Lorsque vous mettez à niveau le serveur de version 6.0.1.1 ou de version antérieure vers une version ultérieure à la version 6.0.1.1, vous pouvez mettre à niveau le chiffrement SSL.
Pourquoi et quand exécuter cette tâche
Cette mise à niveau est facultative ; cependant, elle renforce la sécurité de votre serveur.
Procédure
- Mettez à jour le certificat HTTPS pour le serveur :
- Sur le serveur, ouvrez le dossier install_serveur/opt/tomcat/conf dans une fenêtre de ligne de commande, où install_serveur est le dossier d'installation du serveur. Le répertoire d'installation du serveur par défaut est /opt/ibm-ucd/server sous Linux et C:\Program Files\ibm-ucd\server sous Windows.
- Supprimez le certificat existant avec la commande suivante :
keytool -delete
-alias tomcat
-keystore tomcat.keystore
-storepass changeit
Remarque : Chaque commande dans cet exemple et les exemples suivants doit être écrite sur une seule ligne.
- Créez un certificat avec la commande suivante :
keytool -genkey
-alias tomcat
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=nom_hôte
-keystore tomcat.keystore
Pour nom_hôte, utilisez le nom d'hôte du serveur.
- Accédez au dossier install_serveur/conf.
- Supprimez l'entrée existante dans le magasin de clés avec la commande suivante :
keytool -delete
-alias server
-keystore server.keystore
-storepass changeit
- Créez une entrée dans le magasin de clés avec la commande suivante :
keytool -genkey
-alias server
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=nom_hôte
-keystore tomcat.keystore
Pour nom_hôte, utilisez le nom d'hôte du serveur.
- Pour chacun de vos relais d'agent, mettez à niveau le chiffrement en effectuant les opérations suivantes :
- Dans une fenêtre de ligne de commande, accédez au dossier install_relais/conf/jms-relay, où install_relais est le dossier d'installation du relais.
- Supprimez l'entrée existante dans le magasin de clés pour le relais d'agent avec la commande suivante :
keytool -delete
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
- Ajoutez une entrée avec le nouveau niveau de chiffrement avec la commande suivante :
keytool -genkey
-alias agentrelay
-keystore agentrelay.keystore
-storepass changeit
-keypass changeit
-keyalg RSA
-sigalg SHA256withRSA
-keysize 2048
-validity 7305
-dname CN=nom_hôte
Pour nom_hôte, utilisez le nom d'hôte du serveur.
- Si vous utilisez le chiffrement mutuel entre des serveurs et des agents, mettez à niveau le chiffrement sur chaque agent :
- Dans une fenêtre de ligne de commande, accédez au dossier install_agent/conf/jms-relay, où install_agent est le dossier d'installation de l'agent.
- Supprimez l'entrée existante dans le magasin de clés pour l'agent avec la commande suivante :
keytool -delete
-alias alias
-keystore fichier_magasin_clés
-storepass changeit
Remplacez alias par l'alias du certificat serveur dans le magasin de clés de l'agent ; fichier_magasin_clés est le fichier de magasin de clés. Le nom par défaut du fichier de magasin de clés est ibm-ucd.keystore.
Pour rechercher l'alias, exécutez la commande suivante et recherchez le nom d'alias dans la sortie :
keytool -list -v -keystore fichier_magasin_clés
- Suivez les étapes de la rubrique Configuration de l'authentification mutuelle pour ajouter le nouveau certificat serveur à l'agent.