Configuration de CA Service Catalog pour l'utilisation du protocole SSL (Secure Socket Layer)

Vous pouvez configurer CA Service Catalog pour utiliser le protocole SSL (Secure Socket Layer). Le protocole SSL établit une liaison chiffrée entre un serveur et un client. Par exemple, un serveur Web et un navigateur ; ou un serveur de messagerie et un client de messagerie. Ce lien permet d'assurer que toutes les données transmises entre le serveur et le client demeurent privées et complètes. Lorsque vous configurez un produit pour utiliser le protocole SSL, modifiez sa méthode de communication de HTTP à HTTPS.
casm173
Vous pouvez configurer CA Service Catalog pour utiliser le protocole SSL (Secure Socket Layer). Le protocole SSL établit une liaison chiffrée entre un serveur et un client. Par exemple, un serveur Web et un navigateur ; ou un serveur de messagerie et un client de messagerie. Ce lien permet d'assurer que toutes les données transmises entre le serveur et le client demeurent privées et complètes. Lorsque vous configurez un produit pour utiliser le protocole SSL, modifiez sa méthode de communication de HTTP à HTTPS.
Suivez les procédures suivantes :
2
Créez un fichier de référentiel de clés.
Un fichier de référentiel de clés est requis pour activer le protocole SSL. Créez un fichier de référentiel de clés si vous n'en avez pas déjà un pour un autre produit CA intégré à CA Service Catalog. Vous pouvez utiliser un fichier de référentiel de clés pour un ou plusieurs produits. Si vous devez créer des référentiels de clés spécifiques pour chaque produit, vous pouvez fusionner les fichiers de référentiel de clés.
Procédez comme suit :
  1. Ouvrez une fenêtre de commande sur le serveur du composant de catalogue.
  2. Entrez la commande suivante :
    keytool -genkey -alias alias_name -keyalg RSA -keystore "USM_HOME\.keystore" -keysize 1024
    alias_name
    Spécifie le nom logique du certificat que vous utilisez pour CA Service Catalog et éventuellement pour d'autres produits. Enregistrez ce nom d'alias à des fins de référence.
  3. Entrez le mot de passe à l'invite Mot de passe du référentiel de clés. Pour faciliter la configuration de Tomcat, vous pouvez utiliser le mot de passe changeit.
  4. Enregistrez votre mot de passe à des fins de référence.
  5. Saisissez votre mot de passe lorsque vous y êtes invité.
Exportation du certificat de l'autorité de certification au référentiel de clés
Après la création du fichier de référentiel de clés, vous devez exporter un certificat d'autorité de certification au référentiel de clés. En l'absence d'un certificat d'une autorité de certification dans le référentiel de clés, les certificats auto-signés ne fonctionnent pas. Ce certificat est nécessaire avec Apache Tomcat 8.5.6 et versions ultérieures, car le serveur Tomcat n'accepte pas de référentiel de clés en l'absence de certificat d'une autorité de certification pour des raisons de sécurité.
Procédez comme suit :
  1. Exécutez la commande ci-dessous pour exporter le certificat dans le référentiel de clés.
    keytool -export -alias <alias_name> -storepass <password> -file <filename.cer> -keystore <path_and_file_specification_for_keystore>
    Le certificat d'autorité de certification est exporté dans le référentiel de clés. Les certificats auto-signés fonctionnent correctement maintenant.
Ajout du certificat de l'autorité de certification au référentiel de clés
Après avoir créé le fichier de référentiel de clés, vous devez ajouter un certificat d'autorité de certification au référentiel de clés. En l'absence d'un certificat d'une autorité de certification dans le référentiel de clés, les certificats auto-signés ne fonctionnent pas. Ce certificat est nécessaire avec Apache Tomcat 8.5.6 et versions ultérieures, car le serveur Tomcat n'accepte pas de référentiel de clés en l'absence de certificat d'une autorité de certification pour des raisons de sécurité.
