Installer des certificats de sécurité pour le serveur AX

Installez un certificat provenant d'une autorité de certification (AC) pour remplacer le certificat auto-signé par défaut utilisé pour sécurisé la connexion SSL entre AX Serveur et les applications clientes.

Outils et connaissances pré-requises

Cette tâche exige que vous utilisiez l'utilitaire keytool d'Oracle pour gérer les clés et les certificats. Pour plus d'informations sur l'utilitaire keytool d'Oracle, consultez la documentation dur keytool d'Oracle.

Pour exécuter cette tâche correctement, vous devez maîtriser l'utilisation des certificats de sécurité et de la technologie de magasin de clés Java :

• Certificat de sécurité document électronique qui permet de prouver la propriété d'une clé publique. Le certificat comprend des informations sur la clé, des informations sur l'identité du propriétaire ainsi que la signature numérique d'une entité qui a vérifié l'exactitude des contenus du certificat. Pour plus d'informations, consultez la section Certificats de sécurité
• Magasin de clés Java un répertoire contenant les certificats de sécurité et les clés privés correspondantes utilisées pour le chiffrement SSL. Pour plus d'informations, voir la section Oracle : création d'un magasin de clés

Sauvegardez la configuration du serveur d'application TomEE avant de commencer

1. Dans l'Explorateur Windows, ouvrez le sous-répertoire TomCat\conf situé dans le répertoire où vous avez installé le serveur d'application Analytics Exchange dont vous mettez la configuration du magasin de clés à jour.
2. Copiez les fichiers conf\tomee.xml, conf\server.xml, et conf\system.properties vers un emplacement de sauvegarde sécurisé.

   Si vous rencontrez des problèmes lors de la configuration du certificat de sécurité, vous pouvez restaurer la configuration d'origine en arrêtant le service d'ACL Analytics Exchange, en restaurant ces fichiers, puis en relançant le service.

Processus côté serveur

keytool -importkeystore -srckeystore yourpfxfile.pfx -srcstoretype pkcs12 -destkeystore cientcert.jks -deststoretype JKS

Créez un nouveau magasin de clés.

1. Ouvrez une invite de commande sur le serveur.
2. Utilisez la syntaxe suivante pour créer le nouveau magasin de clés :

   keytool -genkeypair -alias <alias> -keyalg RSA -keystore <nomfichier_magasinclés>

   Exemple keytool -genkeypair -alias AX_store -keyalg RSA -keystore myAxKeystore

3. Répondez à chacune des questions lorsque vous y êtes invité :

   Champ	Exemple
   Quel est votre nom et prénom ? Remarque Vous devez entrer le nom d'hôte de votre instance AX Serveur pour cette question.	axserver.ax.com
   Quel est le nom de votre unité organisationnelle ?	Achats
   Quel est le nom de votre organisation ?	ExempleSociété
   Quel est le nom de votre ville ou localité ?	Cupertino
   Quel est le nom de votre état ou de votre région ?	CA
   Quel est le code pays à deux lettres de cette unité ?	US
   Est-ce que <CN=axserver.ax.com, OU=Purchasing, O=ExampleCompany, L=Cupertino, ST=CA, C=US> est correct ?	y

   Appuyez sur Entrée pour utiliser le même mot de passe que le magasin de clés ou indiquez-en un nouveau et appuyez sur Entrée.

Générez une demande de signature de certificat (CSR) dans le nouveau magasin de clés

Si vous avez acheté votre certificat de sécurité à une AC commerciale, telles que VeriSign, consultez la documentation fournie pour obtenir des informations sur la configuration de votre magasin de clés. Créez un CSR en appliquant la syntaxe suivante :

keytool -certreq -alias <alias> -keyalg RSA -file <fichier_sortie_csr> -keystore <nom_fichier_magasin_clés>

Résultat Vous disposez désormais d'un fichier que vous pouvez utiliser pour demander un certificat auprès d'une autorité de certification.

Importez votre certificat CA dans le magasin de clés

Si votre certificat est dans un format de type PKCS12 qui ne peut pas être importé dans un magasin de clés et que vous ne pouvez pas le convertir au format PEM, contactez l'Assistance pour obtenir de l'aide sur la configuration du certificat dans Tomcat.

