Eléments de syntaxe XML pour l'utilisation d'une connexion sécurisée avec le protocole SSL

Cette rubrique énumère les éléments de syntaxe pour l'utilisation du client de ligne de commande XML avec SSL sur une connexion HTTPS sécurisée.

Tableau 1. Description des éléments syntaxiques utilisés pour établir une connexion sécurisée avec le protocole SSL
Elément de syntaxe	Description
`-truststore`	Utilisez cet élément pour spécifier le nom du fichier de clés certifiées contenant les certificats de serveurs requis pour l'acceptation de connexions SSL provenant de serveurs accrédités. Si aucun fichier de clés certifiées n'est fourni, le client XML utilise le fichier de clés certifiées `cacerts` Java par défaut. Pour z/OS®, vous pouvez utiliser un fichier de clés RACF comme magasin sécurisé. La syntaxe du fichier de clés est `safkeyring://keyring` pour une utilisation sans ID utilisateur et `safkeyring://user/keyring` pour une utilisation avec un ID utilisateur.
`-trustpwd`	Utilisez cet élément pour spécifier le mot de passe requis pour accéder au fichier de clés certifiées. Si le fichier de clés certifiées `cacerts` Java par défaut est utilisé, il est inutile d'indiquer un mot de passe sécurisé.
`-trusttype`	Utilisez cet élément pour spécifier le type de fichier de clés certifiées utilisé. Le type par défaut est `jks`. Lorsque le fichier de clés utilisé est de type `jks`, il est inutile d'indiquer ce paramètre. Pour z/OS® : Si vous utilisez un fichier de clés en tant que fichier de clés certifiées, XML utilisera `JCERACFKS` comme type de fichier de clés certifiées par défaut. Aussi, vous n'avez pas utiliser cette option à moins que votre fichier de clés utilise un autre format.
`-keystore`	Utilisez cet élément pour spécifier le nom du fichier de clés contenant les certificats client requis pour l'établissement d'une connexion SSL avec un serveur exigeant une authentification par certificat client. Si aucun fichier de clés n'est fourni, le client XML utilisera le fichier de clés `cacerts` Java par défaut. Pour z/OS®, vous pouvez utiliser un fichier de clés RACF comme fichier de clés. La syntaxe du fichier de clés est `safkeyring://keyring` pour une utilisation sans ID utilisateur et `safkeyring://user/keyring` pour une utilisation avec un ID utilisateur.
`-keypwd`	Utilisez cet élément pour spécifier le mot de passe requis pour l'accès au fichier de clés. Si le fichier de clés `cacerts` Java par défaut est utilisé, il est inutile d'indiquer un mot de passe de clé.
`-keytype`	Utilisez cet élément pour spécifier le type de fichier de clés utilisé. Le type par défaut est `jks`. Si le fichier de clés utilisé est de type `jks`, il est inutile d'indiquer ce paramètre. Pour z/OS® : Si vous utilisez un fichier de clés, XML utilisera `JCERACFKS` comme type de fichier de clés par défaut. Aussi, vous n'avez pas utiliser cette option à moins que votre fichier de clés utilise un autre format.
`-protocol`	Utilisez cet élément pour spécifier le protocole, par exemple, `SSL`, `SSLv1`, `SSLv3` ou `TLS`. Notez que vous pouvez sélectionner uniquement les protocoles qui sont pris en charge et activés par WebSphere® Application Server. Le paramètre est évalué uniquement si l'URL du servlet XMLAccess sélectionne une connexion sécurisée avec HTTPs. Sinon, le paramètre est ignoré.

Consultez les exemples suivants.

Exemple 1

L'exemple suivant explique comment utiliser l'interface de configuration XML pour établir une connexion SSL avec un serveur HCL, à l'aide d'espaces de stockage de certificats par défaut fournis par WebSphere® Application Server :

xmlaccess.sh -user wpsadmin -password your_password -url https://portalhost:10035/wps/config/
             -in $PortalHome/doc/xml-samples/ExportAllUsers.xml -out result.xml
             -truststore $WASHome/profiles/wp_profile/etc/trust.p12 
             -trustpwd WebAS -trusttype PKCS12

Pour z/OS® :

xmlaccess.sh -user wpsadmin -password your_password -url https://portalhost:10035/wps/config/ 
             -in $PortalHome/doc/xml-samples/ExportAllUsers.xml -out result.xml
             -truststore AppServer_root/etc/trust.p12 
             -trustpwd WebAS -trusttype PKCS12

Pour que cet exemple puisse s'exécuter, utilisez le paramètre trusttype avec une valeur PKCS12 pour éviter une erreur invalid file format.

Exemple 2

L'exemple suivant explique comment utiliser l'interface de configuration XML pour établir une connexion SSL avec un serveur HCL, à l'aide d'espaces de stockage de certificats fictifs fournis par WebSphere® Application Server :

xmlaccess.sh -user wpsadmin -password your_password -url https://portalhost:10035/wps/config/
             -in $PortalHome/doc/xml-samples/ExportAllUsers.xml -out result.xml 
             -truststore $WASHome/profiles/wp_profile/etc/DummyClientTrustFile.jks -trustpwd WebAS

Pour z/OS® :

xmlaccess.sh -user wpsadmin -password your_password -url https://portalhost:10035/wps/config/ 
             -in PortalServer_root/doc/xml-samples/ExportAllUsers.xml -out result.xml 
             -truststore AppServer_root/etc/DummyClientTrustFile.jks -trustpwd WebAS

Pour que cet exemple puisse s'exécuter, vous devez exécuter la configuration SSL dans WebSphere® Application Server à l'aide de DummyServerKeyFile.jks et de DummyServerTrustFile.jks pour les connexions sécurisées. L'option exiger l'authentification client ne doit pas être active.

Exemple 3

Si l'option exiger l'authentification client est active, vous devez fournir un fichier de clés lorsque vous établissez la connexion SSL avec l'interface de configuration XML :

xmlaccess.sh -user wpsadmin -password yourpassword -url https://portalhost:10035/wps/config/
             -in $PortalHome/doc/xml-samples/ExportAllUsers.xml -out result.xml 
             -truststore $WASHome/profiles/wp_profile/etc/DummyClientTrustFile.jks -trustpwd WebAS 
             -keystore $WASHome/profiles/wp_profile/etc/DummyClientKeyFile.jks -keypwd WebAS

Pour z/OS® :

xmlaccess.sh -user wpsadmin -password yourpassword -url https://portalhost:10035/wps/config/ 
             -in PortalServer_root/doc/xml-samples/ExportAllUsers.xml
             -out result.xml 
             -truststore AppServer_root/etc/DummyClientTrustFile.jks -trustpwd WebAS 
             -keystore AppServer_root/etc/DummyClientKeyFile.jks -keypwd WebAS

Cet exemple permet à l'interface de configuration XML d'envoyer un certificat client au serveur, si ce dernier en demande un. L'utilisation de l'authentification du certificat client est requise lorsque le nombre de clients pouvant gérer HCL doit être contrôlé. Seuls les clients dotés d'un certificat client correct pourront établir une connexion avec HCL.