Procédez comme suit :
  1. Téléchargez un certificat d'autorité de certification à l'aide des options de téléchargement de certificat d'un navigateur web.
  2. Exécutez la commande ci-dessous pour importer le certificat dans le fichier
    %USM_HOME%\embedded\jdk\lib\security\cacerts
    .
    keytool - import - alias <alias_name> - file <certfile> - keystore %USM_HOME%\embedded\jdk\lib\security\cacerts
    Le certificat d'autorité de certification est importé dans le fichier cacerts. Les certificats auto-signés fonctionnent correctement maintenant.
Configuration de CA Service Catalog pour utiliser le protocole SSL
Configurez CA Service Catalog pour utiliser le protocole SSL (Secure Socket Layer).
Procédez comme suit :
  1. Modifiez le fichier server.xml pour prendre en charge le protocole SSL.
    Le fichier est mis à jour pour prendre en charge le protocole SSL pour CA Service Catalog.
  2. Ouvrez le fichier USM_HOME\view\conf\viewService.conf dans un éditeur de texte.
  3. Mettre à jour la ligne suivante avec le nom du chemin d'accès et le nom du fichier de référentiel de clés :
    wrapper.java.additional.10=-Djavax.net.ssl.trustStore="USM_HOME\.cacert"
  4. Mettre à jour la ligne suivante avec le mot de passe du fichier de référentiel de clés :
    wrapper.java.additional.11=-Djavax.net.ssl.trustPass=changeit
  5. Enregistrez et fermez le fichier viewService.conf.
  6. Sélectionnez Administration, Configuration, Informations sur le serveur dans l'interface utilisateur graphique de CA Service Catalog.
  7. Remplissez les champs de cette section comme suit :
    Pour Nom d'hôte, spécifiez le nom de l'hôte sur lequel CA Service Catalog est installé.
    Pour Numéro de port, spécifiez le port sur lequel le protocole HTTPS est configuré.
    Pour activer le protocole HTTPS, spécifiez Oui. Redémarrez CA Service Catalog.
  8. Connectez-vous à CA Service Catalog à l'aide de l'URL suivante :
    https://hostname:port/usm/wpf
  9. Une invite de certificat approuvé s'affiche et indique que vous utilisez le protocole HTTPS.
  10. Vous pouvez également désactiver l'accès HTTP en incluant des commentaires dans la section du connecteur HTTP, comme illustré dans l'exemple suivant :
<!-- <Connector port="8080" enableLookups="false" redirectPort="8443" tomcatAuthentication="false" maxThreads="400" minSpareThreads="25" maxSpareThreads="100" debug="0" connectionTimeout="15000" disableUploadTimeout="true" compression="on" compressionMinSize="2048" compressableMimeType="text/html,text/plain,text/xml,text/css,text/javascript,image/png,image/gif,image/jpeg,application/json" useBodyEncodingForURI="false" URIEncoding="UTF-8" /> -->
Vous venez de configurer CA Service Catalog pour utiliser le protocole SSL.
Modification du fichier Server.xml pour la prise en charge du protocole SSL
Dans le cadre de la configuration de CA Service Catalog pour utiliser le protocole SSL (Secure Socket Layer), modifiez le fichier server.xml de sorte à prendre en charge SSL.
Procédez comme suit :
  1. Ouvrez le fichier USM_HOME\view\conf\server.xml.
  2. Recherchez la section suivante. Activez la section commentée en supprimant les caractères "<!--" et "-->" de la première et la dernière ligne, comme illustré dans l'exemple suivant :
    <!-- <Connector port="8443" enableLookups="false" tomcatAuthentication="false" maxHttpHeaderSize="8192" maxThreads="400" minSpareThreads="25" maxSpareThreads="100" debug="0" connectionTimeout="15000" disableUploadTimeout="true" compression="on" compressionMinSize="2048" compressableMimeType="text/html,text/plain,text/xml,text/css,text/javascript,image/png,image/gif,image/jpeg,application/json" scheme="https" secure="true" clientAuth="false" sslProtocol="TLS" SSLEnabled="true" keystoreFile="__USMHOME__\.keystore" keyAlias="alias_name" keystorePass="changeit"/> -->
    • nom d'alias
      Spécifie le nom logique du certificat que vous utilisez pour CA Service Catalog et éventuellement pour d'autres produits.
