Ajouter des certificats SSL pour le serveur MID

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Configurez le MID Server pour vous connecter à une source via SSL.

    Avant de commencer

    Rôle requis : admin
    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Pourquoi et quand exécuter cette tâche

    Vous pouvez ajouter des certificats au MID Server pour communiquer via SSL/TLS de l’une des deux façons suivantes : Passez en revue les deux méthodes pour évaluer celle qui répond le mieux à vos besoins.
    Pendant la mise à niveau MID, le TrustStore groupé est remplacé. Le MID Server tente de migrer les certificats du TrustStore existant vers le magasin entrant. Pour être migrés, les certificats doivent répondre aux critères suivants :
    Quebec (rétroporté vers Orlando Patch 10 et Paris Patch 4)
    • Certificats X.509 v3
    • L’extension des contraintes de base est évaluée sur faux (ou n’est pas présente)
    Rome (rétroporté vers Paris Patch 7 et Quebec Patch 2)
    • Certificats X.509
    • Tout certificat présent dans le TrustStore source, mais pas dans le TrustStore de destination

    Les certificats qui ne répondent pas aux critères sont remplacés. Vous pouvez également spécifier un fichier TrustStore externe qui n’est pas affecté par les mises à niveau du MID Server. Pour plus d'informations, voir Spécifier un magasin de confiance externe pour le MID Server

    Dans les familles Rome et ultérieures, la stratégie de migration utilisée pendant la mise à niveau est configurable via le paramètre mid.truststore.migration.strategyde configuration du MID Server . Il peut prendre les valeurs suivantes :
    • migrate_delta : la stratégie par défaut (décrite ci-dessus pour Rome)
    • migrate_non_ca : une stratégie équivalente à celle décrite ci-dessus pour la famille québécoise
    • do_not_migrate : désactive la migration du TrustStore lors de la mise à niveau, bien qu’une sauvegarde du TrustStore d’origine soit effectuée en cas de remplacement

    Au cours de ce processus de migration, une sauvegarde des TrustStores d’origine et de mise à niveau est effectuée et stockée dans le répertoire de travail de l’agent : ...\agent\work\truststore_migration\<time epoch seconds>\. Le TrustStore d’origine est renommé en cacerts_before et le TrustStore de mise à niveau est renommé en cacerts_from_upgrade.

    Procédure

    1. Ouvrez une invite de commande et accédez au dossier contenant l’outil clé JRE.
      Il s’agit de l’emplacement du JRE que vous avez installé. Un exemple de chemin d’accès pourrait être : C :\Program Files\Java\jre1.8.0_161\bin
    2. Importez un certificat dans le magasin de clés cacerts du MID Server à l’aide de cette commande :
      keytool -import -alias &lt;alias de certificat> -file « &lt;chemin d’accès au certificat> » -keystore « &lt;chemin d’accès au JRE>\lib\security\cacerts »

      Par exemple, vous pouvez entrer : keytool -import -alias MyCA -file « C :\myca.cer » -keystore « C :\Program Files\Java\jre1.8.0_161\lib\security\cacerts »

      Remarque :
      L’outil clavier vous demande un mot de passe de certificat. S’il s’agit d’un certificat destiné à une autorité de certification, l’outil clé demande également s’il faut faire confiance à l’autorité de certification. Pour ajouter un certificat à une instance, consultez Charger un certificat sur une instance.
    3. Facultatif : Affichez une liste des certificats actuels en exécutant la commande : keytool.exe -list -keystore « C :\MID Server\agent\jre\lib\security\cacerts »

    Spécifier un magasin de confiance externe pour le MID Server

    La JVM MID Server peut utiliser un magasin de confiance externe au répertoire d’installation MID afin que les certificats ajoutés au magasin de confiance ne soient pas remplacés lors d’une mise à niveau. Il est important que ce fichier TrustStore se trouve en dehors du répertoire d’installation MID et que l’emplacement du magasin de confiance puisse être spécifié en ajoutant des paramètres supplémentaires au fichier wrapper-override.conf du MID Server.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Dans l’hôte du MID Server, accédez au fichier wrapper-override.conf .
    2. Spécifiez un magasin de confiance externe en ajoutant un paramètre personnalisé à la fin du fichier wrapper-override.conf de votre MID.
      Par exemple, sur un MID Windows avec un magasin de clés de confiance externe trouvé à l’emplacement C :\external_truststore\cacerts, la fin du fichier ressemblerait à :
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Remarque :
      Si vous avez spécifié d’autres paramètres supplémentaires dans ce fichier, l’identificateur numérique, dans ce cas 3 et 4, peut différer.