Ajouter des certificats SSL pour le serveur MID

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 4 minutes de lecture

    • Configurez le Serveur MID pour qu’il se connecte à une source via SSL.

    Avant de commencer

    Rôle requis : administrateur
    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Pourquoi et quand exécuter cette tâche

    Vous pouvez ajouter des certificats au serveur MID pour communiquer via SSL/TLS de l’une des deux manières suivantes : Passez en revue les deux méthodes pour évaluer celle qui répond le mieux à vos besoins.
    Pendant la mise à niveau MID, le magasin de confiance groupé est remplacé. Le MID Server tente de migrer les certificats du magasin de clés de confiance existant vers le magasin entrant. Pour être migrés, les certificats doivent répondre aux critères suivants :
    Quebec (rétroporté sur Orlando Patch 10 et Paris Patch 4)
    • Certificats X.509 v3
    • L’extension des contraintes de base est évaluée sur faux (ou n’est pas présente)
    Rome (rétroporté sur Paris Patch 7 et Quebec Patch 2)
    • Certificats X.509
    • Tout certificat présent dans la source, mais pas dans le TrustStore de destination

    Les certificats qui ne répondent pas aux critères sont remplacés. Vous pouvez également spécifier un fichier TrustStore externe qui n’est pas affecté par les mises à niveau de Serveur MID. Pour plus d'informations, voir Spécifier un magasin de clés de confiance externe pour le serveur MID

    Dans les familles Rome et ultérieures, la stratégie de migration utilisée pendant la mise à niveau est configurable via le paramètre mid.truststore.migration.strategyde configuration du serveur MID . Il peut prendre les valeurs suivantes :
    • migrate_delta : la stratégie par défaut (décrite ci-dessus pour Rome)
    • migrate_non_ca : une stratégie conforme à celle décrite ci-dessus pour la famille québécoise
    • do_not_migrate : désactive la migration du TrustStore lors de la mise à niveau, bien qu’une sauvegarde du TrustStore d’origine soit effectuée en cas de remplacement

    Au cours de ce processus de migration, une sauvegarde des TrustStores d’origine et de mise à niveau est effectuée et stockée dans le répertoire de travail de l’agent : ...\agent\work\truststore_migration\<time epoch seconds>\. Le TrustStore d’origine est renommé en cacerts_before et le TrustStore de mise à niveau est renommé en cacerts_from_upgrade.

    Procédure

    1. Ouvrez une invite de commande et accédez au dossier contenant l’outil clavier JRE.
      Il s’agit de l’emplacement de l’environnement JRE que vous avez installé. Un exemple de chemin d’accès pourrait être : C :\Program Files\Java\jre1.8.0_161\bin
    2. Importez un certificat dans le magasin de clés cacerts du MID Server à l’aide de cette commande :
      keytool -import -alias <alias de certificat> -file « <chemin d’accès au certificat> » -keystore « <chemin d’accès au JRE>\lib\security\cacerts »

      Par exemple, vous pouvez entrer : keytool -import -alias MyCA -file « C :\myca.cer » -keystore « C :\Program Files\Java\jre1.8.0_161\lib\security\cacerts »

      Remarque :
      L’outil clavier vous invite à entrer un mot de passe de certificat. Si le certificat est destiné à une autorité de certification, l’outil clé demande également s’il faut faire confiance à l’autorité de certification. Pour ajouter un certificat à une instance, consultez Télécharger un certificat dans une instance.
    3. Facultatif : Affichez la liste des certificats actuels en exécutant la commande : keytool.exe -list -keystore « C :\MID Server\agent\jre\lib\security\cacerts »

    Spécifier un magasin de clés de confiance externe pour le serveur MID

    La machine virtuelle Serveur MID peut utiliser un magasin de clés de confiance externe au répertoire d’installation de MID afin que les certificats ajoutés au magasin de clés de confiance ne soient pas écrasés lors d’une mise à niveau. Il est important que ce fichier TrustStore se trouve en dehors du répertoire d’installation MID, et l’emplacement du Truststore peut être spécifié en ajoutant des paramètres supplémentaires au fichier wrapper-override.conf du MID Server.

    Avant de commencer

    Rôle requis : administrateur

    Procédure

    1. Dans l’hôte du Serveur MID, accédez au fichier wrapper-override.conf .
    2. Spécifiez un TrustStore externe en ajoutant un paramètre personnalisé à la fin du fichier wrapper-override.conf de votre MID.
      Par exemple, sur un MID Windows avec un TrustStore externe trouvé à C :\external_truststore\cacerts, la fin du fichier apparaîtrait comme suit :
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Remarque :
      Si vous avez spécifié d’autres paramètres supplémentaires dans ce fichier, l’identificateur numérique, dans ce cas 3 et 4, peut différer.