  3. Remplacez le port par défaut (8444) par un autre port SSL, si nécessaire.
  4. Vérifiez si l'une ou les deux conditions suivantes sont réunies :
    • Vous utilisez un référentiel de clés existant.
    • Vous avez modifié le chemin d'installation de CA Service Catalog ou le nom du référentiel de clés généré.
  5. Si l'une des conditions ou les deux de l'étape précédente sont réunies, effectuez les actions suivantes :
    • Mettez à jour le paramètre keystoreFile avec le nom de fichier et le chemin correct, généralement USM_HOME\.keystore.
    • Mettez à jour le paramètre keyAlias avec le
      nom_alias
      que vous avez spécifié lorsque vous avez créé un fichier de référentiel de clés pour CA Service Catalog.
  6. Enregistrez et fermez le fichier server.xml.
Vous venez de modifier le fichier server.xml. Vous pouvez poursuivre la configuration de CA Service Catalog pour utiliser le protocole SSL.
(Facultatif) Ajout de certificats auto-signés au référentiel de clés
Lorsque vous utilisez des certificats auto-signés pour un ordinateur qui se connecte directement à CA Service Catalog ou inversement, ajoutez ces certificats au référentiel de clés. Par exemple, supposons que vous utilisez la mise en cluster avec équilibrage de charge pour CA Service Catalog. Dans ce cas, si vous utilisez un certificat auto-signé pour l'ordinateur de l'équilibrage de charge, ajoutez-le au référentiel de clés.
Si vous utilisez des certificats approuvés pour ces ordinateurs, il n'est pas nécessaire de les ajouter au référentiel de clés.
Procédez comme suit :
  1. Vérifiez l'ordinateur à approuver, c'est-à-dire, l'ordinateur qui dispose d'une connexion directe avec CA Service Catalog.
    Par exemple, supposons que vous intégrez CA Service Catalog à CA Service Desk Manager via un ordinateur d'équilibrage. Dans ce cas, CA Service Catalog se connecte directement à l'équilibreur de charge (non CA Service Desk Manager). Par conséquent, l'ordinateur à approuver est l'équilibreur de charge (non l'ordinateur CA Service Desk Manager).
  2. Accédez à un ordinateur de composant de catalogue. Téléchargez le fichier binaire X.509 codé DER (le certificat) pour l'ordinateur à approuver.
    Par exemple, utilisez votre navigateur Web pour accéder à l'ordinateur et obtenir le certificat.
  3. Ouvrez l'invite de commande CA Service Catalog et saisissez la commande suivante :
    keytool -importcert -alias aliasname -file pathname-to-certificate -keystore USM_HOME\.keystore
    • alias_name
      Spécifie le nom logique du certificat que vous utilisez pour CA Service Catalog et éventuellement pour d'autres produits.
    • Nom du chemin d'accès au certificat
      Spécifie le nom du chemin d'accès complet au fichier de certificat téléchargé à l'étape précédente.
    Vous êtes invité à saisir un mot de passe.
  4. Effectuez l'une des opérations suivantes :
    • Saisissez le mot de passe du référentiel de clés changeit.
    • Saisissez un mot de passe du référentiel de clés différent.
    Le mot de passe est enregistré.
  5. Effectuez cette étape si vous avez saisi un mot de passe différent de changeit à l'étape précédente. Sinon, ignorez cette étape.
    1. Ouvrez le fichier viewservice.conf pour l'éditer.
    2. Recherchez la ligne qui contient la phrase suivante :
    -Djavax.net.ssl.trustPass=keystore-password
    1. Mettez à jour le mot de passe du référentiel de clés de sorte à ce qu'il corresponde au nouveau mot de passe spécifié à l'étape précédente.
