Ajouter des certificats SSL pour le serveur MID

  • Rversion finale: Yokohama
  • Mis à jour 30 janv. 2025
  • 4 minutes de lecture

    • Configurez le serveur MID pour qu’il se connecte à une source via SSL.

    Avant de commencer

    Rôle requis : admin
    Indicateur de configuration pour la phase de sécuritéAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID ServerAssurez-vous que le MID Server peut se connecter à des éléments à l'intérieur et à l'extérieur de votre réseauTélécharger et installer le MID Server sur un hôte Linux ou WindowsConfigurer votre MID ServerConfigurer la sécurité du MID Server

    Pourquoi et quand exécuter cette tâche

    Vous pouvez ajouter des certificats au serveur MID pour communiquer via SSL/TLS de deux manières : Passez en revue les deux méthodes pour évaluer celle qui répond le mieux à vos besoins.
    Pendant la mise à niveau MID, le magasin de clés de confiance fourni est remplacé. Le Serveur MID tente de migrer les certificats du magasin de clés de confiance existant vers le magasin entrant. Pour être migrés, les certificats doivent répondre aux critères suivants :
    Québec (rétroporté vers Orlando Patch 10 et Paris Patch 4)
    • Certificats X.509 v3
    • Contraintes de base L’extension est évaluée sur faux (ou n’est pas présente)
    Rome (rétroporté vers Paris Patch 7 et Quebec Patch 2)
    • Certificats X.509
    • Tout certificat présent dans la source, mais pas dans le magasin de clés de confiance de destination

    Les certificats qui ne répondent pas aux critères sont écrasés. Vous pouvez également spécifier un fichier TrustStore externe qui n’est pas affecté par les mises à niveau de Serveur MID. Pour plus d'informations, voir Spécifier un magasin de clés de confiance externe pour le Serveur MID

    Dans les familles Rome et ultérieures, la stratégie de migration utilisée lors de la mise à niveau est configurable via le paramètre mid.truststore.migration.strategyde configuration du serveur MID. Il peut prendre les valeurs suivantes :
    • migrate_delta : la stratégie par défaut (décrite ci-dessus pour Rome)
    • migrate_non_ca : une stratégie correspondant à celle décrite ci-dessus pour la famille québécoise
    • do_not_migrate : désactive la migration du TrustStore pendant la mise à niveau, bien qu’une sauvegarde du TrustStore d’origine soit effectuée en cas d’écrasement

    Au cours de ce processus de migration, une copie de sauvegarde des TrustStore d’origine et de mise à niveau est effectuée et stockée dans le répertoire de travail de l’agent : ...\agent\work\truststore_migration\<time epoch seconds>\. Le TrustStore d’origine est renommé en cacerts_before et le TrustStore de mise à niveau est renommé en cacerts_from_upgrade.

    Procédure

    1. Ouvrez une invite de commandes et accédez au dossier contenant le keytool JRE.
      Il s’agit de l’emplacement de l’environnement JRE que vous avez installé. Un exemple de chemin d’accès pourrait être : C :\Program Files\Java\jre1.8.0_161\bin
    2. Importez un certificat dans le magasin de clés cacerts du serveur MID, à l’aide de cette commande :
      keytool -import -alias <alias de certificat> -file « <chemin d’accès au certificat> » -keystore « <chemin d’accès au JR>\lib\security\cacerts »

      Par exemple, vous pouvez entrer : keytool -import -alias MyCA -file « C :\myca.cer » -keystore « C :\Program Files\Java\jre1.8.0_161\lib\security\cacerts »

      Remarque :
      Le keytool vous invite à entrer un mot de passe de certificat. Si le certificat est destiné à une autorité de certification, le keytool demande également de faire confiance à l’autorité de certification. Pour ajouter un certificat à une instance, consultez Charger un certificat sur une instance.
    3. Facultatif : Affichez une liste des certificats actuels en exécutant la commande : keytool.exe -list -keystore « C :\MID Server\agent\jre\lib\security\cacerts »

    Spécifier un magasin de clés de confiance externe pour le Serveur MID

    La machine virtuelle Java de Serveur MID peut utiliser un magasin de clés de confiance externe au répertoire d’installation de MID afin que les certificats ajoutés au magasin de clés de confiance ne soient pas écrasés lors d’une mise à niveau. Il est important que ce fichier TrustStore se trouve en dehors du répertoire d’installation de MID et que l’emplacement de TrustStore puisse être spécifié en ajoutant des paramètres supplémentaires au fichier wrapper-override.conf du Serveur MID.

    Avant de commencer

    Rôle requis : admin

    Procédure

    1. Dans l’hôte du Serveur MID, accédez au fichier wrapper-override.conf .
    2. Spécifiez un TrustStore externe en ajoutant un paramètre personnalisé à la fin du fichier wrapper-override.conf de votre MID.
      Par exemple, sur un MID Windows avec un TrustStore externe trouvé à C :\external_truststore\cacerts, la fin du fichier ressemblerait à :
      # Add additional custom parameters below

wrapper.java.additional.3=-Djavax.net.ssl.trustStore=C:\external_truststore\cacerts

wrapper.java.additional.4=-Djavax.net.ssl.trustStorePassword=<truststore’s password>
      Remarque :
      Si vous avez spécifié d’autres paramètres supplémentaires dans ce fichier, l’identificateur numérique, dans ce cas 3 et 4, peut différer.