D Configuration des certificats de sécurité

Oracle fournit des certificats de sécurité générés automatiquement à utiliser avec les ports HTTPS/SSL. Lors de l'installation, Oracle utilise la commande Java keytool pour générer un certificat sur le serveur Oracle à l'aide du nom d'hôte du serveur. Vous pouvez éventuellement remplacer le certificat Oracle par votre propre certificat approuvé par une autorité de certification sélectionnée (VeriSign, par exemple).

Ce chapitre se compose de la section suivante :

Tâches de configuration du certificat de sécurité

Si vous souhaitez utiliser un certificat de sécurité différent de celui par défaut, suivez ces procédures dans l'ordre indiqué.

Remarque:

Les procédures suivantes utilisent Mozilla Firefox sur une plateforme Windows.

Etablissement de la connexion HTTPS/SSL initiale

  1. Lancez un navigateur Web pris en charge sur votre ordinateur et saisissez la version HTTPS/SSL de l'URL de l'application STA.

    https://STA_host_name:port_number/STA/
    

    Où :

    • host_name est le nom d'hôte du serveur STA.

    • port_number est le numéro de port STA que vous avez indiqué pendant l'installation. Par défaut, le port HTTP est 7021, et le port HTTPS est 7022.

    • STA doit être saisi en majuscules.

    Par exemple :

    https://staserver.example.com:7022/STA/ 
    

    L'écran The Connection is Untrusted s'affiche.

  2. Sélectionnez I Understand the Risks, puis cliquez sur Add Exception.

    L'écran Add Security Exception s'affiche.

  3. Cliquez sur View.

    L'écran Certificate Viewer s'affiche. Le certificat n'est pas indiqué comme étant vérifié car il ne provient pas d'une autorité de certification.

  4. Pour examiner le certificat, cliquez sur l'onglet Details.

  5. Dans le volet Certificate Fields, sélectionnez issuer. Voici un exemple d'affichage. CN indique le nom du serveur sur lequel le certificat a été généré.

    CN = staserver.example.com
    OU = Tape Systems
    O = Oracle America Inc
    L = Redwood City
    ST = California
    C = USA
    
  6. Cliquez sur Close pour retourner à l'écran Add Security Certificate.

  7. Sélectionnez Confirm Security Exception.

    Le certificat est ajouté au serveur STA, vous pouvez désormais utiliser HTTPS avec le certificat.

Reconfiguration de WebLogic pour qu'il utilise un certificat de sécurité différent

  1. Ouvrez une fenêtre de navigateur et saisissez l'URL de la console d'administration WebLogic. Par défaut, le port HTTP est 7019, le port HTTPS est 7020.

    https://your_hostname:port number/console/

    Par exemple :

    https://staserver.company.com:7019/console/
    
  2. Connectez-vous à l'aide du nom d'utilisateur et du mot de passe de la console d'administration WebLogic que vous avez définis lors de l'installation de STA.

  3. Dans la section Domain Structure, sélectionnez Environment, puis Servers.

    La description de cert_servers.png est la suivante
    Description de l'illustration cert_servers.png

  4. Dans le tableau Servers, sélectionnez le lien actif staUi (sélectionnez le nom lui-même et non la case).

    La description de cert_staui.png est la suivante
    Description de l'illustration cert_staui.png

  5. Sélectionnez l'onglet Keystores.

    La description de cert_keystores.png est la suivante
    Description de l'illustration cert_keystores.png

  6. Dans la section Change Center, cliquez sur Lock & Edit.

    La description de wl_lockedit.png est la suivante
    Description de l'illustration wl_lockedit.png

  7. Dans la section Keystores, cliquez sur Change.

    La description de cert_change.png est la suivante
    Description de l'illustration cert_change.png

  8. Dans le menu Keystores, sélectionnez Custom Identity and Java Standard Trust.

    La description de cert_keystoresmenu.png est la suivante
    Description de l'illustration cert_keystoresmenu.png

  9. Cliquez sur Save.

  10. Remplissez l'écran Keystores de la manière suivante :

    • Custom Identity Keystore : chemin et fichier du fichier de clés privées.

    • Custom Identity Keystore Type : type de keystore. Si vous effectuez une configuration pour l'authentification RACF, saisissez PKCS12.

    • Custom Identity Keystore Passphrase : mot de passe fourni par l'administrateur système MVS.

    • Java Standard Trust Keystore Passphrase : nouveau mot de passe du fichier Java Standard Trust Keystore.

    Prudence:

    Si vous oubliez ces mots de passe, vous devrez réinstaller STA.
    La description de cert_keystoresentries.png est la suivante
    Description de l'illustration cert_keystoresentries.png

  11. Cliquez sur Save.

  12. Sélectionnez l'onglet SSL.

    La description de cert_ssl.png est la suivante
    Description de l'illustration cert_ssl.png

  13. Saisissez l'alias de clé privée et la phrase de passe de clé privée fournis par le programmeur du système MVS.

    Remarque:

    Pour définir l'alias de clé privée, utilisez la commande keytool dans la ligne de commande du système. Par exemple :
    # keytool -list -keystore CLTBI.PKCS12DR.D080411 -storetype PKCS12
    Enter keystore password: (password from the MVS sysadmin)
    Keystore type: PKCS12
    Keystore provider: SunJSSE
    
    Your keystore contains 1 entry
    
    tbiclient, Aug 17, 2011, PrivateKeyEntry,
    Certificate fingerprint (MD5): 9A:F7:D1:13:AE:9E:9C:47:55:83:75:3F:11:0C:BB:46
    
    La description de cert_sslentries.png est la suivante
    Description de l'illustration cert_sslentries.png

  14. Cliquez sur Save.

  15. Dans la section Trusted Certificate Authorities, cliquez sur Advanced.

    La description de cert_advanced.png est la suivante
    Description de l'illustration cert_advanced.png

  16. Remplissez la section Advanced de l'écran SSL comme suit :

    1. Sélectionnez la case Use Server Certs.

    2. Dans le menu Two Way Client Cert Behavior, sélectionnez Client Certs Requested But Not Enforced.

    3. Dans les menus Inbound Certification Validation et Outbound Certificate Validation, sélectionnez Builtin SSL Validation Only.

    La description de cert_advancedentries.png est la suivante
    Description de l'illustration cert_advancedentries.png

  17. Cliquez sur Save.

  18. Dans la section Change Center, cliquez sur Activate Changes.

    La description de wl_activate.png est la suivante
    Description de l'illustration wl_activate.png

  19. Déconnectez-vous de WebLogic.

  20. Arrêtez puis relancez STA avec la commande STA. Pour plus d'informations sur l'utilisation de la commande, reportez-vous au guide Guide d'administration de STA.

    # STA stop all
    # STA start all
    

Remplacement du certificat Oracle

  1. Lancez un navigateur Web pris en charge sur votre ordinateur et saisissez la version HTTPS/SSL de l'URL de l'application STA.

    https://STA_host_name:port_number/STA/
    

    Où :

    • host_name est le nom d'hôte du serveur STA.

    • port_number est le numéro de port STA que vous avez indiqué pendant l'installation. Par défaut, le port HTTP est 7021, et le port HTTPS est 7022.

    • STA doit être saisi en majuscules.

    Par exemple :

    https://staserver.example.com:7022/STA/ 
    
  2. Sélectionnez I Understand the Risks sur l'écran This Connection is Untrusted.

  3. Cliquez sur Add Exception.

  4. Pour définir un certificat pour votre entreprise, cliquez sur Get Certificate à l'écran Add Security Certificate, puis sélectionnez le fichier adéquat.

  5. Cliquez sur Confirm Security Exception.