Installer des certificats de sécurité

Installez un certificat provenant d'une autorité de certification (AC) pour remplacer le certificat auto-signé par défaut utilisé pour sécurisé la connexion SSL entre AX Serveur et les applications clientes.

Outils et connaissances pré-requises

Cette tâche exige que vous utilisiez l'utilitaire keytool d'Oracle pour gérer les clés et les certificats. Pour plus d'informations sur l'utilitaire keytool d'Oracle, consultez la documentation dur keytool d'Oracle.

Pour exécuter cette tâche correctement, vous devez maîtriser l'utilisation des certificats de sécurité et de la technologie de magasin de clés Java :

Certificat de sécurité document électronique qui permet de prouver la propriété d'une clé publique. Le certificat comprend des informations sur la clé, des informations sur l'identité du propriétaire ainsi que la signature numérique d'une entité qui a vérifié l'exactitude des contenus du certificat. Pour plus d'informations, consultez la section Certificats de sécurité.
Magasin de clés Java un répertoire contenant les certificats de sécurité et les clés privés correspondantes utilisées pour le chiffrement SSL. Pour plus d'informations, voir la section Oracle : création d'un magasin de clés

Sauvegardez la configuration du serveur d'application TomEE avant de commencer

Dans l'Explorateur Windows, ouvrez le sous-répertoire TomCat\conf situé dans le répertoire où vous avez installé le serveur d'application Analytics Exchange dont vous mettez la configuration du magasin de clés à jour.
Copiez les fichiers conf\tomee.xml, conf\server.xml, et conf\system.properties vers un emplacement de sauvegarde sécurisé.
Si vous rencontrez des problèmes lors de la configuration du certificat de sécurité, vous pouvez restaurer la configuration d'origine en arrêtant le service d'Analytics Exchange, en restaurant ces fichiers, puis en relançant le service.

Processus côté serveur

Astuce

Ajoutez le sous-répertoire Java bin à la variable d'environnement PATH de votre système d'exploitation pour pouvoir utiliser la commande keytool sans indiquer le chemin complet. Pour ajouter le sous-répertoire au chemin dans votre session, exécutez Set PATH=<chemin_java_bin>;%PATH%.

Créez un nouveau magasin de clés.

Ouvrez une invite de commande sur le serveur.
Utilisez la syntaxe suivante pour créer le nouveau magasin de clés :
keytool -genkeypair -alias <alias> -keyalg RSA -keystore <nom_fichier_magasin_clés>

Répondez à chacune des questions lorsque vous y êtes invité :

Champ	Exemple
Quel est votre nom et prénom ? Commentaires Vous devez entrer le nom d'hôte de votre instance AX Serveur pour cette question.	axserver.ax.com
Quel est le nom de votre unité organisationnelle ?	Achats
Quel est le nom de votre organisation ?	ExempleSociété
Quel est le nom de votre ville ou localité ?	Cupertino
Quel est le nom de votre état ou de votre région ?	CA
Quel est le code pays à deux lettres de cette unité ?	US
Est-ce que <CN=axserver.ax.com, OU=Purchasing, O=ExampleCompany, L=Cupertino, ST=CA, C=US> est correct ?	y

Appuyez sur Entrée pour utiliser le même mot de passe que le magasin de clés ou indiquez-en un nouveau et appuyez sur Entrée.

Générez une demande de signature de certificat (CSR) dans le nouveau magasin de clés

Remarque

Ignorez cette section si vous utilisez un certificat existant.

Si vous avez acheté votre certificat de sécurité à une AC commerciale, telles que VeriSign, consultez la documentation fournie pour obtenir des informations sur la configuration de votre magasin de clés. Créez un CSR en appliquant la syntaxe suivante :

keytool -certreq -alias <alias> -keyalg RSA -file <fichier_sortie_csr> -keystore <nom_fichier_magasin_clés>

Résultat Vous disposez désormais d'un fichier que vous pouvez utiliser pour demander un certificat auprès d'une autorité de certification.

Importez votre certificat CA dans le magasin de clés

Si votre certificat est dans un format de type PKCS12 qui ne peut pas être importé dans un magasin de clés et que vous ne pouvez pas le convertir au format PEM, contactez les services d'assistance d'ACL pour obtenir de l'aide sur la configuration du certificat dans Tomcat.

