▼
Scroll to page 2
of
79
Control-M Workload Automation 9.0.00 Guide de SSL Juillet 2015 Contacter BMC Software VouS pouvez accéder au site Web de BMC Software à l'adresse http://www.bmc.com. Sur ce site Web, vous pouvez obtenir des informations sur la société, ses produits, bureaux administratifs, événements spéciaux et possibilités de carrière. États-Unis et Canada Adresse BMC SOFTWARE INC Téléphone 2101 CITYWEST BLVD 713 918 8800 800 841 2031 Fax 713 918 8000 HOUSTON TX 77042-2827 É-U En dehors des États-Unis et du Canada Téléphone (01) 713 918 8800 Fax (01) 713 918 8000 © Copyright 1999-2015 BMC Software, Inc. BMC, BMC Software et le logo de BMC Software sont les propriétés exclusives de BMC Software, Inc. Ces marques sont déposées auprès de l'U.S. Patent and Trademark Office (Office américain des brevets), et peuvent être déposées ou en attente de l'être dans les autres pays. Les autres marques de commerce, marques de service et logos BMC peuvent être déposés ou en attente de l'être aux États-Unis ou dans d'autres pays. Toutes les autres marques de commerce ou marques déposées sont la propriété de leurs détenteurs respectifs. IT Infrastructure Library® est une marque déposée de l'Office of Government Commerce (OGC) et est utilisée dans le présent document par la société BMC Software, Inc., sous licence et avec l'aimable autorisation de l'OGC. ITIL® est une marque déposée et une marque de communauté déposée de l'Office of Government Commerce. Elle a été déposée auprès de l'U.S. Patent and Trademark Office et est utilisée dans le présent document par la société BMC Software, Inc., sous licence et avec l'aimable autorisation de l'OGC. IBM® Tivoli® Business Service Manager, IBM Tivoli Workload Scheduler, IBM Cognos, IBM InfoSphere DataStage, IBM iSeries, IBM Websphere et AIX® sont les marques ou les marques déposées de International Business Machines Corporation aux États-Unis, dans d'autres pays, ou les deux. UNIX® est la marque déposée de The Open Group aux États-Unis et dans d'autres pays. Linux est la marque déposée de Linus Torvalds. Oracle et Java sont des marques déposées d'Oracle et/ou de ses sociétés affilées. Les autres marques peuvent être des marques de leurs détenteurs respectifs. SAP® R/2 and SAP R/3, SAP Business Objects et SAP NetWeaver sont des marques ou des marques déposées de SAP AG en Allemagne et dans plusieurs autres pays. BMC Software considère les informations contenues dans cette documentation comme propriétaires et confidentielles. L'utilisation de ces informations est régie par les conditions d'utilisation de l'accord de licence de l'utilisateur final s'appliquant au produit, ainsi que par les avis relatifs à la propriété et aux restrictions de droits inclus dans cette documentation. 2 Légende des droits restreints Droits restreints du Gouvernement des États-Unis sur le logiciel NON PUBLICATION – DROITS RÉSERVÉS EN VERTU DE LA LÉGISLATION DES ÉTATS-UNIS SUR LE COPYRIGHT. L'utilisation, la duplication ou la divulgation de toute donnée ou de tout logiciel par le Gouvernement des États-Unis est soumise aux restrictions énoncées dans les clauses FAR Section 52.227-14, DFARS 252.227-7013, DFARS 252.227-7014, DFARS 252.227-7015 et DFARS 252.227-7025, celles-ci pouvant faire l'objet de modifications ponctuelles. BMC SOFTWARE INC, 2101 CITYWEST BLVD, HOUSTON TX 77042-2827, USA est le fournisseur/fabricant du produit. Tout avis relatif à un contrat doit être envoyé à cette adresse. Service client Vous pouvez obtenir le support technique en utilisant le site web Service client de BMC Software ou en contactant le service client par téléphone ou par courrier électronique. Pour envoyer votre requête, voir « Avant de contacter BMC ». Site Web de l'assistance Vous pouvez accéder à l'assistance technique de BMC 24 heures sur 24 et 7 jours sur 7 à l'adresse http://www.bmc.com/support. Sur ce site Web, vous pouvez effectuer les opérations suivantes : Lire les aperçus sur les services d'assistance et les programmes proposés par BMC Trouver les informations les plus récentes sur les produits BMC Rechercher dans une base de données des problèmes semblables aux vôtres et les solutions possibles Commander ou télécharger la documentation du produit Télécharger des produits et les informations de maintenance Signaler un problème ou poser une question S'abonner pour recevoir des alertes proactives par courrier électronique lorsque de nouvelles notifications de produits sont publiées Trouver dans le monde entier les emplacements de services d'assistance BMC et leurs coordonnées, dont les adresses électroniques, les numéros de fax et les numéros de téléphone Assistance par téléphone ou par courriel Aux États-Unis et au Canada, si vous devez contacter l'assistance technique et que vous n'avez pas accès à Internet, appelez le 800 537 1813 ou envoyez un courrier électronique à [email protected]. (Dans la ligne d'objet, entrez SupID:<yourSupportContractID>, par exemple SupID : 12345). En dehors des États-Unis et du Canada, contactez votre centre d'assistance local pour obtenir de l'aide. Avant de contacter BMC Préparez les informations suivantes pour que le Service client traite immédiatement votre problème : Informations sur le produit • Nom du produit • Version du produit (numéro de publication) • Numéro de licence et mot de passe (d'évaluation ou permanente) Informations relatives au système d'exploitation et à l'environnement • Type d'ordinateur 3 • Type de système d'exploitation, version et service pack ou autre niveau de maintenance tel que PUT ou PTF • Configuration matérielle du système • Numéros de série • Logiciels associés (base de données, application et communication) dont le type, la version et le service pack ou le niveau de maintenance Séquence des événements conduisant au problème Commandes et options utilisées Messages reçus (ainsi que l'heure et la date de leur réception) • Messages d'erreur relatifs au produit • Messages provenant du système d'exploitation, par exemple file system full • Messages provenant des logiciels associés Informations relatives à la clé de licence et au mot de passe Si vous avez des questions sur la clé de licence ou le mot de passe, contactez BMC comme suit : (É-U ou Canada) Contactez Order Services Password Team au 800 841 2031, ou envoyez un message à [email protected]. (Europe, Moyen-Orient et Afrique), envoyez par fax vos questions à Administration des contrats EMEA au +31 20 354 8702, ou envoyez un message électronique à [email protected]. (Asie-Pacifique) Contactez votre représentant commercial de BMC ou votre bureau local de BMC. Logiciels de tiers Pour les dispositions décrites dans BMC License Agreement and Order relatif aux produits ou technologies de tiers inclus dans BMC Product, voir https://docs.bmc.com/docs/display/workloadautomation/Control-M+Workload+Automation+Documentati on et cliquez sur Third-party software (TPS) (Logiciels de tiers). 4 Table des matières Introduction à SSL .......................................................................................................... 7 Préparation et flux de travaux suggéré ............................................................................. 8 Génération de certificats ................................................................................................. 8 Génération de nouveaux certificats ..................................................................................................9 Application de votre propre certificat ............................................................................................. 10 Exemples d'utilisation de scripts lors de l'importation de certificats et de clés ................................... 11 Déploiement de SSL sur les composants BMC ................................................................. 13 Copies de certificats pour Control-M for z/OS .................................................................. 14 SSL sur BMC et autres composants ................................................................................ 15 Activation de SSL entre Control-M/EM et Control-M/Server .............................................................. 16 Activation de SSL entre Control-M/EM et Control-M/Server .............................................................. 16 Activation de SSL sur Control-M/Server .......................................................................................... 17 Activation de SSL sur Control-M/Agents ......................................................................................... 18 Activation de SSL entre Control-M/Server et le client Control-M ....................................................... 18 Activation de SSL entre Control-M/Server et le client Control-M ....................................................... 20 Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) ....................... 21 Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) ....................... 22 Configuration de la communication sécurisée entre Web Server et GUI Server ................................. 23 Paramètres SSL de JacORB ........................................................................................................... 24 Configuration de la communication sécurisée entre l'application Web et Web Server ........................ 25 Importation de vos propres certificats dans le keystore Apache Tomcat Web Server par défaut ........ 26 Configuration de NamingViewer (navigateur de Naming Service) ..................................................... 26 Configuration de l'app Web de BMC Batch Impact Manager ............................................................ 27 Configuration de la communication avec des serveurs LDAP ou Active Directory utilisant SSL. ........... 30 Configuration de la communication sécurisée entre l'application Web et Web Server ........................ 32 Paramètres et configurations avancés ............................................................................ 33 Paramètres de communication SSL ................................................................................................ 33 Configuration de Control-M/Agent pour utiliser SSL ........................................................................ 35 Modification d'un mode de connexion serveur-agent pour un agent existant .................................... 36 5 Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M gérées) ........................................................................................................................ 37 Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M non gérées) .................................................................................................................. 37 Stockage des certificats pour TAO ................................................................................................. 