Paramètres SSL (Secure Sockets Layer)

Cette page permet de configurer les paramètres SSL (Secure Sockets Layer) du serveur.

Pour afficher cette page de la console d'administration, cliquez sur Sécurité > SSL > nom_alias.

Onglet Configuration

Alias
Indique le nom du paramètre SSL spécifique
Type de données : Chaîne
Nom du fichier de clés
Indique le chemin complet du fichier de clés SSL qui contient les clés publiques et les clés privées.

Vous pouvez créer un fichier de clés SSL avec l'utilitaire de gestion de clés ou ce fichier peut correspondre à un disponible matériel disponible. Dans les deux cas, cette option indique la source des certificats personnels et des certificats signataires sauf si un fichier des tiers dignes de confiance est indiqué. Les fichiers de clés SSL par défaut, DummyClientKeyFile.jks et DummyServerKeyFile.jks, contiennent un certificat de test personnel auto-signé arrivant à expiration le 17 mars 2005. Le certificat de test est conçu pour être utilisé dans un environnement de test. Les fichiers de clés SSL par défaut ne doivent jamais être utilisés dans un environnement de production étant donné que les clés privées sont identiques sur toutes les installations de WebSphere Application Server. Pour obtenir plus d'informations sur la création et la gestion de certificats numériques dans le domaine WebSphere Application Server, reportez-vous à l'article Gestion des certificats de l'InfoCenter.

Type de données : Chaîne
Mot de passe du fichier de clés
Indique le mot de passe permettant d'accéder au fichier de clés SSL.
Type de données : Chaîne
Format du fichier de clés
Indique le format du fichier de clés SSL.
Type de données : Chaîne
Valeur par défaut : JKS
Portée : JKS, JCEK, PKCS12
Nom du fichier des tiers dignes de confiance
Indique le chemin complet d'un fichier des tiers dignes de confiance contenant les clés publiques.

Vous pouvez créer un fichier de tiers dignes de confiance à l'aide de l'utilitaire de gestion des clés inclus dans le répertoire WebSphere bin. L'utilisation de l'utilitaire de gestion des clés à partir de GSKit (Global Security Kit), autre implémentation SSL, ne fonctionne pas avec l'implémentation JSSE (Java Secure Socket Extension).

Contrairement au fichier de clés SSL, aucun certificat personnel n'est référencé ; seuls les certificats signataires sont extraits. Les fichiers des tiers digne de confiance, DummyClientTrustFile.jks et DummyServerTrustFile.jks, contiennent plusieurs clés publique de test en tant que certificats signataires pouvant arriver à expiration. La clé publique des certificats de test WebSphere Application Server Version 4.0 arrive à expiration le 15 janvier 2004 et la clé publique des certificats de test WebSphere Application Server Version 5 et le client CORBA C++ WebSphere Application Server arrive à expiration le 17 mars 2005. Le certificat de test est conçu pour être utilisé dans un environnement de test.

Si aucun fichier des tiers dignes de confiance n'est spécifié, mais que le fichier de clés SSL est spécifié, ce dernier doit alors être utilisé pour l'extraction des certificats signataires et des certificats personnels.

Type de données : Chaîne
Mot de passe du fichier des tiers dignes de confiance
Indique le mot de passe permettant d'accéder au fichier digne de confiance SSL.
Type de données : Chaîne
Format du fichier des tiers dignes de confiance
Indique le format du fichier des tiers dignes de confiance SSL.
Type de données : Chaîne
Valeur par défaut : JKS
Portée : JKS, JCEK, PKCS12
Authentification des clients
Indique si un certificat doit être demandé au client à des fins d'authentification lors de la réalisation d'une connexion.

Cet attribut est valide uniquement lorsqu'il est utilisé par le transport HTTP du conteneur Web. Lorsque vous effectuez l'authentification client avec le protocole Internet IIOP pour les demandes EJB, vous devez cliquer sur Sécurité > Protocole d'authentification > Transport des communications entrantes CSIv2 ou Authentification des communications sortantes CSIv2 dans la sous-fenêtre de gauche de la console d'administration. Cliquez sur l'option d'authentification par certificat client SSL pour l'activer pour ces demandes.

Type de données : Booléen
Valeur par défaut : Désactivée
Portée : Activée ou Désactivée
Niveau de sécurité
Indique si le serveur effectue une sélection à partir d'un ensemble préconfiguré de niveaux de sécurité.
Type de données : Les valeurs valides sont Bas, Moyen ou Haut.
  • BAS indique uniquement les signatures numériques (pas de chiffrement)
  • MOYEN indique uniquement les chiffrements à clé 40 bits (inclut la signature numérique)
  • HAUT indique uniquement les chiffrements à clé 128 bits (inclut la signature numérique).

Pour indiquer tous les codes de chiffrement ou une plage particulière, vous pouvez définir la propriété com.ibm.ssl.enabledCipherSuites.

Reportez-vous à la documentation SSL dans l'InfoCenter.

Valeur par défaut : Haut
Portée : Bas, Moyen ou Haut
Algorithme de cryptographie
Indique la liste des algorithmes de cryptographie pris en charge pouvant être sélectionnés et utilisés lors d'un établissement de liaison SSL. Si vous sélectionnez individuellement des algorithmes de cryptographie, ceux-ci remplaceront ceux que vous avez définis dans la zone Niveau de sécurité.
Type de données :
Valeur par défaut :
Portée :
Jeton de chiffrement
Indique si le serveur active ou désactive le matériel de cryptographie et le support logiciel.
Type de données : Booléen
Valeur par défaut : Désactivée
Portée : Activée ou Désactivée
Fournisseur   [Version 5.0.2 et versions ultérieures]
Fait référence à un package fournissant une implémentation concrète d'un sous-ensemble des aspects cryptographiques de l'API de Java Security.

Si vous sélectionnez le premier bouton, choisissez un fournisseur dans le menu. WebSphere Application Server propose les fournisseurs prédéfinis suivants : IBMJSSE et IBMJSSEFIPS. IBMJSSEFIPS est la version agréée FIPS du fournisseur IBMJSSE. Si vous sélectionnez le second bouton, saisissez un fournisseur personnalisé. Dans le cas d'un fournisseur personnalisé, vous devez d'abord saisir l'algorithme de cryptographie via Propriétés personnalisée sous Propriétés supplémentaires. Les algorithmes de cryptographie et les valeurs de protocole dépendent du fournisseur.

Type de données Entier
Valeur par défaut 100
Plage 1 à 86400
Protocole   [Version 5.0.2 et versions ultérieures]
Spécifie le protocole SSL utilisé.

Si vous utilisez un JSSE agréé FIPS tel que IBMJSSEFIPS, vous devez sélectionner un protocole TLS. Etant donné que les fournisseurs JSSE agréés FIPS ne sont pas rétrocompatibles, un serveur qui utilise le protocole TLS ne peut communiquer avec un client qui utilise un protocole SSL.

Informations connexes

Boutons de la console administrative
Caractéristiques de la page de la console d'administration
Paramètres de la portée de la console administrative
Paramètres de filtrage de la console administrative
Paramètres des préférences de la console administrative
Paramètres SSL (Secure Sockets Layer) des propriétés personnalisées