    Le fichier viewService.conf est mis à jour avec le nouveau mot de passe.
  6. Restez sur l'ordinateur de composant de catalogue. Répétez les étapes précédentes pour chaque ordinateur à approuver contenant des certificats auto-signés.
    Le fichier de référentiel de clés est mis à jour avec les nouveaux certificats auto-signés à partir de chaque ordinateur à approuver concerné.
  7. Effectuez les actions suivantes sur chaque autre ordinateur du composant de catalogue :
    1. Mettez à jour le fichier viewService.conf pour utiliser un mot de passe différent de
      changeit
      , le cas échéant.
    2. Copiez le fichier de référentiel de clés mis à jour à partir de cet ordinateur de composant de catalogue sur tous les autres ordinateurs du composant de catalogue.
Vous venez d'ajouter des certificats auto-signés au référentiel de clés.
(Facultatif) Fusion de fichiers de référentiel de clés
Un fichier de référentiel de clés est requis pour activer le protocole SSL. Si vous utilisez le protocole SSL pour deux ou plusieurs produits et que vous disposez de deux ou plusieurs fichiers de référentiel de clés, utilisez un seul référentiel de clés pour tous les produits intégrés. Toutefois, si vous disposez de plusieurs référentiels pour différents produits et que vous ne pouvez pas utiliser un seul référentiel de clés pour tous, vous pouvez fusionner le contenu de chaque fichier de référentiel de clés.
Procédez comme suit :
  1. Copiez tous les fichiers du référentiel de clés dans le dossier USM_HOME. Par exemple, les fichiers du référentiel de clés pour CA Process Automation, CA CMDB ou d'autres produits intégrés à CA Service Catalog.
  2. Recherchez et enregistrez tous les fichiers, les alias et les mots de passe de référentiel de clés requis pour les produits qui vous intéressent. Par exemple, dans le cas de CA Process Automation, vous pouvez récupérer le mot de passe c2okeystore à partir de la propriété KEYSTOREID du fichier OasisConfig.properties.
  3. Redémarrez le composant du catalogue.
  4. Entrez la commande keytool pour fusionner le référentiel de clés du premier produit, à l'aide de la commande suivante comme modèle :
    keytool -importkeystore -srckeystore "product1_keystore" -destkeystore "USM_HOME\.keystore" -srcalias product1_alias -destalias alias_name-srckeypass "product1_password" -destkeypass "changeit"
    • product1
      _
      keystore
      Spécifie le nom du fichier de référentiel de clés (y compris le nom du chemin d'accès complet) pour le produit que vous fusionnez.
    • product1_alias
      Spécifie l'alias du référentiel de clés pour le produit que vous fusionnez.
    • product1_password
      Spécifie le mot de passe pour le fichier du référentiel que vous souhaitez fusionner.
    • alias_name
      Spécifie le
      nom_alias
      que vous avez spécifié lors de la création d'un fichier de référentiel de clés pour CA Service Catalog.
    La commande suivante fusionne le contenu du référentiel de clés CA Process Automation (c2okeystore) dans le référentiel de clés CA Service Catalog :
    keytool -importkeystore -srckeystore "%ITPAM_HOME%\server\c2o\.config\c2okeystore" -destkeystore "USM_HOME\.keystore" -srcalias c2o-j -destalias tomcat -srckeypass "475ba811-62cd-4ec8-b757-cd7710de3fa8" -destkeypass "changeit"
    La commande suivante fusionne le contenu du référentiel de clés CA CMDB (.cmdb_keystore) dans le référentiel de clés CA Service Catalog :
    keytool -importkeystore -srckeystore ".cmbd_keystore" -destkeystore "USM_HOME\.keystore" -srcalias cmdb -destalias tomcat -srckeypass "changeit" -destkeypass "changeit"
  5. Répondez Non à l'invite d'écrasement de l'alias source.
  6. Répétez les deux étapes précédentes pour tous les produits pour lesquels vous souhaitez fusionner les référentiels.
  7. Vérifiez que tous les certificats de votre choix sont disponibles dans un seul référentiel de clés, à l'aide de la commande suivante :
    keytool -list -keystore "USM_HOME\.keystore"
    Cette commande répertorie le contenu du référentiel de clés fusionné.
