Configuration de l'authentification SSL

En tant qu'administrateur système, vous pouvez configurer le directeur Web de façon à envoyer les demandes de connexion vers un moteur Web spécifique à l'aide du protocole SSL. La configuration de l'authentification SSL permet d'améliorer la sécurité de connexion. Pour plus d'informations sur la configuration SSL pour xflow et CA Search Server, reportez-vous au document Activation du protocole Secure Socket Layer (SSL).
casm173
En tant qu'administrateur système, vous pouvez configurer le directeur Web de façon à envoyer les demandes de connexion vers un moteur Web spécifique à l'aide du protocole SSL. La configuration de l'authentification SSL permet d'améliorer la sécurité de connexion. Pour plus d'informations sur la configuration SSL pour l'
Interface xFlow
et CA Search Server, reportez-vous au document Activation du protocole SSL (Secure Socket Layer).
Cet article contient les rubriques suivantes :
Vérifiez les conditions préalables (configuration de SSL).
Vérifiez que les prérequis suivants sont remplis avant de configurer la connexion SSL :
  • CA SDM est installé et configuré sur le serveur sur lequel vous voulez implémenter le protocole SSL.
  • Deux moteurs Web minimum sont configurés et assignés à un directeur Web. Pour plus d'informations sur la procédure de configuration des moteurs Web et des directeurs Web, reportez-vous à la section Procédure de configuration des processus pour les serveurs CA SDM.
Définir la fonctionnalité de moteur Web à l'aide de paramètres de directeur Web
Une fois le moteur Web configuré pour utiliser un directeur Web, il peut gérer les demandes de client Web. Le moteur Web peut traiter les demandes de connexion (en dirigeant les demandes non relatives à la connexion ailleurs) ou les demandes non relatives à la connexion (en dirigeant les demandes de connexion ailleurs) ou les deux (moteur Web à but général). Le paramètre WebDirector figurant dans le fichier -web[#].cfg détermine le mode de traitement des demandes de connexion par le moteur Web.
Le tableau suivant indique la relation entre le rôle de moteur Web et le paramètre de directeur Web :
Fonctionnalité de moteur Web
Définitions des paramètres WebDirector du fichier -web[#].cfg
Servir les demandes de connexion
UseDirector AfterLogin; Disponibilité 0
Servir les activités de non connexion
UseDirector BeforeLogin; Disponibilité [1-10]
Service général
UseDirector Yes; Disponibilité [1-10]
Choisir l'environnement de connexion SSL
Vous pouvez utiliser le directeur Web pour une connexion SSL ciblée dans un environnement Web mixte SSL/non SSL pour rediriger toutes les demandes de connexion Web vers les moteurs Web SSL. Toutes les autres demandes peuvent être redirigées et traitées par les moteurs Web non SSL.
Sélectionnez l'environnement de connexion SSL parmi les environnements suivants :
Environnement non-SSL avec équilibrage de charge de base
Vous pouvez utiliser le directeur Web dans un environnement non SSL avec équilibrage de charge de base. Le directeur Web répartit la charge sur tous les moteurs Web en fonction de la valeur de disponibilité de chaque moteur Web. Chaque moteur Web peut traiter les demandes de connexion et de non-connexion. Le protocole HTTP est utilisé pour les communications entre le client Web et le serveur Web.
Pour chaque moteur Web contrôlé par le directeur Web, définissez les paramètres directeur Web dans le fichier -we
b[#].cfg
du moteu
r
Web comme suit :
  • UseDirector : Yes
  • WebDirectorSlumpName : (ne changez pas cette valeur)
  • WillingnessValue : [de 1 à 10]
  • RedirectingURL : (la valeur de protocole ajoutée en préfixe peut être manquante ou "http")
Environnement SSL global avec équilibrage de charge de base
Vous pouvez utiliser le directeur Web dans un environnement SSL global avec équilibrage de charge de base. Le directeur Web répartit la charge sur tous les moteurs Web en fonction de la valeur de disponibilité de chaque moteur Web. Chaque moteur Web peut traiter les demandes de connexion et de non-connexion. Le protocole HTTPS doit être utilisé pour toutes les communications entre les clients Web et le serveur Web.
