Pour pouvoir implémenter SSL, un serveur Web doit disposer d'un certificat associé pour chaque interface externe (adresse IP) qui accepte les connexions sécurisées.
Important : Ce document ne fournit pas de détails complets sur la configuration de l'authentification
WebSphere ou SSL,
qui est un sujet complexe. Des informations détaillées relatives aux différentes options d'authentification et de chiffrement sont présentées dans le centre de documentation de
WebSphere Application Server. Pour plus d'informations, reportez-vous au
centre de documentation WebSphere et recherchez l'expression suivante :
Sécurisation des applications et de leur environnement (Securing applications and their environment).
Après avoir déployé les applications Jazz Team Server sur un serveur d'applications, vous disposez de plusieurs options.
- Acquisition d'un certificat auprès d'une autorité de certification sécurisée connue et installation du certificat.
- Création et installation d'un certificat autosigné.
- Si le chiffrement n'est pas nécessaire, configurez le serveur pour HTTP au lieu d'un accès HTTPS (déconseillé pour les environnements de production).
Jazz Team Server inclut un certificat autosigné pour SSL avec le serveur Apache Tomcat.
Important : Le fichier de clés de Rational Engineering Lifecycle Manager et celui de DOORS Web Access doivent avoir le même nom d'hôte pour que les deux produits puissent communiquer entre eux.
Le serveur Tomcat Rational Engineering
Lifecycle Manager et le serveur Tomcat DOORS Web
Access possèdent chacun un certificat SSL. Les certificats se trouvent dans les répertoires définis dans le fichier
server.xml de chaque serveur :
- Rational Engineering
Lifecycle Manager : <chemin_install_RELM>/server/tomcat/conf/server.xml
- DOORS Web Access : <chemin_install_DWA>/server/conf/server.xml
Chacun de ces fichiers contient un paramètre "keystoreFile" qui pointe vers le fichier de clés.
Par défaut, Rational Engineering Lifecycle Manager définit l'hôte sous la forme "localhost" alors que DOORS Web
Access indiqué un nom d'hôte réel. Vous pouvez résoudre ce problème de différentes manières :
- Générez un nouveau fichier de clés pour Rational Engineering Lifecycle Manager, qui définit le nom d'hôte réel comme hôte et remplacez le fichier de clés par défaut Rational Engineering Lifecycle Manager par ce nouveau fichier de clés.
- Si vous installez DOORS Web Access avant Rational Engineering Lifecycle Manager, modifiez Rational Engineering Lifecycle Manager pour qu'il utilise le fichier de clés de DOORS Web Access en changeant son chemin d'accès dans le fichier server.xml.
Veillez également à modifier le paramètre de mot de passe (keystorePass) pour qu'il corresponde au fichier de clés de DOORS Web Access.
- Si vous installez Rational Engineering
Lifecycle Manager avant DOORS Web
Access, modifiez DOORS Web Access
pour qu'il utilise le fichier de clés de Rational Engineering
Lifecycle Manager. Veillez également à modifier le paramètre de mot de passe (keystorePass) pour qu'il corresponde au fichier de clés de Rational Engineering Lifecycle Manager.
Création d'un certificat autosigné
L'environnement IBM® JRE qui est inclus dans Jazz Team Server comprend un outil IBM pratique pour la gestion des clés sur le serveur. Le programme keytool se trouve dans le répertoire rép_install_Jazz/server/jre/bin/.
Il peut vous aider à créer votre propre certificat autosigné identifiant l'hôte par son nom réseau. Vous pouvez également demander un certificat signé par une
autorité de certification. Un certificat autosigné nécessite d'être accepté par le navigateur Web.
Pour plus d'informations sur le programme keytool, voir http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.
Installation d'un certificat de sécurité
Vous pouvez remplacer le certificat autosigné par un certificat qui appartient à votre société.
Pour Apache Tomcat, dans le fichier rép_install_Jazz/server/tomcat/conf/server.xml, Apache Tomcat est configuré pour lire le certificat serveur dans le fichier rép_install_Jazz/server/tomcat/ibm-team-ssl.keystore.
Le mot de passe du fichier de clés par défaut est défini à ibm-team.
Ce fichier de clés comprend un certificat autosigné identifiant le serveur
en tant que "localhost". Changez le fichier de clés par défaut pour renforcer la sécurité.
Pour plus d'informations sur les certificats de sécurité pour Apache Tomcat, consultez le site Web Tomcat SSL Configuration
Pour plus d'informations sur les certificats de sécurité pour WebSphere Application
Server, lisez les rubriques suivantes :