Etablissement de liaison et processus d'authentification SSL

Pour utiliser SSL, le client (IMS TM Resource Adapter) et le serveur (IMS Connect) doivent être configurés pour l'établissement de liaison SSL.
Au cours de l'exécution, lorsque l'application client Java™ exécute une interaction avec IMS, l'interaction a lieu sur une connexion (SSL) sécurisée entre le client SSL, IMS TM Resource Adapter, et le serveur SSL, IMS Connect. Un processus d'établissement de liaison SSL est exécuté pour ouvrir une connexion SSL entre le client et le serveur. Cet établissement de liaison SSL, transparent pour l'application client Java est exécuté de la manière suivante :
  1. Le client SSL, IMS TM Resource Adapter, initie une connexion en envoyant un message client "hello". Le serveur, IMS Connect, répond en envoyant un message "hello" et son certificat contenant sa clé publique.
  2. Si ce certificat est authentifié par le serveur, une clé de session est établie des deux côtés et une spécification de chiffrement est négociée pour déterminer le type de chiffrement à utiliser sur la connexion. Le code de chiffrement peut être STRONG, WEAK ou ENULL. L'établissement de liaison SSL est alors terminé si le serveur ne requiert pas l'authentification de client.
  3. Si le serveur requiert l'authentification client, le client authentifie le certificat serveur avec la clé publique du serveur provenant de son certificat. Si cette authentification a réussi, un certificat client est envoyé à partir du fichier de clés du client. Si ce certificat est authentifié par le serveur, une clé de session est établie des deux côtés et une spécification de chiffrement est négociée pour déterminer le type de chiffrement à utiliser sur la connexion. L'établissement de liaison SSL est alors terminé.
  4. Le client et le serveur sont alors prêts à envoyer et recevoir des données chiffrées.
Important : Lors de l'exécution d'applications client dans un environnement géré, ce qui est vivement conseillé en cas d'utilisation de connexions SSL, IMS TM Resource Adapter doit utiliser seulement des connexions socket persistantes pour communiquer avec IMS Connect. Cependant, dans un environnement non géré, ces connexions persistantes sont déconnectées par l'application après chaque utilisation, au lieu d'être rendues disponibles pour être réutilisées par une autre application.

Lorsque le gestionnaire de connexions de WebSphere Application Server Connection Manager est utilisé, les connexions peuvent être réutilisées en série par d'autres applications client. Le gestionnaire de connexions crée des connexions, si nécessaire, et les fournit aux applications. Lorsqu'une application a fini d'utiliser une connexion, le gestionnaire de connexions renvoie cette connexion vers le pool des connexions libres, la rendant ainsi disponible pour être réutilisée par une autre application requérant ce type de connexion. Cependant, l'authentification client et serveur ne se produit qu'une seule fois pour chaque socket pendant l'établissement de liaison qui a lieu lorsque ce socket est créé puis initialisé en tant que socket SSL. Lorsqu'un socket est réutilisé, le client SSL, IMS TM Resource Adapter, et le serveur, IMS Connect, ne changent pas. Par conséquent, il n'est pas nécessaire d'authentifier à nouveau le client et le serveur (en exécutant de nouveau le processus d'établissement de liaison) lorsqu'un socket est réutilisé. L'ID client qui identifie un socket reste le même à chaque fois qu'un socket est réutilisé.

Si la valeur du paramètre SSLEncryption est ENULL, les performances sont meilleures qu'avec des connexions SSL utilisant un chiffrement STRONG ou WEAK. Le niveau d'amélioration des performances obtenu dépend de plusieurs facteurs, et notamment du chiffrement utilisé (matériel ou logiciel). En général, le chiffrement matériel est plus rapide que le chiffrement logiciel.


Vos commentaires