Pour chaque moteur Web contrôlé par le directeur Web, définissez les paramètres directeur Web dans le fichier -we
b[#].cfg
du moteu
r
Web comme suit :
  • UseDirector : Yes
  • WebDirectorSlumpName : (ne changez pas cette valeur)
  • WillingnessValue : [de 1 à 10]
  • RedirectingURL : (la valeur de protocole ajoutée doit être "https")
Connexion ciblée dans un environnement SSL avec équilibrage de charge facultatif
Vous pouvez utiliser le directeur Web pour une connexion ciblée dans un environnement non SSL avec équilibrage de charge facultatif. Le moteur Web "Login only" traite uniquement les demandes de connexion. Les autres moteurs Web contrôlés par le directeur Web traitent toutes les autres demandes. Cette configuration fait reposer toute la charge du traitement des demandes de connexion sur les moteurs Web spécifiés "Login only". Le protocole HTTP est utilisé pour les communications entre le client Web et le serveur Web.
Pour les moteurs Web Login only, définissez les paramètres de directeur Web dans le fichier
-web[#].
cfg du
moteur Web comme suit.
  • UseDirector : AfterLogin
  • WebDirectorSlumpName : (ne changez pas cette valeur)
  • WillingnessValue : 0
  • RedirectingURL : (la valeur de protocole ajoutée en préfixe peut être manquante ou "http")
Pour les moteurs Web "non Login", définissez les paramètres de directeur Web dans le fichier
-web[#].
cfg du
moteur Web comme suit.
  • UseDirector : BeforeLogin
  • WebDirectorSlumpName : (ne changez pas cette valeur)
  • WillingnessValue : [de 1 à 10]
  • RedirectingURL : (la valeur de protocole ajoutée en préfixe peut être manquante ou "http")
Connexion SSL ciblée dans un environnement mixte avec équilibrage de charge facultatif
Vous pouvez utiliser le directeur Web pour une connexion SSL ciblée dans un environnement Web mixte SSL/non SSL avec équilibrage de charge facultatif. Chaque demande de connexion Web est redirigée vers les moteurs Web SSL qui la traitent, toutes les autres demandes étant traitées par les moteurs Web non SSL. Le protocole HTTPS doit être utilisé pour toutes les communications entre le client Web et les moteurs Web SSL.
Configuration d'un environnement de connexion SSL
La configuration d'une connexion SSL permet de chiffrer les transactions Web et fournit une sécurité maximale pour les données sensibles, en particulier les mots de passe. Selon votre type de configuration, vous pouvez implémenter un environnement de connexion SSL sur les serveurs CA SDM configurés.
Procédez comme suit :
  1. Connectez-vous au serveur suivant, selon la configuration de CA SDM :
    • Configuration de disponibilité avancée : serveur d'applications
    • Configuration conventionnelle : serveur principal ou secondaire
  2. Vérifiez que le serveur Web a importé un certificat SSL.
  3. Créez une copie (sous-répertoires compris) du répertoire "$NX_ROOT/bopcfg/www/wwwroot", que vous nommez :
    $NX_ROOT/bopcfg/www/wwwrootsec.
  4. Ajoutez un nouveau répertoire virtuel pour le serveur Web nommé CAisdsec.
  5. Faites pointer ce répertoire virtuel vers le répertoire physique suivant :
    $NX_ROOT/bopcfg/www/wwwrootsec.
  6. Vérifiez que les autorisations du répertoire virtuel pour CAisdsec correspondent à celles du répertoire virtuel CAisd pour l'exécution du script. Appliquez le protocole SSL au répertoire virtuel CAisdsec.
    Dans cet exemple, CAisdsec est défini par l'utilisateur et peut être renommé.
  7. Enregistrez les changements.
    Les directeurs Web n'utilisent pas de fichier <nom_hôte>-web[#].cfg. Cependant, les moteurs Web requièrent un fichier -web[#].cfg unique. Les exemples de fichiers web.cfg sont automatiquement générés lors de l'exécution de la configuration. Vous pouvez importer les modifications du fichier web.cfg original aux nouveaux fichiers de configuration Web en spécifiant le fichier web.cfg original comme le fichier de modèle que vous souhaitez utiliser.