Vous venez de fusionner les fichiers du référentiel de clés.
(Facultatif) Configuration de CA Process Automation pour communiquer avec CA Service Catalog à l'aide du protocole SSL
Configurez CA Process Automation pour communiquer avec CA Service Catalog à l'aide du protocole SSL.
Procédez comme suit :
  1. Dans l'interface utilisateur graphique de CA Service Catalog, sélectionnez Administration, Configuration, CA Process Automation.
  2. Remplissez les champs de cette section comme suit :
    Pour Nom d'hôte, spécifiez le nom de l'hôte sur lequel CA Process Automation est installé.
    Pour numéro de port, spécifiez le port de CA Process Automation sur lequel le protocole HTTPS est configuré.
    Pour activer le protocole HTTPS, spécifiez Oui.
  3. Redémarrez le composant de catalogue.
  4. Cliquez sur Tester.
    La connexion est testée avec les nouvelles valeurs que vous venez de spécifier.
    En cas d'échec de connexion, essayez d'utiliser une valeur différente.
  5. Cliquez sur Configurer.
    Les détails de configuration de CA Process Automation sont mis à jour avec les nouvelles valeurs spécifiées.
  6. Effectuez l'étape suivante si vous utilisez des packs de contenu. Sinon, vous pouvez ignorer cette étape.
    Modifiez le fichier USM_HOME\build.xml et vérifiez que les paramètres suivants sont corrects. Mettez-les à jour, le cas échéant.
    • Nom du fichier et nom du chemin d'accès au référentiel de clés
      Par exemple, si le référentiel de clés se trouve dans USM_HOME et que le fichier de référentiel de clés est nommé mykeystore, mettez à jour cette ligne comme suit :
      <sysproperty key="javax.net.ssl.trustStore" value="${env.USM_HOME}/.mykeystore" />
    • Mot de passe du référentiel de clés
      Par exemple, si le mot de passe est mykeystorepw, mettez à jour cette ligne comme suit :
      <sysproperty key="javax.net.ssl.trustPass" value="mykeystorepw" />
Vous venez de configurer CA Process Automation pour communiquer avec CA Service Catalog à l'aide du protocole SSL. Pour plus d'informations, consultez la documentation de CA Process Automation.
(Facultatif) Configuration de CA Business Intelligence pour communiquer avec CA Service Catalog à l'aide du protocole SSL
Dans le cadre de la configuration de CA Service Catalog pour utiliser le protocole SSL (Secure Socket Layer), configurez BusinessObjects Enterprise pour communiquer avec CA Service Catalog à l'aide du protocole SSL.
Procédez comme suit :
  1. Dans l'interface utilisateur graphique de CA Service Catalog, sélectionnez Administration, Configuration, CA Business Intelligence.
  2. Remplissez les champs de cette section comme suit :
    Nom d'hôte : indiquez le nom de l'ordinateur sur lequel le composant Zone de lancement BI de CA Business Intelligence est hébergé.
    Numéro de port : spécifiez le numéro du port sur lequel CA Business Intelligence est en cours d'exécution.
    Pour activer le protocole HTTPS, spécifiez Oui.
  3. Redémarrez le composant de catalogue.
  4. Cliquez sur Lancer.
  5. La connexion est testée avec les nouvelles valeurs que vous venez de spécifier. En cas d'échec de connexion, essayez d'utiliser une valeur différente.
    Les détails de configuration de BusinessObjects Enterprise sont mis à jour avec les valeurs spécifiées.
Pour plus d'informations, consultez la documentation de CA Business Intelligence.