Pour pouvoir implémenter SSL, un serveur Web doit disposer d'un certificat associé pour chaque interface externe (adresse IP) qui accepte les connexions sécurisées.
Important : Ce document ne fournit pas de détails complets sur la configuration de l'authentification
WebSphere ou SSL,
qui est un sujet complexe. Des informations détaillées relatives aux différentes
options d'authentification et de chiffrement sont présentées dans la documentation produit de WebSphere Application Server.
Pour plus d'informations, reportez-vous à la documentation produit
WebSphere
et recherchez l'expression suivante :
Sécurisation d'applications
et de leur environnement.
Après avoir déployé les applications
Jazz Team Server
sur un serveur d'applications, vous disposez de plusieurs options.
- Acquisition d'un certificat auprès d'une autorité de certification sécurisée connue et installation du certificat.
- Création et installation d'un certificat autosigné.
- Si le chiffrement n'est pas nécessaire, configurez le serveur pour HTTP au lieu d'un accès HTTPS (déconseillé pour les environnements de production).
Jazz Team Server comporte un certificat auto-signé pour
SSL avec le serveur Apache Tomcat.
Important : Le fichier de clés de
Rational Engineering Lifecycle
Manager et celui
de DOORS Web Access doivent avoir le même nom d'hôte pour que les deux produits
puissent communiquer entre eux.
Le serveur Tomcat
Rational Engineering Lifecycle
Manager
et le serveur Tomcat DOORS Web
Access possèdent chacun un certificat SSL. Les certificats se trouvent dans les répertoires définis dans le fichier
server.xml de chaque serveur :
- Rational Engineering Lifecycle
Manager : <chemin installation
RELM>/server/tomcat/conf/server.xml
- DOORS Web Access : <chemin_install_DWA>/server/conf/server.xml
Chacun de ces fichiers contient un paramètre "keystoreFile" qui pointe vers le fichier de clés.
Par défaut,
Rational Engineering Lifecycle
Manager
spécifie le nom d'hôte générique "localhost" alors que
DOORS Web Access indique un vrai nom d'hôte. Vous pouvez résoudre ce problème de différentes manières :
- Générez un nouveau fichier de clés pour
Rational Engineering Lifecycle
Manager,
qui spécifie le vrai nom d'hôte comme hôte et remplacez le fichier de clés par défaut
de Rational Engineering Lifecycle
Manager
par ce nouveau fichier de clés.
- Si vous installez DOORS Web Access avant
Rational Engineering Lifecycle
Manager, modifiez
la configuration de Rational Engineering Lifecycle
Manager
pour qu'il utilise le fichier de clés de DOORS
Web Access en changeant son chemin d'accès dans le fichier server.xml.
Veillez également à modifier le paramètre de mot de passe (keystorePass) pour qu'il corresponde au fichier de clés de DOORS Web Access.
- Si vous installez Rational Engineering Lifecycle
Manager
avant DOORS Web
Access, modifiez la configuration de DOORS Web Access
pour qu'il utilise le fichier de clés de Rational Engineering Lifecycle
Manager. Veillez également à modifier le paramètre de mot de passe (keystorePass) pour qu'il corresponde à celui du
fichier de clés de Rational Engineering Lifecycle
Manager.
Création d'un certificat autosigné
L'environnement IBM® JRE qui est inclus dans Jazz Team Server comprend un outil IBM pratique pour la gestion des clés sur le serveur. Le programme keytool se trouve dans le répertoire rép_install_Jazz/server/jre/bin/.
Il peut vous aider à créer votre propre certificat autosigné identifiant l'hôte par son nom réseau. Vous pouvez également demander un certificat signé par une
autorité de certification. Un certificat autosigné nécessite d'être accepté par le navigateur Web.
Pour plus d'informations sur le programme keytool, voir http://download.oracle.com/javase/6/docs/technotes/tools/windows/keytool.html.
Installation d'un certificat de sécurité
Vous pouvez remplacer le certificat autosigné par un certificat qui appartient à votre société.
Pour Apache Tomcat, dans le fichier rép_install_Jazz/server/tomcat/conf/server.xml, Apache Tomcat est configuré pour lire le certificat serveur dans le fichier rép_install_Jazz/server/tomcat/ibm-team-ssl.keystore.
Le mot de passe du fichier de clés par défaut est défini à ibm-team.
Ce fichier de clés comprend un certificat autosigné identifiant le serveur
en tant que "localhost". Changez le fichier de clés par défaut pour renforcer la sécurité.
Pour plus d'informations sur les certificats de sécurité pour Apache Tomcat, consultez le site Web Tomcat SSL Configuration
Pour plus d'informations sur les certificats de sécurité pour WebSphere Application
Server, lisez les rubriques suivantes :