  8. Nous vous recommandons de copier et enregistrer les fichiers suivants, car une sauvegarde de ces fichiers est utile lorsque vous décidez de restaurer l'environnement d'origine.
    • $NX_ROOT/pdmconf/pdm_startup.tpl
    • $NX_ROOT/pdmconf/pdm_startup
    • NX_ROOT/bopcfg/www/web.cfg.
    • Tous les fichiers primary-web[#].cfg existants
    • $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml et web.xml.tpl
    • Pour une configuration de serveur secondaire, enregistrez les copies de sauvegarde de tous les fichiers $NX_ROOT/bopcfg/www/web.cfg ou -web[#].cfg existants et le fichier $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF/web.xml*.
  9. Pour chaque moteur Web assigné à un directeur Web, vérifiez que les paramètres de directeur Web du fichier -web[#].cfg du moteur Web sont définis correctement en examinant le fichier dans un éditeur de texte. Si nécessaire, modifiez les valeurs de paramètre webdirector afin de refléter le rôle du moteur Web souhaité. Copiez-les ensuite dans le répertoire suivant : $NX_ROOT/bopcfg/www.
  10. Déplacez tous les fichiers $NX_ROOT/samples/pdmconf/primary-web[#].cfg dans le répertoire $NX_ROOT/bopcfg/www.
    Pour la configuration du serveur secondaire, déplacez tous les fichiers $NX_ROOT/samples/pdmconf/'nom_serveur_secondaire-web[#].cfg' du serveur principal vers le répertoire $NX_ROOT/bopcfg/www du serveur secondaire.
  11. Pour le serveur de servlets (Tomcat, etc.), CA SDM crée des fichiers web.xml qui peuvent remplacer le fichier web.xml sur chaque serveur hébergeant un moteur Web. Ces fichiers sont nommés primary-web.xml. Renommez les fichiers et copiez-les dans le répertoire : répertoire $NX_ROOT/bopcfg/www/CATALINA_BASE/webapps/CAisd/WEB-INF.
    Pour le serveur HTTP (IIS ou Apache), créez des copies du fichier pdmweb.exe se trouvant dans le répertoire $NX_ROOT/bopcfg/www/wwwroot, un fichier pdmweb[#].exe pour chaque moteur Web et un fichier pdmweb_d[#].exe pour chaque directeur Web configuré. Assurez-vous que les fichiers pdmweb[#].exe et pdmweb_d[#].exe sont nommés conformément aux valeurs CGI I/F correctes. Par exemple : pdmweb1.exe, pdmweb2.exe, pdmweb_d1.exe, etc.
  12. Si vous utilisez IIS et souhaitez ajouter des extensions de serveur pour chaque interface CGI, vous pouvez copier le fichier primary-site.dat dans votre répertoire $NX_ROOT/bopcfg/www en tant que fichier site.dat. Une fois le système reconfiguré, ces sites sont ajoutés à IIS.
  13. Reconfigurez le serveur principal sans réinitialiser la base de données et démarrez les services.
  14. Après la reconfiguration, vérifiez que les paramètres actuels sont valides. Démarrez les démons CA SDM. Vérifiez l’absence d’erreur dans les fichiers stdlog. Utilisez pdm_status pour afficher les différents démons et leur état respectif. Utilisez http://localhost:8080/CAisd/pdmweb.exe pour accéder au système.
  15. Pour l'intégration de la gestion des connaissances à CA SDM, si le protocole SSL est appliqué pour CA SDM, la valeur du protocole URL de CA SDM doit être modifiée.
    1. A partir du gestionnaire des paramètres de l'outil de connaissances, sélectionnez Général, Intégration, puis remplacez la valeur http du protocole URL de CA SDM par https.
    2. Enregistrez le paramétrage et fermez le programme.
  16. Ouvrez un navigateur Web à la page de connexion de CA SDM et vérifiez qu'un utilisateur peut se connecter et que le comportement de redirection/connexion attendu est correct.