38 Messages d'erreur SSL communs ................................................................................................... 40 Configuration de NamingViewer (navigateur de Naming Service) ..................................................... 42 Configuration de l'API Control-M/EM JacORB .................................................................................. 43 Création d'une base de données de clés SSL .................................................................................. 45 Configuration d'un certificat signé pour une base de données de clés non Java (KDB) ...................... 48 Configuration d'un certificat signé pour un keystore Java ................................................................ 56 Maintenance des certificats ........................................................................................................... 57 Configuration des règles de sécurité .............................................................................................. 65 6 1 1 Introduction à SSL Control-M Workload Automation fonctionne avec les protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS), garantissant ainsi une communication sécurisée entre les différents composants de Control-M. SSL for Control-M authentifie et sécurise les communications entre : Control-M/Server et Control-M/Agent Control-M/Server et les Control-M/Enterprise Manager (Control-M/EM) Servers Control-M/EM Server et ses clients En outre, et en fonction de votre configuration, vous pouvez activer la sécurité des composants suivants : Apps Web Control-M Self Service et Control-M Workload Change Manager (WCM) Control-M Workload Archiving Server Control-M NamingViewer BMC Batch Impact Manager et ses clients Control-M/EM Web Server Control-M/EM et le serveur LDAP (Lightweight Directory Access Protocol) 7 Control-M Workload Automation Guide de SSL Préparation et flux de travaux suggéré La méthode de configuration de la sécurité de votre environnement Control-M dépend largement de votre configuration et vos exigences de sécurité. Le schéma suivant décrit un flux de travaux standard : Génération de certificats Control-M est fourni avec un certificat démo pré-installé que vous pouvez utiliser pour tester vos composants Control-M dans un environnement SSL. BMC recommande de remplacer les certificats existants en utilisant une des méthodes suivantes : 8 Control-M Workload Automation Guide de SSL Générer de nouveaux certificats à l'aide de Control-M Configuration Manager (à la page 9) : Utilisez cette méthode lorsque vous utilisez la CA du site fournie par BMC (varie selon le client). La CA du site est stockée dans la machine Control-M/EM Server, et est utilisée pour signer les certificats des composants Control-M. Pour utiliser vos propres certificats (à la page 10) (signés par une CA certifiée différente), vous devez pouvoir fournir les certificats, leur clé privée et la CA approuvée. REMARQUE : Pour garantir une connexion sécurisée entre les deux composants, vérifiez qu'ils sont tous deux signés par la même CA. Génération de nouveaux certificats Cette procédure décrit comment générer de nouveaux certificats et remplacer les certificats pré-installés, qui inclut la mise à jour des jours d'expiration et la génération des certificats. REMARQUE : Si vous avez une version antérieure à V8 de Control-M/Agents, vous ne pouvez utiliser que des certificats contenant 1 024 bits. Pour ce faire, vous devez définir le paramètre système par défaut ManageSSL_CertKeyLengthBits dans CCM pour qu'il créé des certificats 1 024 bits au lieu des certificats 2 048 bits par défaut. Pour générer des certificats : 1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système > Paramètres système CONTROL-M/EM. 2. Dans la fenêtre Paramètres système CONTROL-M/EM, cliquez sur Avancé, et dans le champ Nom, tapez Gérer SSL pour filtrer les paramètres. 3. Double-cliquez sur un ou plusieurs des éléments suivants : • ManageSSL_CACertExpirDays : définit la durée d'expiration du certificat CA SSL en jours. Valeur par défaut : 7300 • ManageSSL_CertExpirDays : définit la durée d'expiration du certificat SSL en jours. Valeur par défaut : 7300 • ManageSSL_CertKeyLengthBits : définit la longueur de la clé du certificat SSL. Valeur par défaut : 1024 • Dans le champ Valeur, tapez la valeur et cliquez sur Enregistrer, puis sur Fermer. 4. Sélectionnez le composant dans le volet de gauche, puis dans la liste déroulante Outils , sélectionnez Sécurité > Gérer SSL > Générer les certificats du composant... 5. Pour utiliser le certificat démo fourni par BMC tel quel, sélectionnez Utiliser l'autorité de certificat du site suivant, et procédez comme suit : a. Les champs de paramètre du premier écran sont renseignés par des valeurs fournies par BMC. Cliquez sur Suivant. 9 Control-M Workload Automation Guide de SSL b. Sélectionnez l'une des options suivantes : a. Tous les composants de Control-M pour générer les certificats de tous les composants b. Par type de composant, puis sélectionnez les composants dans la liste déroulante. Vous pouvez également saisir un ID instance de composant unique (e-mail). Vous pouvez faire ceci pour tous les composants de ce type, ou pour chaque instance de ce composant. Notez que cette option n'est pas disponible pour le composant Control-M/EM. REMARQUE : Pour Control-M for z/OS uniquement, vous pouvez saisir un Mot de passe de keystore, qui doit être composé de huit caractères. c. Acceptez l'emplacement par défaut pour enregistrer les certificats générés, ou entrez un nouveau chemin d'accès. d. Cliquez sur Suivant pour générer les certificats, puis sur Soumettre une fois le processus de génération terminé. 6. Pour créer une nouvelle instance unique de l'autorité de certification de site pré-installée, sélectionnez Créer une nouvelle autorité de certification, puis procédez comme suit : a. Cliquez sur Oui pour accepter la génération d'un nouveau certificat. Vous êtes informés que les certificats seront générés pour tous les composants Control-M. Pour utiliser un mot de passe, saisissez-le. Cliquez sur Suivant. b. Acceptez l'emplacement par défaut pour enregistrer les certificats générés, ou tapez un nouveau chemin d'accès. c. Cliquez sur Suivant pour générer les certificats. d. Cliquez sur Soumettre une fois le processus de génération terminé. Les nouveaux répertoires de déploiement de certificats sont créés dans l'emplacement que vous avez demandé dans la machine client de CCM. 7. Continuez le processus en copiant les répertoires des certificats de composants Control-M et en exécutant les scripts de déploiements sur ces machines, comme décrit dans Déploiement de SSL sur les composants BMC (à la page 13). Application de votre propre certificat Cette procédure décrit comment appliquer vos propres certificats signés par des tiers approuvés. Pour ce faire, exécutez le script Manage_SSL_BYO sur Control-M/EM Server, puis exécutez le script qui a été généré dans les répertoires de déploiement, dans les installations des composants appropriés. Le certificat que vous appliquez doit être un certificat X509 valide. Les composants suivants sont pris en charge : Control-M Agent Control-M Server Control-M Enterprise Manager Servers Control-M Enterprise Manager Client Control-M for Web Services, Java et Messaging 10 Control-M Workload Automation Guide de SSL Control-M Web Application, Self Service et Workload Change Manager (WCM) BIM Web Application Control-M Enterprise Manager API Control-M zOS Avant de commencer Vous devez déjà posséder un des éléments suivants : le certificat signé, sa clé privée et sa chaîne de CA dans l'un des formats suivants : • Fichiers PEM (Privacy Enhanced Mail) pour chacun des éléments suivants : Certificat, Clé privée et Autorités de certification racine approuvées • Fichier PKCS#12 avec le certificat, la clé privée et les autorités de certification Si le fichier PKCS#12 contient plusieurs certificats et paires de clés, vous devez avoir également à votre disposition le nom de la paire à utiliser. REMARQUE : Tous les composants doivent être signés à l'aide du même certificat de CA. Les mots de passe de clés privées doivent exister pour PKCS#12 et PEM. Toutefois, le PEM du certificat ne doit pas être verrouillé/protégé par mot de passe. Pour appliquer les certificats : 1. Créez un chemin d'accès dans le répertoire racine de l'ordinateur où figure Control-M/EM. 2. Dans les répertoires des composants déployés, ajoutez les scripts pour importer les certificats SSL et les clés. Voir Exemples d'utilisation de scripts lors de l'importation de certificats et de clés (à la page 11). Exemples d'utilisation de scripts lors de l'importation de certificats et de clés Les exemples de scripts pour importer vos certificats SSL et clés sont présentés ci-dessous. PEM format: Manage_SSL_BYO -input pem -component {component name} -output { Manage_SSL output deployment directory} -output_keystores_password {Component keystore password} -certificate {certificate pem file} -private_key {certificate private key pem file} -password {password for private key pem file} -ca_certificates {CA certificate chain PEM file} 11 Control-M Workload Automation Guide de SSL PKCS12 format: Manage_SSL_BYO -input pkcs12 -component {component name} -output { Manage_SSL output deployment directory} -output_keystores_password {Component keystore password} -file {pkcs#12 file to import from} -password {password of pkcs#12 file} [-cert_and_key_name {name of the certificate and private key to import }] Supported -component values: CONTROL-M_Agent CONTROL-M_Server CONTROL-M_EnterpriseManagerServers CONTROL-M_EnterpriseManagerClient CONTROL-M_WJM CONTROL-M_Web_Application BIM_WebApplication CONTROL-M_EnterpriseManagerAPI CONTROL-M_zOS EXEMPLE : Utilisation d'un fichier PEM dans un environnement utilisant trois agents : Manage_SSL_BYO –component Control-M_Agent –output /tmp/Agent1_SSL_Deployment –output_keystores_password abcd1234 –input pem –certificate agent1cert.pem –private_key agent1key.pem –password secret –ca_certificates CAs.pem Manage_SSL_BYO –component Control-M_Agent –output /tmp/Agent2_SSL_Deployment –output_keystores_password abcd1234 –input pem –certificate agent2cert.pem –private_key agent2key.pem –password secret –ca_certificates CAs.pem Manage_SSL_BYO –component Control-M_Agent –output /tmp/Agent3_SSL_Deployment –output_keystores_password abcd1234 –input pem –certificate agent2cert.pem –private_key agent3key.pem –password secret –ca_certificates CAs.pem EXEMPLE : Utilisation de PKCS12 Pour PKCS12 avec un seul certificat et une paire de clés (paramètre cert_and_key_name non obligatoire) : Manage_SSL_BYO -component Control-M_Agent -output /tmp/Agent2_SSL_Deployment -output_keystores_password abcd1234 -input pkcs12 -password 1234abcd -file /p12files/ag.p12 Pour PKCS12 avec plusieurs certificats et paires de clés : 12 Control-M Workload Automation Guide de SSL Manage_SSL_BYO -component Control-M_Agent -output /tmp/Agent2_SSL_Deployment -output_keystores_password abcd1234 -input pkcs12 -password 1234abcd -file /p12files/All.p12 -cert_and_key_name ag Déploiement de SSL sur les composants BMC Cette procédure décrit comment exécuter un script de déploiement SSL sur tous les composants appropriés de Control-M/EM. Répétez la procédure ci-dessous pour tous les composants, par exemple : Control-M/EM Servers, Control-M/EM Client, Control-M/Server et Control-M/Agent. Pour appliquer les certificats sur les composants Control-M : 1. Copiez le répertoire Certificate_for_<component name> vers un répertoire temporaire de l'ordinateur où le composant est installé, par exemple : <tempLocation>. 