Mise à niveau de la force de la clé de chiffrement

Lorsque vous mettez à niveau le serveur de version 6.0.1.1 ou de version antérieure vers une version ultérieure à la version 6.0.1.1, vous pouvez mettre à niveau le chiffrement SSL.

Pourquoi et quand exécuter cette tâche

Cette mise à niveau est facultative ; cependant, elle renforce la sécurité de votre serveur.

Procédure

  1. Mettez à jour le certificat HTTPS pour le serveur :
    1. Sur le serveur, ouvrez le dossier install_serveur/opt/tomcat/conf dans une fenêtre de ligne de commande, où install_serveur est le dossier d'installation du serveur. Le répertoire d'installation du serveur par défaut est /opt/ibm-ucd/server sous Linux et C:\Program Files\ibm-ucd\server sous Windows.
    2. Supprimez le certificat existant avec la commande suivante :
      keytool -delete 
        -alias tomcat 
        -keystore tomcat.keystore 
        -storepass changeit
      Remarque : Chaque commande dans cet exemple et les exemples suivants doit être écrite sur une seule ligne.
    3. Créez un certificat avec la commande suivante :
      keytool -genkey 
        -alias tomcat 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=nom_hôte 
        -keystore tomcat.keystore
      Pour nom_hôte, utilisez le nom d'hôte du serveur.
    4. Accédez au dossier install_serveur/conf.
    5. Supprimez l'entrée existante dans le magasin de clés avec la commande suivante :
      keytool -delete 
        -alias server 
        -keystore server.keystore 
        -storepass changeit
    6. Créez une entrée dans le magasin de clés avec la commande suivante :
      keytool -genkey 
        -alias server 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=nom_hôte 
      -keystore tomcat.keystore
      Pour nom_hôte, utilisez le nom d'hôte du serveur.
  2. Pour chacun de vos relais d'agent, mettez à niveau le chiffrement en effectuant les opérations suivantes :
    1. Dans une fenêtre de ligne de commande, accédez au dossier install_relais/conf/jms-relay, où install_relais est le dossier d'installation du relais.
    2. Supprimez l'entrée existante dans le magasin de clés pour le relais d'agent avec la commande suivante :
      keytool -delete 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit
    3. Ajoutez une entrée avec le nouveau niveau de chiffrement avec la commande suivante :
      keytool -genkey 
        -alias agentrelay 
        -keystore agentrelay.keystore 
        -storepass changeit 
        -keypass changeit 
        -keyalg RSA 
        -sigalg SHA256withRSA 
        -keysize 2048 
        -validity 7305 
        -dname CN=nom_hôte
      Pour nom_hôte, utilisez le nom d'hôte du serveur.
  3. Si vous utilisez le chiffrement mutuel entre des serveurs et des agents, mettez à niveau le chiffrement sur chaque agent :
    1. Dans une fenêtre de ligne de commande, accédez au dossier install_agent/conf/jms-relay, où install_agent est le dossier d'installation de l'agent.
    2. Supprimez l'entrée existante dans le magasin de clés pour l'agent avec la commande suivante :
      keytool -delete 
        -alias alias 
        -keystore fichier_magasin_clés 
        -storepass changeit
      Remplacez alias par l'alias du certificat serveur dans le magasin de clés de l'agent ; fichier_magasin_clés est le fichier de magasin de clés. Le nom par défaut du fichier de magasin de clés est ibm-ucd.keystore. Pour rechercher l'alias, exécutez la commande suivante et recherchez le nom d'alias dans la sortie :
      keytool -list -v -keystore fichier_magasin_clés
    3. Suivez les étapes de la rubrique Configuration de l'authentification mutuelle pour ajouter le nouveau certificat serveur à l'agent.

Commentaires en retour