En fonction de l'autorité de certification que vous utilisez, vous devrez peut-être importer un certificat intermédiaire ou un certificat racine dans votre magasin de clés. Utilisez la syntaxe suivante pour importer un ou l'ensemble de ces certificats :
keytool -import -alias <alias> -keystore <nom_fichier_magasin_clés> -trustcacerts -file <nom_fichier_certificat>
Si vous importez les deux certificats, l'alias indiqué pour chaque certificat doit être unique. Vous devez d'abord importer le certificat racine, puis relancer la commande keytool pour importer le certificat intermédiaire.
Utilisez la syntaxe suivante pour importer votre certificat de sécurité :
keytool -import -alias <alias> -keystore <nom_fichier_magasin_clés> -trustcacerts -file <nom_fichier_certificat>
L'alias indiqué doit avoir la même valeur que celle indiquée lorsque vous avez généré le magasin de clés. Le certificat importé remplacera le certificat auto-signé par défaut créé dans le magasin de clés.
Copiez le fichier du magasin de clés dans le sous-dossier App\keystores.

Configurer le serveur d'application TomEE à utiliser pour le certificat

Localisez server.xml dans le sous-dossier TomCat\conf et ouvrez-le dans un éditeur de texte.
Mettez à jour les paramètres suivants puis enregistrez et fermez server.xml :
- keystoreFile le nom et chemin d'accès au fichier du magasin de clés que vous avez créé dans le format suivant : C:\ACL\App\keystores\<votre_nom_magasin_clés>
- keystorePass le mot de passe que vous avez indiqué pour le magasin de clés lors de sa création. Le mot de passe doit être entouré de guillemets doubles ('' '').
Localisez system.properties dans le sous-dossier TomCat\conf et ouvrez-le dans un éditeur de texte.
Mettez à jour les paramètres suivants puis enregistrez et fermez system.properties :
- javax.net.ssl.trustStore le nom et le chemin d'accès vers le fichier du magasin de clés que vous avez créé dans le format suivant : C:\ACL\App\keystores\<votre_nom_magasin_clés>
- javax.net.ssl.trustStorePassword le mot de passe que vous avez indiqué pour le magasin de clés lors de sa création
Redémarrez le service Analytics Exchange.

Processus côté client

Importer des certificats dans le fichier Java cacerts de la machine d'AX Client

Vous devez effectuer cette configuration dans chaque ordinateur d'utilisateur final sur lequel AX Client est installé si vous utilisez un certificat sans certificat racine dans le fichier cacerts par défaut.

Ouvrez l'explorateur Windows et naviguez jusqu'au fichier cacerts dans le sous-dossier jre\lib\security où AX Client est installé.
L'emplacement par défaut est C:\Program Files(x86)\ACL Software\ACL Analytics Exchange Client\jre\lib\security
Créez une copie du fichier avant de faire des modifications.
En fonction des certificats reçus par les autorités de certification que vous utilisez, vous aurez peut-être besoin d'importer un certificat intermédiaire ou un certificat racine dans le fichier cacerts. Utilisez la syntaxe suivante pour importer un ou l'ensemble de ces certificats :
keytool -import -alias <alias> -keystore <fichier_cacerts> -trustcacerts -file <nom_fichier_certificat>
Si vous importez les deux certificats, l'alias indiqué pour chaque certificat doit être unique.
Lorsque l'invite Mot de passe s'affiche, saisissez le mot de passe du magasin de clés et appuyez sur Entrée.
Le mot de passe java par défaut pour le fichier cacerts est changeit.
À l'invite Faites-vous confiance à ce certificat, saisissez o et appuyez sur Entrée.

Si nécessaire, installez le certificat dans le navigateur Web de chaque ordinateur ayant accès aux applications Web d'Analytics Exchange.

Remarque

Cela n'est pas nécessaire si le certificat est fourni par une AC figurant dans la liste des autorités de certification racines fiables dans Internet Explorer. Les grandes AC commerciales, comme VeriSign, font partie de cette liste.