2. Arrêtez le composant. 3. Depuis le répertoire racine du composant Control-M, exécutez la commande suivante : • Windows - <tempLocation>\setup.bat • UNIX - <tempLocation>/setup.sh EXEMPLE : Si vous avez placé les répertoires de déploiement dans /p/Control-M_v6_new_demo, et Control-M/Enterprise Manager est installé dans /bmc/Control-M_EM/Default, vous devez l'exécuter dans un shell UNIX : $ cd /bmc/Control-M_EM/Default $ /p/Control-M_v6_new_demo/Certificate_for_CONTROL-M_EnterpriseManagerServers\setu p.sh Les fichiers sont déployés aux emplacements requis et le composant Control-M utilise soit le mot de passe de Keystore par défaut, ou si vous avez spécifié un mot de passe Keystore, le mot de passe par lequel le Keystore des certificats est verrouillé, est utilisé à la place. 4. Redémarrez le composant approprié. REMARQUE : Il n'est pas nécessaire d'utiliser le répertoire de déploiement Certificate_for_CONTROL-M_SelfService, étant donné que les Control-M/EM Servers gèrent les certificats de Self Service et Workload Change Manager. Si vous utilisez Windows avec UAC activé, exécutez le script à partir de la console d'administration. Restauration d'un certificat précédent Si vous voulez automatiquement restaurer un certificat précédent à partir d'une sauvegarde de Control-M/EM Client, Control-M/EM Server, Control-M/Server et Control-M/Agent, exécutez le script de configuration depuis la sauvegarde, comme suit : 13 Control-M Workload Automation Guide de SSL UNIX : <sslBackupDir>/setup.sh Windows : <sslBackupDir>\setup.bat Les scripts de configuration enregistrent une sauvegarde de l'état du certificat avant le déploiement dans un répertoire distinct dans le répertoire ssl_backup. REMARQUE : Le processus CORBA Naming Service doit être activé lors de l'exécution du script de configuration de l'interface utilisateur WEB de BMC Batch Impact Manager. Copies de certificats pour Control-M for z/OS Pour Control-M for Z/OS, vous devez transmettre le contenu du répertoire à votre administrateur z/OS Control-M. Le tableau suivant décrit les fichiers keystore pour z/OS. Fichier Keystore Détails IOAGATE.p12 Exportez le certificat de Control-M for z/OS avec la paire de clés à utiliser par IOAGATE au format PKCS#12. Le mot de passe du fichier PCKS#12 s'affiche dans la fenêtre récapitulative générée lors de l'exécution de l'assistant de génération des certificats de composant. CA.pem Exportez le certificat de l'autorité de certification de site qui a signé le certificat du client au format PEM lorsque CLIAUTH=YES (qui utilise l'authentification client) est défini dans IOAGATE. Pour de plus amples informations sur l'utilisation de ces fichiers, voir le Guide d'installation de INCONTROL for z/OS, Annexe B « Facteurs à prendre en compte pour la configuration et l'installation de IOAGATE, prise en charge SSL ». 14 Control-M Workload Automation Guide de SSL SSL sur BMC et autres composants Vous pouvez appliquer SSL à l'environnement complet, ou sélectionner uniquement des composants.. Le schéma suivant décrit les flux de communication SSL : Par exemple, si vous voulez que SSL soit activé entre Control-M/EM Server et les clients, tous les clients doivent être sécurisés et pas simplement ceux sélectionnés. Pour les agents, vous pouvez choisir de ne sécuriser que les agents sélectionnés uniquement. Les sections suivantes décrivent comment configurer SSL sur les différents composants : Activation de SSL entre Control-M/EM et Control-M/Server (à la page 16) Activation de SSL sur Control-M/Agents (à la page 18) Activation de SSL sur Control-M/Server (à la page 17) Activation de SSL entre Control-M/Server et le client Control-M (à la page 18) Configuration de la communication sécurisée entre Web Server et GUI Server (à la page 23) Configuration de Control-M Workload Archiving Server pour utiliser SSL Configuration de NamingViewer (navigateur de Naming Service) (à la page 26) Configuration de l'app Web de BMC Batch Impact Manager (à la page 27) Configuration de la communication avec des serveurs LDAP ou Active Directory utilisant SSL. (à la page 30) 15 Control-M Workload Automation Guide de SSL Activation de SSL entre Control-M/EM et Control-M/Server Cette procédure décrit comment activer SSL entre Control-M/EM et Control-M/Server . Pour activer SSL : 1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système > Paramètres système CONTROL-M/EM.... 2. Dans la section Avancé, ouvrez les propriétés de CmsCommMode , et dans le champ Valeur, entrez AUTO. 3. Cliquez sur Save (Enregistrer). 4. Redémarrez Control-M Configuration Server pour implémenter la modification. 5. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. b. Arrêtez le config agent, naming service et CMS comme suit : o UNIX : dans le compte Control-M/EM, exécutez : stop_config_agent stop_cms stop_ns_daemon o Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms. Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 6. Démarrez les composants Control-M : • Démarrez le config agent : Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent. Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). Activation de SSL entre Control-M/EM et Control-M/Server Cette procédure décrit comment activer SSL entre Distributed Control-M/EM et Control-M/Server . Pour activer SSL : 1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système > Paramètres système CONTROL-M/EM.... 16 Control-M Workload Automation Guide de SSL 2. Dans la section Avancé, ouvrez les propriétés de CmsCommMode , et dans le champ Valeur, entrez AUTO. 3. Cliquez sur Save (Enregistrer). 4. Redémarrez Control-M Configuration Server pour implémenter la modification. 5. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. b. Arrêtez le config agent, comme suit : o UNIX : dans le compte Control-M/EM, exécutez : stop_config_agent o Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 6. Démarrez les composants Control-M : • Démarrez le config agent : Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent. Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). Activation de SSL sur Control-M/Server Cette procédure décrit comment activer SSL sur Control-M/Server à l'aide de l'utilitaire ctmsys. Vous devez exécuter cette procédure pour chaque Control-M/Server. Pour activer SSL à l'aide de l'utilitaire ctmsys : 1. Connectez-vous à l'ordinateur serveur en tant que propriétaire de Control-M for Databases (par exemple, utilisateur controlm). 2. Exécutez l'utilitaire ctmsys. Pour plus d'informations sur l'utilitaire ctmsys, voir ctmsys. Le menu suivant est affiché : +------------------------------------------------+ | UTILITAIRE DE MAINTENANCE SYSTÈME Control-M | Menu principal +------------------------------------------------+ 1) 2) Tables de destinations de shout Paramètres système q) Quitter | | 3. Dans le menu principal ctmsys, sélectionnez l'option 2 System Parameters (Paramètres système). 4. Entrez n pour passer à la page de paramètres suivante. 17 Control-M Workload Automation Guide de SSL 5. Définissez l'option 9 Secure Sockets Layer sur ENABLED. REMARQUE : Lorsque vous définissez l'option 9 sur ENABLED, tous les agents sont automatiquement définis pour utiliser SSL. Activation de SSL sur Control-M/Agents Cette procédure décrit comment activer SSL sur Control-M/Agents à l'aide de Control-M Configuration Manager. Pour utiliser l'utilitaire ctmagcfg, voir Configuration de Control-M/Agent pour utiliser SSL (à la page 35). Pour modifier les paramètres de chaque agent conformément à sa configuration requise : 1. Dans Control-M Configuration Manager, cliquez avec le bouton droit de la souris sur le Control-M/Agent requis et sélectionnez Properties (Propriétés). 2. Dans l'onglet Communication, cliquez sur la flèche du bas en regard de Secure Socket Layer et sélectionnez la valeur requise. Les valeurs sont les suivantes : • Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server • Enabled (Activé) – la connexion entre l'agent et Control-M/Server est en mode SSL, peu importe le mode de connexion du serveur • Disabled (Désactivé) – la connexion entre l'agent et Control-M/Server est en mode TCP, peu importe le mode de connexion du serveur 3. Cliquez sur Test pour vérifier que vos paramètres sont corrects et utilisables. 4. une fois que le test a validé les paramètres, cliquez sur OK. Le mode de connexion de l'agent peut être défini pour n'importe laquelle des valeurs valides. Control-M Server s'ajustera aux modifications effectuées. REMARQUE : BMC recommande que le basculement de SSL activé au mode par défaut du serveur (lorsque le mode est défini sur DISABLED) doit être effectué comme suit : Définissez l'agent sur SSL désactivé puis attendez que l'agent soit de nouveau disponible. Lorsque l'agent est disponible (connexion en mode TCP), définissez l'agent afin de travailler en mode par défaut. Activation de SSL entre Control-M/Server et le client Control-M Cette procédure décrit comment configurer la communication de SSL entre Control-M/EM et Control-M/Server . REMARQUE : Si Control-M/EM Server et le client Control-M sont sur des machines distinctes, vous devez effectuer les étapes suivantes sur les deux machines. 18 Control-M Workload Automation Guide de SSL Pour configurer SSL entre Control-M/Server et le client Control-M : 1. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Down (Arrêté). b. Arrêtez le config agent, naming service et CMS comme suit : o Pour UNIX, depuis le compte Control-M/EM, exécutez : stop_config_agent stop_cms stop_ns_daemon o Pour Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms. Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante : setenv DISPLAY <terminal_IP_address> 3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes : • * [UNIX] orbconfigure • * [Windows] orbconfigure.vbs (under \bin) La fenêtre de configuration de domaine s'affiche. 