Implémentation d'un environnement de connexion SSL
Pour implémenter la connexion SSL que vous avez configurée, modifiez les valeurs des paramètres du directeur Web.
Procédez comme suit :
  1. Pour les moteurs Web Secure Login, modifiez le fichier -web[#].cfg comme suit.
    1. Modifiez la valeur de paramètre CAisd de CAisd à CAisdsec.
    2. Remplacez la valeur Yes par AfterLogin pour le paramètre UseDirector si le directeur Web utilise une authentification directe.
    3. Changez la valeur du paramètre Willingness de 5 à 0.
    4. Vérifiez que le protocole de la valeur RedirectingURL s'affiche en tant que https.
    5. Remplacez la valeur <cgi directory> de l'URL de redirection CAisd par CAisdsec.
    6. Enregistrez les changements.
  2. Pour les moteurs Web non sécurisés gérant toutes les autres activités, modifiez les fichiers -web[#].cfg comme suit :
    1. Vérifiez que la valeur du paramètre CAisd est /CAisd.
    2. Modifiez la valeur du paramètre UseDirector de Yes à BeforeLogin.
    3. Maintenez la valeur du paramètre Willingness à 5 ou définissez-la à un nombre entier compris entre 1 et 10, en fonction du poids de chargement particulier souhaité.
    4. Vérifiez que le protocole de la valeur RedirectingURL s'affiche en tant que http.
    5. Vérifiez que la valeur <cgi directory> du paramètre RedirectingURL est CAisd.
    6. Enregistrez les changements.
      Après la configuration, redémarrez le service Centre de services. Une fois que le service redémarre, testez la connexion en accédant au moteur Web non SSL à l'aide d'une connexion HTTP. Vérifiez si vous êtes redirigé automatiquement vers le moteur Web sécurisé via HTTPS pour la connexion. Une fois que vous êtes connecté, vous êtes redirigé automatiquement vers le moteur Web HTTP non SSL pour les activités de centre de services habituelles.
Vérification de l'environnement de connexion SSL
Vous pouvez vérifier l'environnement de connexion SSL pour les moteurs Web.
Procédez comme suit :
  • Les moteurs Web à connexion sécurisée doivent résider dans le répertoire physique mappé sur le répertoire virtuel SSL (CAisdsec dans cet exemple).
    Pour les moteurs Web Secure Login, créez des instances du fichier pdmweb.exe dans le répertoire $NX_ROOT/bopcfg/www/ wwwrootsec avec le nom pdmweb[#].exe. Le nom de l'exécutable doit correspondre à la valeur CGI I/F pour chaque moteur Web à connexion sécurisée.
    Exemple : si la valeur CGI I/F pdmweb2 est assignée au moteur Web à connexion sécurisée, créez une copie physique de pdmweb.exe et renommez-la pdmweb2.exe.
  • Les moteurs Web et directeurs Web non sécurisés doivent résider dans le répertoire physique mappé vers le répertoire virtuel non SSL CAisd.
    Pour les moteurs Web et directeurs Web non sécurisés, créez des instances de pdmweb.exe dans le répertoire $NX_ROOT/bopcfg/www/wwwroot. Une copie de pdmweb.exe doit être présente pour chaque moteur Web et directeur Web non sécurisé configurés. Renommez les copies de sorte que le nouveau nom de l'exécutable corresponde aux valeurs CGI I/F définies pour les moteurs Web et les directeurs Web.
    Exemple : si la valeur CGI I/F pdmweb3 est assignée au moteur Web non sécurisé et la valeur pdmweb_d1 est affectée au directeur Web, créez deux copies de pdmweb.exe. Renommez la première copie en pdmweb3.exe, puis renommez la deuxième copie à pdmweb_d1.exe.
Configuration du protocole SSL pour le serveur Tomcat
Configurez une connexion SSL pour les serveurs Tomcat de votre environnement CA SDM.