1. En fonction de l'autorité de certification que vous utilisez, vous devrez peut-être importer un certificat intermédiaire ou un certificat racine dans votre magasin de clés. Utilisez la syntaxe suivante pour importer un ou l'ensemble de ces certificats :

   keytool -import -alias <alias> -keystore <nom_fichier_magasin_clés> -trustcacerts -file <nom_fichier_certificat>

   Si vous importez les deux certificats, l'alias indiqué pour chaque certificat doit être unique. Vous devez d'abord importer le certificat racine, puis relancer la commande keytool pour importer le certificat intermédiaire.

2. Utilisez la syntaxe suivante pour importer votre certificat de sécurité :

   keytool -import -alias <alias> -keystore <nom_fichier_magasin_clés> -trustcacerts -file <nom_fichier_certificat>

   L'alias indiqué doit avoir la même valeur que celle indiquée lorsque vous avez généré le magasin de clés. Le certificat importé remplacera le certificat auto-signé par défaut créé dans le magasin de clés.

3. Copiez le fichier du magasin de clés dans le sous-dossier App\keystores.

Configurer le serveur d'application TomEE à utiliser pour le certificat

1. Localisez server.xml dans le sous-dossier TomCat\conf et ouvrez-le dans un éditeur de texte.
2. Mettez à jour les paramètres suivants, puis enregistrez et fermez server.xml :
   • keystoreFile le nom et le chemin d'accès du fichier de magasin de clés que vous avez créé au format suivant : C:\ACL\App\keystores\<votre_nom_magasin_clés>
   • keystorePass le mot de passe que vous avez spécifié pour le magasin de clés à sa création. Le mot de passe doit être entouré de guillemets doubles ('' '').
3. Localisez system.properties dans le sous-dossier TomCat\conf et ouvrez-le dans un éditeur de texte.
4. Mettez à jour les paramètres suivants, puis enregistrez et fermez system.properties :

   • javax.net.ssl.trustStore le nom et le chemin d'accès du fichier de magasin de clés que vous avez créé au format suivant : C:/ACL/App/keystores/<votre_nom_magasin_clés>

     Remarque

     Vous devez utiliser le caractère barre oblique « / » dans le chemin du magasin de clés. Si vous utilisez le caractère barre oblique inverse « \ » comme on le trouve fréquemment dans les environnements Windows, vous rencontrerez des erreurs de serveur à la connexion.

   • javax.net.ssl.trustStorePassword le mot de passe que vous avez spécifié pour le magasin de clés à sa création
5. Redémarrez le service ACL Analytics Exchange.

Processus côté client

Importer des certificats dans le fichier Java cacerts de la machine d'AX Client

Vous devez effectuer cette configuration dans chaque ordinateur d'utilisateur final sur lequel AX Client est installé si vous utilisez un certificat sans certificat racine dans le fichier cacerts par défaut.

1. Ouvrez l'explorateur Windows et naviguez jusqu'au fichier cacerts dans le sous-dossier jre\lib\security où AX Client est installé.

   L'emplacement par défaut est C:\Program Files(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security

2. Créez une copie du fichier avant de faire des modifications.
3. En fonction des certificats reçus par les autorités de certification que vous utilisez, vous aurez peut-être besoin d'importer un certificat intermédiaire ou un certificat racine dans le fichier cacerts. Utilisez la syntaxe suivante pour importer un ou l'ensemble de ces certificats :

   keytool -import -alias <alias> -keystore <fichier_cacerts> -trustcacerts -file <nom_fichier_certificat>

   Si vous importez les deux certificats, l'alias indiqué pour chaque certificat doit être unique.

4. Lorsque l'invite Mot de passe s'affiche, saisissez le mot de passe du magasin de clés et appuyez sur Entrée.

   Le mot de passe Java par défaut pour le fichier cacerts est changeit.

5. À l'invite Faites-vous confiance à ce certificat ?, saisissez o et appuyez sur Entrée.

Si nécessaire, installez le certificat dans le navigateur Web de chaque ordinateur ayant accès aux applications Web d'Analytics Exchange.