4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante : a. Cochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer). b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO), remplacez le nom du fichier ‘client_server.conf’ par ‘ssl_client_server.conf’. 5. Cliquez sur Suivant. Le volet Naming Service est affiché (si nécessaire, configurez les valeurs Hôte et Port). 6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur Finish (Terminer). 7. Exécutez : orbadmin ns start. 19 Control-M Workload Automation Guide de SSL 8. Démarrez les composants Control-M : a. Démarrez le config agent : Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent. Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). b. Dans Control-M Configuration Manager, démarrez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Up (Fonctionnel). Activation de SSL entre Control-M/Server et le client Control-M Cette procédure décrit comment configurer la communication de SSL entre Distributed Control-M/EM Server et le client Control-M. Pour configurer SSL entre Distributed Control-M/EM Server et le client Control-M : 1. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Down (Arrêté). b. Arrêtez le config agent : o UNIX : dans le compte Control-M/EM, exécutez : stop_config_agent o Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante : setenv DISPLAY <terminal_IP_address> 3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes : • * [UNIX] orbconfigure • * [Windows] orbconfigure.vbs (under \bin) La fenêtre de configuration de domaine s'affiche. 4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante : a. Cochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer). b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO), remplacez le nom du fichier ‘client_server.conf’ par ‘ssl_client_server.conf’. 5. Cliquez sur Suivant. Le volet Naming Service est affiché (si nécessaire, configurez les valeurs Hôte et Port). 20 Control-M Workload Automation Guide de SSL 6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur Finish (Terminer). 7. Exécutez : orbadmin ns start. 8. Démarrez les composants Control-M : a. Démarrez le config agent : o UNIX : dans le compte Control-M/EM, exécutez start_config_agent. o Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). b. Dans Control-M Configuration Manager, démarrez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Up (Fonctionnel). Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) Cette procédure décrit comment rétablir SSL entre Distributed Control-M/EM Server et le client Control-M. REMARQUE : Si Control-M/EM Server et le client Control-M sont sur des machines distinctes, vous devez effectuer les étapes suivantes sur les deux machines. Pour repasser à TCP : 1. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Down (Arrêté). b. Arrêtez le config agent, naming service et CMS comme suit : o Pour UNIX, depuis le compte Control-M/EM, exécutez : stop_config_agent stop_cms stop_ns_daemon o Pour Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms. Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante : setenv DISPLAY terminal_IP_address 21 Control-M Workload Automation Guide de SSL 3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes : • * [UNIX] orbconfigure • * [Windows] orbconfigure.vbs 4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante : a. Décochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer). b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO), repassez le nom du fichier en client_server.conf. 5. Cliquez sur Suivant. Dans le volet Naming Service, procédez de la façon suivante : a. Cliquez sur Show local settings (Afficher les paramètres locaux). b. Décochez la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO). 6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur Finish (Terminer). 7. Arrêtez tous les composants Control-M/EM. orbadmin ns start Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) Cette procédure décrit comment rétablir SSL entre un Distributed Control-M/EM Server et le client Control-M. Pour repasser à TCP : 1. Arrêtez les composants Control-M : a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant, sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité) > Down (Arrêté). b. Arrêtez le config agent : o UNIX : dans le compte Control-M/EM, exécutez : stop_config_agent o Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches Windows). 2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante : setenv DISPLAY terminal_IP_address 3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes : • * [UNIX] orbconfigure • * [Windows] orbconfigure.vbs 22 Control-M Workload Automation Guide de SSL 4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante : a. Décochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer). b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO), repassez le nom du fichier en client_server.conf. 5. Cliquez sur Suivant. Dans le volet Naming Service, procédez de la façon suivante : a. Cliquez sur Show local settings (Afficher les paramètres locaux). b. Décochez la case Use TAO internal configuration file (Utiliser le fichier de configuration interne TAO). 6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur Finish (Terminer). 7. Arrêtez tous les composants Control-M/EM. orbadmin ns start Configuration de la communication sécurisée entre Web Server et GUI Server Apache Tomcat Web Server communique avec Control-M/EM GUI Server à l'aide de SSL, en utilisant l'implémentation JacORB de CORBA. Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties (<Control-M/EM_directory>/etc/jacorb.properties). Ils sont décrits dans Paramètres SSL de JacORB (à la page 24). REMARQUE : Pour des informations sur la création d'un keystore à utiliser avec les composants Web de Tomcat Web Server, voir Exportation ou importation des clés privée/publique. Pour configurer Apache Tomcat Web server afin qu'il soit compatible avec SSL : 1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on. Selon que vous utilisiez une implémentation Sun JSSE ou IBM JSSE (exemple IBM AIX), supprimez les marques de commentaire (effacez les balises de hachage) du code inutile et utilisez IBMX509 ou SunX509, comme indiqué dans les exemples suivants : Implémentation de Sun JSSE #Which algorithms to use to initialize the client/server SSL socket factories #Use IbmX509 with IBM JDKs jacorb.security.jsse.server.key_manager_algorithm=SunX509 jacorb.security.jsse.server.trust_manager_algorithm=SunX509 jacorb.security.jsse.client.key_manager_algorithm=SunX509 jacorb.security.jsse.client.trust_manager_algorithm=SunX509 Implémentation de IBM JSSE # Which algorithms to use to initialize the client/server SSL socket factories 23 Control-M Workload Automation Guide de SSL # Use IbmX509 with IBM JDKs jacorb.security.jsse.server.key_manager_algorithm=IbmX509 jacorb.security.jsse.server.trust_manager_algorithm=IbmX509 jacorb.security.jsse.client.key_manager_algorithm=IbmX509 jacorb.security.jsse.client.trust_manager_algorithm=IbmX509 2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server. 3. Passez à Configuration de la communication sécurisée entre l'application Web et Web Server (à la page 24) Pour configurer Apache Tomcat Web server afin qu'il soit compatible avec TCP/IP : 1. Modifiez le fichier jacorb.properties manuellement. 2. Définissez le paramètre jacorb.security.support_ssl parameter sur off. 3. Dans Control-M Configuration Manager, redémarrez Control-M Web Server. Paramètres SSL de JacORB Le tableau suivant décrit les paramètres SSL de JacORB. Paramètres SSL pour JacORB dans le fichier jacorb.properties Paramètre Description jacorb.security.support_ssl Détermine si SSL est activé. Valeurs valides : on (utilise le protocole SSL), off (utilise le protocole TCP/IP). Valeur par défaut : off. jacorb.security.keystore Contient le chemin d'accès complet et le nom du fichier keystore. jacorb.security.keystore_ password Contient le mot de passe du fichier keystore. jacorb.security.keystore_ password_crypt Pour chiffrer la phrase de passe. On ouoff. 24 Control-M Workload Automation Guide de SSL Configuration de la communication sécurisée entre l'application Web et Web Server Cette procédure décrit comment configurer Control-M/EM Web Server pour qu'il utilise HTTPS, ce qui permet de sécuriser les données entre le navigateur Web et le serveur Web. REMARQUE : Control-M/EM Web Server est un Apache Tomcat Web Server. Control-M/EM Web Server fournit un certificat DEMO signé par l'autorité de certification DEMO de Control-M. L'autorité de certification DEMO de Control-M, qui certifie le certificat DEMO n'est pas approuvée par le navigateur Web. Le navigateur Web émet un message d'avertissement vous informant de ne pas accéder à ce site car l'autorité de certification DEMO n'est pas approuvée par le navigateur Web. Si vous continuez, vous recevrez une notification d'erreur de certificat. BMC Software recommande de remplacer le certificat démo par un certificat signé par une autorité de certification reconnue par votre organisation. Pour configurer Control-M/EM Web Server afin qu'il utilise HTTPS : 1. Éditez une des commandes suivantes en fonction du système d'exploitation : • Windows : {CONTROL-M/EM}\{Instance}\emweb\tomcat\conf\server.xml • UNIX : {CONTROL-M/EM}/ctm_em/etc/emweb/tomcat/conf/server.xml Dans le fichier server.xml, accédez au contenu xml suivant. Le connecteur doit désigner le keystore et le mot de passe corrects. <!-- A "Connector" represents an endpoint by which requests are received ... ... --> Ajoutez le contenu xml suivant après le contenu ci-dessus. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" keystoreFile="conf/tomcat.keystore" keystorePass="{password}" /> Pour un exemple de cette configuration, ouvrez le fichier server.xml.HTTPS. 2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server. 25 Control-M Workload Automation Guide de SSL Importation de vos propres certificats dans le keystore Apache Tomcat Web Server par défaut Cette procédure décrit comment importer votre propre certificat (à partir d'une CA certifiée) dans le keystore Tomcat par défaut. REMARQUE : Cette procédure ne s'applique pas au remplacement du keystore par défaut lui-même, mais au certificat dans le keystore par défaut. Pour remplacer le certificat dans le keystore par défaut : 1. Accédez à <KEYSTORE_HOME> (où tomcat.keystore est situé) : • UNIX : $EM_HOME/emweb/tomcat/conf • Windows : %EM_HOME%\emweb\tomcat\conf 2. Supprimez l'alias « tomcat » existant du keystore par défaut : "keytool -delete -keystore <KEYSTORE_HOME>\tomcat.keystore -alias tomcat" 3. Importez CA ROOT de la chaîne : "keytool -import -alias <root CA alias> -trustcacerts -file <path to root CA certificate> -keystore <KEYSTORE_HOME>\tomcat.keystore" 4. Importez les CA intermédiaires de la chaîne (si nécessaire). Répétez cette étape par CA intermédiaire dans la chaîne : "keytool -import -alias <intermediate CA alias> -trustcacerts -file <path to intermediate CA certificate> -keystore <KEYSTORE_HOME>\tomcat.keystore" 5. Importez le certificat de l'utilisateur final signé par la chaîne ci-dessus : "keytool -import -alias tomcat -trustcacerts -file <path to end user certificate> -keystore <KEYSTORE_HOME>\tomcat.keystore" 6. Redémarrez Web Server. Configuration de NamingViewer (navigateur de Naming Service) L'utilitaire NamingViewer prend en charge la navigation des Naming Services sécurisés qui utilisent SSL avec l'implémentation JacORB de CORBA. Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties, du répertoire suivant : <Control-M/EM_directory>/etc/jacorb.properties 26 Control-M Workload Automation Guide de SSL Pour activer la navigation des Naming Services sécurisés avec SSL : 1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on. 2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier jacorb.properties (pour l'implémentation IBM JSSE) : jacorb.security.jsse.server.key_manager_algorithm=IbmX509 jacorb.security.jsse.server.trust_manager_algorithm=IbmX509 jacorb.security.jsse.client.key_manager_algorithm=IbmX509 jacorb.security.jsse.client.trust_manager_algorithm=IbmX509 La valeur par défaut pour tous les paramètres ci-dessus est SunX509 (implémentation Sun JSSE). Pour parcourir des Naming Services non sécurisés : 1. Modifiez le fichier jacorb.properties manuellement. 2. Définissez le paramètre jacorb.security.support_ssl sur off. Configuration de l'app Web de BMC Batch Impact Manager BMC Batch Impact Manager est fourni avec les fichiers bim_ssl.ear ou bim_ssl.war qui sont configurés avec un certificat SSL par défaut. REMARQUE : À la différence des fichiers bim.ear et bim.war ordinaires, les fichiers bim_ssl.ear et bim_ssl.war peuvent être utilisés uniquement pour communiquer avec une installation Control-M/EM avec SSL activé. Sauf si vous utilisez Java IBM JDK, ou vos propres clés privées, tout ce que vous avez à faire pour accéder à l'interface Web dans un environnement activé par SSL, est d'utiliser le répertoire « bim_ssl » au lieu de « bim » : EXEMPLE : http://locahost:18081/bim_ssl Pour activer SSL pour l'interface Web BMC Impact Manager, reportez-vous à une des procédures suivantes : Activation de SSL avec les certificats par défaut et IBM JDK (à la page 27) : pour effectuer un déploiement sur un serveur Web qui utilise le protocole SSL et le JDK IBM (par exemple, la plupart des configurations WebSphere). Activation de SSL en remplaçant les clés dans BMC Batch Impact Manager (à la page 28) : pour effectuer un déploiement sur un système qui utilise SSL et nécessite le remplacement des clés ou des mots de passe. 27 Control-M Workload Automation Guide de SSL Activation de SSL avec les certificats par défaut et IBM JDK La procédure suivante décrit comment activer SSL sur BMC Batch Impact Manager avec les certificats par défaut et IBM JDK. Ceci s'applique au déploiement sur tout serveur Web qui utilise le protocole SSL et le JDK IBM (par exemple, la plupart des configurations WebSphere). Pour activer SSL : 1. Accédez au répertoire racine BMC Batch Impact Manager : • UNIX : cd <Control-M/EM_directory>/bin • Windows : cd <Control-M/EM_directory>\bim\webapp 2. Exécutez l'utilitaire configmanager : • (UNIX) em bim_configmanager -nshost<hostName> -nsport<portName> -pathtobim . -SSLJSSEplatform IBM • (Windows) .\bim_configmanager.bat -nshost<hostName> -nsport<portName> -pathtobim . -SSLJSSEplatform IBM 3. Passez à Utilisation de l'utilitaire configmanager : (à la page 29) pour vérifier si des paramètres supplémentaires sont nécessaires. 4. Une fois que vous avez terminé avec l'utilitaire, utilisez les nouveaux fichiers bim_ssl.ear et bim_ssl.war pour le déploiement, et suivez les instructions fournies par votre serveur d'application Web. REMARQUE : Si les arguments SSL ne sont pas inclus lors de l'exécution de l'utilitaire, les fichiers de déploiement SSL peuvent ne pas être créés. Activation de SSL en remplaçant les clés dans BMC Batch Impact Manager Cette procédure décrit comment remplacer les clés et/ou mots de passe pour déployer SSL sur BMC Batch Impact Manager. Pour activer SSL : 1. Accédez au répertoire racine BMC Batch Impact Manager : • UNIX : cd <Control-M/EM_directory>/bin • Windows : cd <Control-M/EM_directory>\bim\webapp REMARQUE : Tous les chemins d'accès aux ordinateurs sur lesquels vous effectuez le déploiement doivent être des chemins absolus (pas relatifs). 2. Exécutez l'utilitaire configmanager : • (UNIX) em bim_configmanager -nshost<hostName> -nsport<portName> -pathtobim . -SSLkeystorepath<fullPath> • (Windows) ..\bim_configmanager.bat -nshost<hostName> -nsport<portName> -pathtobim . -SSLkeystorepath<fullPath> -SSLkeystorepassword<passwordtoopenkeystore> 28 Control-M Workload Automation Guide de SSL 3. Vous pourriez avoir besoin d'autres paramètres requis par votre système. Passez à Utilisation de l'utilitaire configmanager : (à la page 29) pour vérifier les arguments supplémentaires de l'utilitaire configmamanger. 4. Une fois que vous avez terminé avec l'utilitaire, utilisez les nouveaux fichiers bim_ssl.ear et bim_ssl.war pour le déploiement, et suivez les instructions fournies par votre serveur d'application Web. REMARQUE : Si les arguments SSL ne sont pas inclus lors de l'exécution de l'utilitaire, les fichiers de déploiement SSL peuvent ne pas être créés. Utilisation de l'utilitaire configmanager : Le tableau suivant décrit les arguments disponibles dans l'utilitaire configmanager : Argument Description et valeur -SSLJSSEplatform <SUN|IBM> Plateforme du JDK. Obligatoire. Valeurs valides : SUN : Par défaut IBM : Pour les serveurs Web comme WebSphere -SSLkeystorepassword <password> Mot de passe pour l'ouverture du keystore. Facultatif. SSLkeystorepasswordencryption Mode de chiffrement pour le mot de passe. Facultatif. Les valeurs valides sont les suivantes : <on|off> on : Le mot de passe est chiffré. off : Le mot de passe n'est pas chiffré. Par défaut. -SSLkeystorepath<fullPath> Chemin d'accès complet vers le nouveau keystore. Facultatif. -nshost<hostName> Hôte du Naming Service. Facultatif. -nsport<portName> Port du Naming Service. Facultatif. -pathtobim<fullPath> Chemin d'accès complet au répertoire d'installation de l'application Web BMC Batch Impact Manager Obligatoire. Les valeurs valides sont les suivantes : Windows : <Control-M/EM_directory>\bim\webapp UNIX : <Control-M/EM_directory>/etc/bim/webapp -v Sortie détaillée 29 Control-M Workload Automation Guide de SSL Exportation ou importation de clés privée/publique Pour créer le fichier em.keystore et exporter ou importer une clé privée/publique : Exécutez l'utilitaire keytool avec les paramètres suivants : keytool -genkey -alias alias_for_the_entry -keystore keystore_file_path -storepass keystore_password -keypass keystore_password -dname distinquished_name EXEMPLE : keytool -genkey -alias em -keystore em.keystore -storepass empass -keypass empass -dname "C=IS, ST=Texas, L=Houston, O=bmc, OU=ESM, CN=em/[email protected]" REMARQUE : Le mot de passe de storepass et keypass doivent être identiques car JacORB ne traite qu'un seul mot de passe. Configuration de la communication avec des serveurs LDAP ou Active Directory utilisant SSL. La procédure suivante décrit comment activer SSL pour LDAP et Active Directory lorsque Control-M/EM est installé sur les systèmes d'exploitation UNIX et Linux. Pour activer SSL : 1. Placez le fichier em_ldap_ssl.pem dans le répertoire <Control-M/EM_directory>\etc\keystore. 2. Vérifiez qu'un périphérique aléatoire est installé sur l'ordinateur Control-M/EM comme suit : a. Localisez le fichier random ou urandom dans le répertoire /dev. Si vous trouvez le fichier random, vérifiez que son chemin fait partie du chemin de recherche. b. Si aucun de ces fichiers n'existe, ouvrez le fichier <Control-M/EM_directory>/etc/ldap.conf dans un éditeur de texte. c. Localisez la ligne #TLS_RANDFILE <Control-M/EM_directory>/ini/ssl/rnd.bin et supprimez le caractère #. d. Enregistrez le fichier modifié. 3. Définissez une variable d'environnement nommée « LDAPCONF » avec une valeur pointant sur le fichier « ldap.conf », qui est défini par le profil de compte EM UNIX. EXEMPLE : setenv LDAPCONF <Control-M/EM_directory>/ctm_em/etc/ldap.conf 4. Redémarrez tous les composants EM en appliquant les commandes stop_all et start_all. 5. Définissez un serveur LDAP qui peut communiquer avec Control-M/EM en mode SSL, comme décrit dans Définition des paramètres système LDAP. Si vous n'appliquez pas toutes les étapes ci-dessus, l'authentification LDAP en mode SSL échoue. 6. Redémarrez les composants GUI et CMS. Reportez-vous à l'exemple suivant : Obtention d'un fichier de certificat à partir d'un serveur Windows Active Directory (à la page 31). 30 Control-M Workload Automation Guide de SSL Obtention d'un fichier de certificat à partir d'un serveur Windows Active Directory La procédure suivante indique comment obtenir un fichier de certificat à partir du serveur Windows Active Directory. Le nom du fichier de certificat au format .pem doit être renommé em_ldap_ssl.pem. La procédure de modification du nom est exposée dans l'exemple du serveur Active Directory à l'exemple 8b. 1. Sélectionnez Programs => Administrative Tools => Certification Authority (Programmes => Outils d'administration => Autorité de certification) pour ouvrir l'application de l'autorité de certification. 2. Cliquez avec le bouton droit de la souris sur Certification Authority (Autorité de certification) et sélectionnez Properties (Propriétés). 3. Cliquez sur View Certificate (Afficher le certificat) pour afficher la page du certificat. 4. Dans l'onglet Details (Détails), cliquez sur Copy to file (Copier dans le fichier) pour démarrer l'assistant d'exportation de certificat. 5. Sur la page Export File Format (Format du fichier d'exportation), sélectionnez le format Base-64 Encoded X.509 (.cer) et cliquez sur Next (Suivant). 6. Entrez un nom de fichier avec une extension .cer qui inclut le nom du serveur Active Directory. 7. Exécutez les étapes de l'assistant pour créer une copie exportée de l'autorité de certification pour le serveur Active Directory. 