour le fichier de clés. Par exemple, CommerceKeyStore.jks
        3. Entrer un mot de passe. Rappelez-vous ce mot de passe car il est nécessaire dans les étapes ultérieures.
      3. Lorsque Certificats personnels est sélectionné, cliquez sur Nouveau certificat d'auto-signature…
      4. Complétez le formulaire et cliquez sur Accepter.
      Votre fichier de clés est créé et contient le certificat autosigné. Les étapes suivantes permettent de créer le fichier de clés certifiées.
      1. Dans le menu Fichier de base de données de clés, sélectionnez Nouveau….
        1. Créez un fichier à utiliser pour le fichier de clés certifiées, par exemple, CommerceTrustStore.jks. Le fichier de clés certifiées contient les certificats auxquels ce serveur fait confiance. Le certificat du serveur doit être ajouté à ce fichier de clés certifiées.
        2. Vous pouvez ensuite ajouter le certificat de serveur à l'aide de l'interface utilisateur ou de l'utilitaire ikeyman. Le certificat du serveur est généralement un fichier certificat (codé en base 64) .arm ou est inclus dans une base de données de clés telle que JKS ou p12.
        3. Pour importer le certificat du serveur d'un fichier arm, vérifiez que l'option du menu déroulant Certificats signataires est sélectionnée et cliquez sur Ajouter…. Si le certificat est un fichier JKS ou p12, vous pouvez l'extraire en tant que fichier asm.
    2. Définissez le nouveau fichier de clés et le fichier de clés certifiées dans HCL Commerce.
      1. Ouvrez la console d'administration de WebSphere Application Server.
      2. Développez Sécurité. Cliquez sur Gestion des certificats et clés SSL.
      3. Dans la section Articles liés, cliquez sur Magasins de clés et certificats.
      4. Cliquez sur Nouveau. Utilisez le nom CommerceKeyStore et remplissez le chemin d'accès et le mot de passe pour le fichier CommerceKeyStore.jks ainsi que les options restantes.
      5. Une fois la création terminée, cliquez sur Certificats personnels pour afficher les détails du certificat autosigné. Ce test garantit que le fichier de clés est correctement défini.
      6. Répétez ces étapes et définissez CommerceTrustStore à partir de CommerceTrustStore.jks. Cliquez sur Certificats signataires afin que le fichier de clés certifiées reconnaisse le certificat du serveur.
    3. Créez une configuration SSL.
      1. Développez Sécurité. Cliquez sur Gestion des certificats et clés SSL.
      2. Dans la section Articles liés, cliquez sur Configurations SSL.
      3. Cliquez sur Nouveau.
      4. Entrez le nom CommerceSSLConfig.
      5. Pour le nom du fichier de clés certifiées, sélectionnez CommerceTrustStore.
      6. Pour le nom du fichier de clés, sélectionnez CommerceKeyStore.
      7. Cliquez sur Obtenir des alias de certificat.
      8. Pour les options Alias de certificat serveur par défaut et Alias de certificat client par défaut, sélectionnez l'alias du certificat autosigné ou de votre certificat client.
      9. Dans la section Propriétés supplémentaires, cliquez sur Paramètre de qualité de protection (QoP).
      10. Définissez Authentification client sur Obligatoire.
    4. Associez la configuration SSL au service Web.
      1. Dans la section Eléments liés du panneau Certificat SSL et gestion des clés, cliquez sur Configurations SSL des nœuds finaux sortants dynamiques.
      2. Cliquez sur Nouveau. Vous pouvez configurer des requêtes sortantes, effectuées selon un protocole particulier vers un nom d'hôte et un port spécifiques, afin d'utiliser une configuration SSL qui n'est pas une configuration par défaut.
      3. Sélectionnez la combinaison de protocole, hôte et port qui correspond à celle utilisée par le service Web sortant.
      4. Dans la section Eléments liés du panneau Certificat SSL et gestion des clés, cliquez sur Configurations SSL.
      5. Sélectionnez CommerceSSLConfig. Cliquez ensuite sur Obtenir des alias de certificats.
      6. Sélectionnez le certificat client.

Résultats

Les étapes précédentes utilisaient WebSphere Application Server pour activer SSL pour les services Web sortants.

Pour effectuer des modifications de configuration permanentes, vous devrez peut-être personnaliser le fichier Docker pour exécuter les commandes Run Engine afin de conserver les configurations WebSphere Application Server. Pour plus d'informations, voir Commandes Run Engine.