Procédez comme suit :
  1. Pour créer un référentiel de clés sur chaque serveur CA SDM qui requiert un certificat SSL, procédez comme suit :
    Un référentiel de clés est un référentiel ou une unité de stockage des certificats, dans lequel les certificats sont importés. Le serveur Tomcat utilise ce référentiel de clés et ses certificats pour établir la communication SSL.
    1. Créez un répertoire certificates sous le lecteur C : (ou le lecteur local que vous voulez).
    2. Utilisez la ligne de commande pour accéder au répertoire bin de l'environnement d'exécution Java (en général, /SC/JRE pour le JRE installé avec CA Service Desk).
    3. Exécutez la commande keytool -genkey -alias tomcat -keyalg RSA -keystore c:/certificates/.keystore.
    4. Remplissez les champs de manière appropriée et assurez-vous de noter ses informations, car vous en aurez besoin ultérieurement.
      Un fichier .keystore est créé dans le répertoire C:\certificates\.
  2. Générez la demande de certificat pour chaque serveur. Effectuez les opérations suivantes pour générer la demande de certificat :
    1. Utilisez la ligne de commande pour accéder au répertoire bin de l'environnement d'exécution Java (en général, /SC/JRE pour le JRE installé avec CA Service Desk).
    2. Exécutez la commande keytool -certreq -alias tomcat -keystore c:/certificates/keystore.jks -file servername-certreq.csr.
      Un fichier .csr est créé dans le répertoire c:/certificates sur chaque serveur sur lequel vous avez généré la demande de certificat.
    3. Envoyez les fichiers .csr au fournisseur de votre choix qui générera les certificats appropriés dont vous avez besoin selon la demande de certificat, pour chaque serveur.
      Le certificat que vous recevez de ces serveurs est différent. Certains fournisseurs peuvent envoyer plusieurs certificats dont notamment, un certificat racine, un certificat intermédiaire et un certificat d'autorité. Chaque fournisseur offre des instructions d'importation différentes dans le référentiel de clés selon les certificats fournis. Vous devez donc demander au fournisseur que vous avez utilisé pour la génération de certificats, des instructions spécifiques sur la procédure à suivre pour importer leurs certificats dans un référentiel de clés Tomcat.
      Une fois que vous avez reçu ces instructions, appliquez-les pour importer les certificats appropriés dans le référentiel de clés sur chaque serveur. Une fois l'opération terminée, vous pouvez configurer Tomcat de manière à pointer vers ce référentiel de clés dans lequel les certificats ont été importés.
  3. Ouvrez le fichier \bopcfg\www\CATALINA_BASE\conf\server.xml à l'aide d'un éditeur de texte et recherchez les éléments suivants :
    <!--<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true">
    <SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>
    </Connector>-->
  4. Modifiez le code de la manière suivante :
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
    maxThreads="150" SSLEnabled="true"
    keystoreFile="C:\certs\keystore.jks" keystorePass="password">
    <!--<SSLHostConfig>
    <Certificate certificateKeystoreFile="conf/localhost-rsa.jks"
    type="RSA" />
    </SSLHostConfig>-->
    </Connector>
    Assurez-vous de supprimer les balises <-- et -->, qui mettent actuellement le connecteur HTTPS/SSL Tomcat en commentaire et de définir le mot de passe et le chemin d'accès correspondant au référentiel de clés que vous avez généré au début.
  5. Enregistrez le fichier server.xml.
  6. Redémarrez Tomcat à l'aide des commandes suivantes :
    pdm_tomcat_nxd - c stop pdm_tomcat_nxd - c start
    Il est recommandé de redémarrer tous les serveurs CA SDM pour s'assurer que Tomcat est redémarré.
  7. Testez la connexion SSL Tomcat : ouvrez un navigateur et accédez à l'URL du centre de services en utilisant le protocole HTTPS et le port Tomcat. Par exemple, utilisez l'URL suivante :
    https://servername:8443/CAisd/pdmweb.exe
    La fenêtre de connexion su centre de services devrait s'ouvrir. Vous disposez d'une connexion SSL sur Tomcat.
Configuration du protocole SSL dans IIS
Pour plus d'informations sur la configuration de l'authentification dans IIS, consultez la documentation de Microsoft.