8. Convertissez le certificat du format .cer au format .pem comme suit : a. À l'aide de FTP ou d'une autre application de copie de fichier, copiez le fichier de certificat du serveur Active Directory que vous venez de créer sur un système sur lequel le client Active Directory s'exécute. b. Connectez-vous au système sur lequel vous avez copié le certificat et exécutez la commande suivante : openssl x509 -in AD certificate name -out em_ldap_ssl.pem AD certificate name représente le nom de fichier donné à l'étape 6. REMARQUE : Pour un fichier de certificat obtenu à partir d'un serveur LDAP différent, renommez le fichier em_ldap_ssl.pem. L'emplacement et le nom du fichier de certificat (.pem) peuvent être modifiés en configurant la valeur de paramètre TLS_CACERT dans le fichier <Control-M/EM_directory>/etc/ldap.conf du nouveau nom et chemin d'accès. Pour Control-M/EM installé sous Windows : 9. Obtenez un fichier de certificat au format .pem à partir du serveur de répertoire. La création et l'exportation des fichiers de certificat sont différentes pour chaque fournisseur de serveur LDAP. Contactez votre administrateur de serveur LDAP pour obtenir le fichier de certificat adéquat. Pour savoir comment obtenir un certificat à partir de Windows Active Directory, voir l'exemple ci-dessus. 10. Placez le fichier de certificat à l'emplacement approprié et suivez les instructions d'installation du certificat SSL, fournies par Microsoft, à l'aide de l'utilitaire MMC. Pour plus d'informations sur la poursuite de la configuration LDAP et SSL, voir Administration. 31 Control-M Workload Automation Guide de SSL Configuration de la communication sécurisée entre l'application Web et Web Server Cette procédure décrit comment configurer Control-M/EM Web Server pour qu'il utilise HTTPS, ce qui permet de sécuriser les données entre le navigateur Web et le serveur Web. REMARQUE : Control-M/EM Web Server est un Apache Tomcat Web Server. Control-M/EM Web Server fournit un certificat DEMO signé par l'autorité de certification DEMO de Control-M. L'autorité de certification DEMO de Control-M, qui certifie le certificat DEMO n'est pas approuvée par le navigateur Web. Le navigateur Web émet un message d'avertissement vous informant de ne pas accéder à ce site car l'autorité de certification DEMO n'est pas approuvée par le navigateur Web. Si vous continuez, vous recevrez une notification d'erreur de certificat. BMC Software recommande de remplacer le certificat démo par un certificat signé par une autorité de certification reconnue par votre organisation. Pour configurer Control-M/EM Web Server afin qu'il utilise HTTPS : 1. Éditez une des commandes suivantes en fonction du système d'exploitation : • Windows : {CONTROL-M/EM}\{Instance}\emweb\tomcat\conf\server.xml • UNIX : {CONTROL-M/EM}/ctm_em/etc/emweb/tomcat/conf/server.xml Dans le fichier server.xml, accédez au contenu xml suivant. Le connecteur doit désigner le keystore et le mot de passe corrects. <!-- A "Connector" represents an endpoint by which requests are received ... ... --> Ajoutez le contenu xml suivant après le contenu ci-dessus. <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2" keystoreFile="conf/tomcat.keystore" keystorePass="{password}" /> Pour un exemple de cette configuration, ouvrez le fichier server.xml.HTTPS. 2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server. 32 Control-M Workload Automation Guide de SSL Paramètres et configurations avancés Les sections suivantes contiennent des informations supplémentaires sur les configurations et paramètres de sécurité : Configuration de Control-M/Agent pour utiliser SSL (à la page 35) Modification d'un mode de connexion serveur-agent pour un agent existant (à la page 36) Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M gérées) (à la page 37) Configuration de l'API Control-M/EM JacORB (à la page 43) Configuration d'un certificat signé pour un keystore Java (à la page 56) Configuration des règles de sécurité (à la page 65) Paramètres de communication SSL Cette section décrit brièvement les paramètres relatif à SSL qui détermine les modes de communication Control-M/Server, Control-M/Agent et Control-M/EM. Control-M/Server Le paramètre système SSL détermine le mode de communication que le serveur utilise pour communiquer avec les agents et Control-M/EM. Vous pouvez définir ce paramètre sur n'importe quel mode de communication affiché dans le tableau suivant. Modes de communication Control-M/Server Mode Description ENABLED (ACTIVÉ) Control-M/Server fonctionne en mode SSL. Lors de la tentative de connexion à un agent en mode SSL=N (abordé ultérieurement), le serveur tente de passer l'agent en mode SSL=Y. INACTIVE (INACTIF) Control-M/Server fonctionne en mode non SSL. Lors de la tentative de connexion à un agent en mode SSL=Y, le serveur tente de passer l'agent en mode SSL=N. DISABLED Control-M/Server fonctionne en mode non SSL. Lors de la tentative de connexion à un agent en mode SSL=Y, le serveur ne tente pas de passer l'agent en mode SSL=N. REMARQUE : Passer le mode de communication de ENABLED à DISABLED peut entraîner l'indisponibilité de tous les agents. Dans ce cas, vous devez passer le mode du serveur à INACTIVE et attendre que tous les agents requis soient disponibles à nouveau. Ensuite, vous pouvez remplacer le mode du serveur par ENABLED ou DISABLED. 33 Control-M Workload Automation Guide de SSL Control-M/Agent Pour Control-M/Agent, le paramètre COMMOPT détermine le mode de communication de l'agent. Les valeurs valides pour COMMOPT sont SSL=Y (la communication est activée) ou SSL=N (la communication est désactivée). Sur les ordinateurs Microsoft Windows, COMMOPT se trouve dans le registre Control-M/Agent. Sur les ordinateurs UNIX, COMMOPT se trouve dans le fichier agent_home/ctm/data/CONFIG.dat. Options de configuration SSL de Control-M/EM Cette procédure décrit comment configurer les paramètres SSL de Control-M/EM. Pour configurer SSL dans Control-M/EM : 1. Affichez le menu sslcmd -k gtwkey.kdb (voir Menu sslcmd). 2. Sélectionnez 2 Add CA (Ajouter une CA). À l'invite, entrez le chemin complet et le nom du certificat de l'autorité de certification 3. Sélectionnez 1 Generate key (Générer une clé) pour générer une paire de clés publique-privée. À l'invite, saisissez le nom d'alias CODN. 4. Sélectionnez 3 Generate CSR (Générer un CSR). Entrez le chemin de sortie et le nom du fichier pour le CSR généré. Le CSR généré peut être soumis à une autorité de certification pour obtenir un certificat numérique. 5. Sélectionnez 4 Add cert (Ajouter un certificat) pour ajouter le certificat numérique à la base de données de clés SSL. Lorsque l'invite suivante s'affiche : Entrer le nom du fichier de certificat, Entrez le chemin complet et le nom du fichier pour le certificat numérique. Le certificat de Control-M/EM est installé dans la base de données de clés. 6. Affichez le menu sslcmd -k cmsgkey.kdb (voir Menu sslcmd). 7. Sélectionnez 2 Add CA (Ajouter une CA). À l'invite, entrez le chemin complet et le nom du certificat de l'autorité de certification 8. Sélectionnez 1 Generate key (Générer une clé) pour générer une paire de clés publique-privée. À l'invite, saisissez le nom d'alias CADN. 9. Sélectionnez 3 Generate CSR (Générer un CSR). Entrez le chemin de sortie et le nom du fichier pour le CSR généré. Le CSR généré peut être soumis à une autorité de certification pour obtenir un certificat numérique. 10. Sélectionnez 4 Add cert (Ajouter un certificat) pour ajouter le certificat numérique à la base de données de clés SSL. Lorsque l'invite suivante s'affiche : Entrer le nom du fichier de certificat, Entrez le chemin complet et le nom du fichier pour le certificat numérique. Le certificat de Control-M/EM est installé dans la base de données de clés. 11. Pour les communications client/serveur Control-M/EM utilisant CORBA uniquement : Entrez 17 (Exporter une paire de clés) pour exporter le certificat au format de fichier pkcs#12. 34 Control-M Workload Automation Guide de SSL 12. Suivez les mêmes étapes afin de mettre à jour la base de données de clés emkey.kdb pour le chiffrement du mot de passe administrateur Control-M/EM. Utilisez le nom d'alias CODN. Fichiers Keystore Cette section décrit les fichiers Keystore utilisés par Control-M. Fichiers keystore de Control-M Fichier Keystore Composant Control-M KDB Fichier de base de données de clés Control-M/Agent Control-M/Server Serveurs Control-M/EM (Gateway) PEM Courrier à confidentialité améliorée Serveurs Control-M/EM (serveur GSR, CMS et BIM) Java Keystore Control-M/Server Client Control-M/EM Client EMAPI Control-M/EM Control-M Web Services and Messaging API Control-M BMC Batch Impact Manager PKCS#12 Control-M for z/OS REMARQUE : Pour des informations générales sur SSL, consultez la documentation SSL sur Internet. Pour de plus amples informations sur l'authentification et les niveaux de confidentialité de Control-M, voir Configuration des règles de sécurité (à la page 65). Configuration de Control-M/Agent pour utiliser SSL Pour chaque Control-M/Agent sur lequel vous voulez configurer SSL, effectuez la procédure appropriée : Pour Action Control-M/Agent for UNIX Dans le fichier agent_home/ctm/data/CONFIG.dat, définissez COM\-MOPT sur SSL=Y. Control-M/Agent for Microsoft Windows (version 6.4.01 et ultérieure) Exécutez l'utilitaire ctmagcfg, sélectionnez l'option 7 (Paramètres avancés), et spécifiez Y (Oui) pour l'option 8 dans le menu Advanced (Avancé). 35 Control-M Workload Automation Guide de SSL Pour Action Control-M/Agent for Microsoft Exécutez l'utilitaire ctmagcfg et spécifiez Y (O) pour l'option 16 (SSL). Windows (versions antérieures à la version 6.4.01) REMARQUE : L'exécution de cette étape peut faire gagner du temps si vous avez un grand nombre d'agents qui travaillent avec Control-M/Server. Si vous ignorez cette étape, Control-M/Server effectue automatiquement une requête ponctuelle pour définir le paramètre SSL. Cette requête nécessite entre deux et cinq minutes pour chaque agent. Pour configurer un nouvel agent, vous pouvez utiliser Control-M Configuration Manager ou ctm_menu. Vous pouvez définir un ou plusieurs agents sur le mode SSL et d'autres agents sur le mode TCP. Par exemple, vous pouvez utiliser Control-M/Server pour travailler avec la majorité des agents auquel il est connecté en mode SSL et pouvez vous connecter à d'autres agents en mode TCP. Lorsque vous ajoutez Control-M/Agent à un Control-M/Server à l'aide de Control-M Configuration Manager pour configurer le Control-M/Agent afin qu'il utilise SSL, cliquez sur la flèche du bas en regard du champ Secure Socket Layer. Les valeurs sont les suivantes : Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server Enabled (Activé) – la connexion entre l'agent et Control-M Server est en mode SSL, peu importe le mode de connexion du serveur Disabled (Désactivé) - la connexion entre l'agent et Control-M Server est en mode TCP, peu importe le mode de connexion du serveur Modification d'un mode de connexion serveur-agent pour un agent existant Cette procédure décrit comment modifier les paramètres de chaque agent conformément à sa configuration requise. Pour modifier le mode de connexion serveur-agent : 1. Dans Control-M Configuration Manager, cliquez avec le bouton droit sur le Control-M/Agent requis et sélectionnez Properties (Propriétés). 