Rubrique précédente: A propos de l'utilisation de certificat publié par une autorité de certification tierceRubrique suivante: Conservation du nom d'hôte DNS

Maintenance du domaineGestion des certificatsImplémentation d'un certificat SSL de sécurité tiers

Implémentation d'un certificat SSL de sécurité tiers

CA Process Automation prend en charge les certificats de sécurité tiers pour l'accès Web via HTTPS et la signature des fichiers .jar. Vous pouvez obtenir ces certificats à partir d'une autorité de certification tierce.

Procédez comme suit :

  1. Choisissez un mot de passe pour le certificat et obtenez un certificat de sécurité auprès d'une autorité de certification.
  2. Grâce aux instructions fournies par l'autorité de certification, importez le certificat vers un référentiel de clés. 

    En général, une commande similaire à keytool –import –alias myalias –file certfile –keystore  "path_and_file_specification_for_keystore" est utilisée.

  3. Pour le mot de passe du référentiel de clés, saisissez le mot de passe fourni par l'autorité de certification.
  4. Obtenez une version chiffrée du mot de passe du référentiel de clés.
    1. Accédez au répertoire répertoire_installation\server\c2o.
    2. Localisez le script PasswordEncryption (PasswordEncryption.bat pour Windows, PasswordEncryption.sh pour UNIX ou Linux).
    3. Exécutez PasswordEncryption passwordtoencrypt.
    4. Enregistrez la valeur longue chiffrée renvoyée, pour la saisir dans le fichier de propriétés.
  5. Arrêtez l'orchestrateur.
  6. Sauvegardez et modifiez le fichier de propriétés Oasis Configuration pour ajouter ou mettre à jour les éléments suivants :
    1. itpam.web.keystorepath à l'emplacement du référentiel de clés utilisant le chemin complet et le nom du fichier de référentiel de clés.
    2. itpam.web.keystore.password avec le mot de passe de référentiel de clés chiffré (ne saisissez pas la valeur du mot de passe chiffré entre des guillemets)
    3. itpam.web.keystorealias pour l'alias utilisé pour référencer le certificat dans le référentiel de clés (myalias dans les exemples).
  7. Signez les fichiers .jar en exécutant le fichier SignC2OJars (SignC2OJars.bat pour Windows, SignC2OJars.sh pour UNIX ou Linux) fournis avec CA Process Automation dans répertoire_installation/server/c2o. Exécutez SignC2oJars sans paramètres pour signer les fichiers .jar. Si le mot de passe de référentiel de clés que vous avez saisi ne correspond pas au mot de passe du certificat, saisissez le mot de passe du certificat lors de la signature de chaque fichier .jar.

    Remarque : Sur AIX, un problème connu survient lorsque vous signez à nouveau un fichier .jar avec SignC2OJars.Pour résoudre le problème, annulez manuellement la signature des fichiers .jar. Pour ce faire, supprimez les fichiers *.SF et *.RSA du dossier META-INF associé à chaque archive Java avant d'exécuter SignC2OJars. 

  8. Si le référentiel de clés contient plusieurs alias, modifiez l'entrée de connecteur dans le fichier server.xml. Le fichier server.xm. se trouve à l'emplacement suivant : <rép_installation>\server\c2o\deploy\jbossweb-tomcat55.sar\server.xml. Ajoutez la ligne en gras : 
    <Connector port="${tomcat.secure.port}" address="${jboss.bind.address}"

    maxThreads="100" strategy="ms" maxHttpHeaderSize="8192"
emptySessionPath="true"
scheme="https" secure="true" clientAuth="false" 
keystoreFile="${itpam.web.keystorepath}"
keyAlias="${itpam.web.keystorealias}"
keystorePass="${itpam.web.keystore.password}" sslProtocol = "${SSL_PROTOCOL}" algorithm = "${X509_ALGORITHM}" useBodyEncodingForURI="true"/>
  9. Démarrez l'orchestrateur.
  10. Répétez cette procédure pour chaque orchestrateur qui doit utiliser le nouveau certificat.

Informations complémentaires :

Fichier des propriétés de configuration d'Oasis