2. Dans l'onglet Communication, cliquez sur la flèche du bas en regard de Secure Socket Layer et sélectionnez la valeur requise. Les valeurs sont les suivantes : • Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server • Enabled (Activé) – la connexion entre l'agent et Control-M/Server est en mode SSL, peu importe le mode de connexion du serveur • Disabled (Désactivé) – la connexion entre l'agent et Control-M/Server est en mode TCP, peu importe le mode de connexion du serveur 3. Cliquez sur Test pour vérifier que vos paramètres sont corrects et utilisables. 36 Control-M Workload Automation Guide de SSL 4. une fois que le test a validé les paramètres, cliquez sur OK. Le mode de connexion de l'agent peut être défini pour n'importe laquelle des valeurs valides. Le serveur s'ajustera aux modifications effectuées. REMARQUE : BMC recommande de passer de SSL activé pour le mode par défaut du serveur (lorsque le mode est défini sur DISABLED) en procédant comme suit : Définissez l'agent sur SSL désactivé puis attendez que l'agent soit de nouveau disponible. Lorsque l'agent est disponible (connexion en mode TCP), définissez l'agent afin de travailler en mode par défaut. Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M gérées) Cette procédure décrit comment configurer la communication de Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M gérées). Pour configurer la communication de Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M gérées) : 1. Définissez la valeur des paramètres de CMS sur auto. 2. Redémarrez Control-M Configuration Server pour implémenter la modification. Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M non gérées) La procédure suivante décrit comment configurer la communication de Control-M/EM avec Control-M/Server pour utiliser SSL (instances Control-M non gérées). Pour configurer SSL pour des instances Control-M/EM non gérées : 1. Connectez-vous à Control-M Configuration Manager. 2. Utilisez le panneau de gauche de la fenêtre Configuration Manager pour sélectionner une définition de serveur : a. En bas du panneau, sélectionnez l'onglet By Computer (Par ordinateur). b. Développez le nœud Control-M/Server de l'arborescence All Components (Tous les composants). c. Sélectionnez la définition Control-M/Server que vous voulez configurer. Les composants de la définition sélectionnée s'affichent dans le panneau de droite de la fenêtre. 37 Control-M Workload Automation Guide de SSL 3. Cliquez deux fois sur la ligne affichant le composant de définition Control-M/Server que vous voulez configurer. La fenêtre de définition Control-M s'affiche. 4. Dans le champ Protocol (Protocole) de la fenêtre de définition, sélectionnez SSL_ENABLE or TCP (SSL_ENABLE ou TCP) et cliquez sur OK. 5. Utilisez Control-M Configuration Manager pour arrêter et redémarrer la passerelle Control-M/EM pour implémenter la modification. Pour plus d'informations sur Control-M Configuration Manager, voir Administration. Au démarrage, la passerelle essaie de communiquer avec le serveur à l'aide du protocole TCP/IP. Si le serveur ne répond pas lors de l'intervalle de synchronisation (90 secondes par défaut), la passerelle modifie automatiquement son protocole pour SSL et essaie de communiquer à l'aide du protocole SSL. Stockage des certificats pour TAO La procédure suivante décrit comment stocker Les certificats CA et signés. Les certificats d'application et les autorités de certification par défaut sont fournis et stockés au format PEM standard. Pour stocker un certificat racine d'autorité (CA) et les certificats signés : 1. Placez les certificats (ca_cert.pem, cert_name.pem et cert_name_priv_key.pem) dans le répertoire <Control-M/EM_directory>/ini/ssl/new_ca.pem. 2. Mettez à jour les fichiers ssl_client_server.conf et ssl_ns.conf dans le répertoire <Control-M/EM_directory>/etc> en remplaçant les noms des certificats de démonstration par les noms de vos certificats. Les paramètres de ssl_client_server.conf sont expliqués dans Paramètres de ssl_client_server.conf (à la page 39). EXEMPLE : Si le contenu original du fichier ssl_client_server.conf est : dynamic SSLIOP_Factory Service_Object * TAO_SSLIOP:_make_TAO_SSLIOP_Protocol_Factory() " -SSLAuthenticate SERVER_AND_CLIENT -SSLPrivateKey 'PEM:/home/ecs1/ctm_em/ini/ssl/CertDemoU_pk.pem' -SSLCertificate 'PEM:/home/ecs1/ctm_em/ini/ssl/CertDemoU.pem' -SSLCAfile 'PEM:/home/ecs1/ctm_em/ini/ssl/new_ca.pem' -SSLrand /home/ecs1/ctm_em/ini/ssl/rnd.bin" static Client_Strategy_Factory " -ORBConnectStrategy blocked" static Resource_Factory " -ORBProtocolFactory SSLIOP_Factory" Remplacez le nom du chemin d'accès complet des certificats (en gras ci-dessus) par les noms de vos certificats. Dans cet exemple, l'authentification du serveur et du client est requise car le paramètre -SSLAuthenticate est défini sur SERVER_AND_CLIENT. 38 Control-M Workload Automation Guide de SSL Paramètres de ssl_client_server.conf Le tableau suivant décrit les paramètres du fichier ssl_client_server.conf. Paramètre Description -SSLAuthenticat Indique si l'authentification est requise pour le serveur, le client ou les e deux. Valeurs valides : SERVER, CLIENT, SERVER_AND_CLIENT -SSLPrivateKey Pointe vers l'emplacement de la clé privée. -SSLCertificate Pointe vers l'emplacement de la clé publique. -SSLCAfile Pointe vers le certificat CA. Par défaut : <Control-M/EM_directory>/ini/ssl/new_ca.pem Les fichiers de certificat CA, clé publique et clé privée peuvent être remplacées. -SSLrand Pointe vers un fichier binaire utilisé pour générer des numéros aléatoires pour chiffrer dynamiquement les communications entre le client et le serveur. Le fichier fourni par Control-M/EM peut être remplacé par un autre fichier binaire. Les fichiers binaires client et serveur sont indépendants et n'ont pas besoin de correspondre. Par défaut : <Control-M/EM_directory>/ini/ssl/rnd.bin REMARQUE : Ce paramètre est facultatif sur les installations Windows. Mot de passe de la clé privée Le mot de passe de la clé privée pour les certificats de démonstration est stocké dans le fichier ClientServerSSL.ini dans le répertoire <Control-M/EM_directory>/ini/ssl. Les composants Control-M/EM lisent et décodent ce mot de passe et le fournissent à la couche SSL. Pour mettre à jour le mot de passe de la clé privée pour utilisation avec vos certificats de site : 1. Allez dans le répertoire <Control-M/EM_directory>/ini/ssl. 2. Mettez à jour le fichier ClientServerSSL.ini avec le nouveau mot de passe chiffré en saisissant la commande cryptocli new_password ClientServerSSL.ini Certificat du Naming Service Le Naming Service exige de manière interactive le mot de passe de la clé privée lors du démarrage. Cette condition empêche les utilisateurs d'activer le Naming Service en mode batch. Dans les certificats de démonstration Control-M/EM, le mot de passe a été retiré de la clé privée pour que le Naming Service puisse être appelé sans saisir le mot de passe. Le fichier de configuration ssl_ns.conf pointe vers le fichier de clé privée sans mot de passe. 39 Control-M Workload Automation Guide de SSL Pour activer le Naming Service à l'aide d'une nouvelle clé privée sans mot de passe : 1. Utilisez le fichier ssl_ns.conf pour le Naming Service. 2. Placez le fichier de clé privée dans le répertoire <Control-M/EM_directory>/ini/ssl. 3. Mettez à jour le fichier ssl_ns.conf avec le nouveau nom de fichier de clé privée, comme dans la section 2 de Stockage des certificats pour TAO (à la page 38) pour le fichier ssl_client_server.conf. Pour activer le Naming Service de manière interactive à l'aide d'une clé privée sécurisée : Dans le panneau Naming Service, définissez le fichier de configuration interne TAO sur le même fichier que celui utilisé par les serveurs et clients Control-M/EM CORBA : <Control-M/EM_directory>/etc/ssl_client_server.conf Cependant, cette alternative nécessite que le mot de passe PEM soit saisi de manière interactive et par conséquent, le Naming Service ne peut pas être exécuté comme un service Windows. Expiration du certificat Control-M/EM est fourni avec des certificats SSL de démonstration avec une période d'expiration de 4 ans. Les applications clientes vérifient l'expiration du certificat à chaque tentative de connexion. Le client émet un avertissement si le certificat expire dans un nombre de jours inférieur à celui spécifié dans le paramètre système WarningSSLExpirationDays , comme décrit dans Paramètres généraux. Valeurs valides : 1 - 365. Par défaut : 60. Si un certificat SSL expire dans un nombre de jours inférieur à celui spécifié dans ce paramètre, un message s'affiche dans la colonne Message de la fenêtre principale de Control-M Configuration Manager et un enregistrement est consigné dans le journal d'application. Messages d'erreur SSL communs Les messages d'erreur SSL communs sont les suivants : Message 1 ACE_SSL (2372 | 1656) error code: 336151576 - error:14094418:SSL routines:SSL3_READ_BYTES:tlsvl alert unknown ca Failed to register in the CORBA services. Explication : Le serveur de l'interface utilisateur graphique ne parvient pas à résoudre un Naming Service sécurisé. Le paramètre -SSLCAfile n'est pas spécifié dans le fichier de configuration TAO ou pointe vers un emplacement non valide. Action corrective : Déterminez ce qui a provoqué l'erreur et corrigez le problème. Message 2 ACE_SSL (3632|2580) error code: 336134278 - error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed Failed to register in the CORBA services. Explication : Le serveur de l'interface utilisateur graphique ne parvient pas à résoudre un Naming Service sécurisé pour l'une des raisons suivantes : 40 Control-M Workload Automation Guide de SSL Le paramètre -SSLCAfile n'est pas spécifié dans le fichier de configuration TAO. Le paramètre -SSLCAfile pointe vers un emplacement non valide. Le fichier CA PEM (new_ca.pem) est corrompu. Le fichier CA PEM (new_ca.pem) ne correspond pas aux certificats utilisés. Action corrective : Déterminez ce qui a provoqué l'erreur et corrigez le problème. Message 3 Failed to register in the CORBA services. Explication : Une tentative de connexion à un Naming Service non sécurisé a été effectuée. Action corrective : Vérifiez que la tentative de connexion concerne un Naming Service sécurisé et vérifiez que le Naming Service a été démarré en tant que Naming Service sécurisé. Message 4 ClientServerSSL.ini was not found at D:\ Program Files\BMC Software\Control-M EM 7.0.00\Default\ini\ssl dynamic initialization failed for SSLIOP_Factory (3868|2956) Unable to initialize the Service Configurator: Invalid argument Failed to register in the CORBA services. Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier ClientServerSSL.ini est introuvable dans le répertoire <Control-M/EM_directory>/ini/ssl. Action corrective : Vérifiez que le fichier ClientServerSSL.ini se situe dans le répertoire <Control-M/EM_directory>/ini/ssl. Message 5 Password decryption error.Key string file may be corrupted.: Unknown error dynamic initialization failed for SSLIOP_Factory (1556|2364) Unable to initialize the Service Configurator: Invalid argument Failed to register in the CORBA services. Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier ClientServerSSL.ini est corrompu ou contient un mot de passe qui a été chiffré à l'aide d'une clé incorrecte. Action corrective : Vérifiez que le fichier ClientServerSSL.ini n'est pas corrompu et contient un mot de passe correctement chiffré. Message 6 dynamic initialization failed for SSLIOP_Factory (3868|3820) Unable to initialize the Service Configurator: Invalid argument Failed to register in the CORBA services. Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le certificat de la clé privée ou publique est introuvable. Réponse de l'utilisateur : Vérifiez que le paramètre -SSLPrivateKey pointe vers le fichier contenant la clé privée. Vérifiez que le paramètre -SSLCertificate pointe vers le fichier contenant la clé publique. Lors de l'utilisation des certificats de démonstration, les valeurs par défaut sont : -SSLPrivateKey 'PEM:/home/ctm_em/ini/ssl/CertDemoU_pk.pem' 41 Control-M Workload Automation Guide de SSL -SSLCertificate'PEM:/home/ctm_em/ini/ssl/CertDemoU.pem'" Message 7 TAO (2196|3224) Service Configurator unable to open file be D:\ Program Files\BMC Software\Control-M EM 7.0.00\Default\ini\ssl (2196|3224) Unable to initialize the Service Configurator: Invalid argument Failed to register in the CORBA services. Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier de configuration référencé dans le paramètre -ORBSvcConf est introuvable. Pour plus d'informations, voir l'exemple dans Stockage des certificats pour TAO (à la page 38). Action corrective : Vérifiez que le fichier pointé existe à l'emplacement spécifié. Exceptions CORBA::TRANSIENT Pourquoi obtiens-je une exception « CORBA::TRANSIENT » lorsque j'utilise SSLIOP ? Une exception « CORBA::TRANSIENT » indique généralement que le client n'a pas pu se connecter au serveur lorsqu'il a tenté d'appeler une requête. Pour l'IIOP standard, ceci se produit normalement lorsque le client ne peut pas résoudre le nom d'hôte intégré dans l'IOR ou ne peut pas atteindre l'adresse IP spécifiée. Dans le cas de SSLIOP, une exception CORBA::TRANSIENT peut être également lancée lorsque les certificats utilisés ne sont pas valides (par exemple, expirés), ou que le certificat de l'autorité de certification n'a pas été défini. Configuration de NamingViewer (navigateur de Naming Service) L'utilitaire NamingViewer prend en charge la navigation des Naming Services sécurisés qui utilisent SSL avec l'implémentation JacORB de CORBA. Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties, du répertoire suivant : <Control-M/EM_directory>/etc/jacorb.properties Pour activer la navigation des Naming Services sécurisés avec SSL : 1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on. 2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier jacorb.properties (pour l'implémentation IBM JSSE) : jacorb.security.jsse.server.key_manager_algorithm=IbmX509 jacorb.security.jsse.server.trust_manager_algorithm=IbmX509 jacorb.security.jsse.client.key_manager_algorithm=IbmX509 jacorb.security.jsse.client.trust_manager_algorithm=IbmX509 La valeur par défaut pour tous les paramètres ci-dessus est SunX509 (implémentation Sun JSSE). 42 Control-M Workload Automation Guide de SSL Pour parcourir des Naming Services non sécurisés : 1. Modifiez le fichier jacorb.properties manuellement. 2. Définissez le paramètre jacorb.security.support_ssl sur off. Utiliser votre propre mot de passe chiffré Le mot de passe keystore des certificats de démonstration n'est pas chiffré. Pour utiliser un mot de passe chiffré, exécutez l'utilitaire changePass comme suit : (UNIX) changePass dans le répertoire <Control-M/EM_directory>/bin (Windows) changePass dans le répertoire <Control-M/EM_directory>\bin L'utilitaire accepte un mot de passe keytool, le chiffre et met à jour les paramètres jacorb.security.keystore et jacorb.security.keystore_password_crypt dans le fichier jacorb.properties. REMARQUE : Si vous configurez le fichier <Control-M/EM_directory>/etc/jacorb.properties afin d'utiliser SSL, pour ne pourrez pas naviguer dans les Naming Services non sécurisé. Configuration de l'API Control-M/EM JacORB Les paramètres SSL pour JacORB se trouvent dans le fichier jacorb.properties. Ce fichier se trouve dans le répertoire Control-M/Enterprise Manager : <EM API>/etc/keystore Ces paramètres sont décrits dans Paramètres de JacORB (à la page 44). Pour configurer les API Control-M/EM afin qu'ils utilisent le protocole SSL : 1. Exécutez emapi-configure avec l'option -ssl, ou modifiez manuellement le fichier jacorb.properties comme suit : a. Définissez le paramètre jacorb.security.support_ssl sur on. b. Définissez le paramètre ORBInitRef.NameService sur corbaloc:ssliop:ns_host:ns_port/NameService (remplacez ns_host et ns_port par les valeurs correctes). Pour plus d'informations sur emapi-configure, voir Installation de l'API Control-M/EM. 2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier jacorb.properties (pour l'implémentation IBM JSSE) : jacorb.security.jsse.server.key_manager_algorithm=IbmX509 jacorb.security.jsse.server.trust_manager_algorithm=IbmX509 jacorb.security.jsse.client.key_manager_algorithm=IbmX509 jacorb.security.jsse.client.trust_manager_algorithm=IbmX509 La valeur par défaut pour tous les paramètres est SunX509 (implémentation Sun JSSE). Le fichier jacorb.properties se situe dans le répertoire suivant : <EM API>/etc/jacorb.properties 43 Control-M Workload Automation Guide de SSL Pour configurer les API Control-M/EM afin qu'ils utilisent le protocole TCP/IP : Exécutez emapi-configure sans l'option -ssl, ou modifiez manuellement le fichier jacorb.properties comme suit : a. Définissez le paramètre jacorb.security.support_ssl sur off. b. Définissez le paramètre ORBInitRef.NameService sur corbaloc:iiop:ns_host:ns_port/NameService (remplacez ns_host et ns_port par les valeurs correctes). Paramètres de JacORB Le tableau suivant décrit les paramètres de JacORB. Paramètres SSL pour JacORB dans le fichier jacorb.properties Paramètre Description jacorb.security.support_ssl Détermine si SSL est activé. Valeurs valides : on (utilise le protocole SSL), off (utilise le protocole TCP/IP). Valeur par défaut : off. jacorb.security.keystore Contient le chemin d'accès complet et le nom du fichier keystore. jacorb.security.keystore_ password Contient le mot de passe du fichier keystore. jacorb.security.keystore_ password_crypt Indique si le mot de passe du fichier keystore est chiffré. Valeurs valides : on (oui), off (non). Par défaut : off. Traitement des certificats SSL avec JacORB L'application est fournit avec un certificat CA et des certificats d'application par défaut au format de la base de données de clés (keystore) pour utilisation avec JacORB. Les valeurs de paramètre par défaut pour les certificats de démonstration sont : jacorb.security.keystore=emapi_root/etc/keystore/emapi.keystore jacorb.security.keystore_password=emdemo jacorb.security.keystore_password_crypt=off Ces paramètres se trouvent dans le fichier jacorb.properties. REMARQUE : Pour plus d'informations sur les certificats, voir Traitement des certificats et Expiration du certificat (à la page 40). 44 Control-M Workload Automation Guide de SSL Création d'une base de données de clés SSL Les procédures suivantes décrivent comment implémenter des clés et certificats sur tout composant utilisant l'utilitaire sslcmd. L'exécution séparée des fonctions sslcmd pour chaque composant Control-M améliore la sécurité si les utilisateurs de chaque composant ne peuvent pas accéder aux bases de données de clés des autres composants. La copie des clés et certificats sur les autres composants Control-M minimise l'effort requis pour maintenir les bases de données de clés SSL. REMARQUE : Les exemples sslcmd sont basés sur une base de données et des données de certificat hypothétiques. N'utilisez pas ces données dans un environnement de production. Menu sslcmd (à la page 45) Flux de travaux recommandé utilisant le menu sslcmd (à la page 46) Configuration d'un certificat signé pour une base de données de clés non Java (KDB) (à la page 48) Configuration d'un certificat signé pour un keystore Java (à la page 56) Menu sslcmd Si vous n'utilisez pas l'assistant de génération des certificats de composant, vous pouvez effectuer la majorité du travail avec les clés et certificats dans le menu sslcmd. Vous pouvez accéder au menu en exécutant l'utilitaire sslcmd à partir de la ligne de commande. Le tableau suivant fournit un aperçu des options de menu : Options de l'utilitaire sslcmd Option Fonction Description 1 Générer clé Générer des paires de clés publique-privée (à la page 50) 2 Ajouter CA Installation d'un certificat d'autorité racine approuvé (à la page 48) 3 Générer CSR Création d'une demande de signature de certificat (à la page 51) 4 Ajouter cert Installation du certificat signé (à la page 52) 5 Lister clés 6 Supprimer clé 7 Lister certs Générer des paires de clés publique-privée (à la page 50) Supprimer une paire de clés publique-privée et un certificat (voir Maintenance des certificats) Répertorier les certificats signés* 8 Lister CA Répertorier les certificats trouvés dans la base de données de clés SSL* 9 Afficher CA Afficher les informations sur les certificats de CA (voir Maintenance des certificats) 45 Control-M Workload Automation Guide de SSL Option Fonction Description 10 Supprimer CA Supprimer un certificat racine approuvé (voir Maintenance des certificats) 11 Ajouter CRL Installer une nouvelle liste de révocation de certificat (CRL) (voir Maintenance des certificats) 12 Modifier mot de passe KDB Modifier le mot de passe de la base de données de clés (voir Maintenance des certificats) 13 Ajouter mot de passe libellé Ajouter un mot de passe libellé* 14 Répertorier mot de passe libellé Répertorier les mots de passe libellés* 15 Supprimer mot de passe libellé Supprimer les mots de passe libellés* 16 Importer paire de clés Importer une paire de clés* 17 Exporter paire de clés Exporter une paire de clés (voir Maintenance des certificats) 18 Modifier libellé de paire de clés Modifier le libellé d'une paire de clés* 19 Quitter Quitter l'utilitaire sslcmd * Non pris en charge. Flux de travaux recommandé utilisant le menu sslcmd Le tableau suivant répertorie le processus recommandé pour configurer et maintenir les clés et certificats signés lors de l'utilisation du menu sslcmd. Résumé des tâches : implémentation des clés et certificats signés Processus Tâches spécifiques Créer une base de données de clés SSL Créer une base de données de clés SSL (voir ci-dessous) Configurer un certificat signé (Base de données non Java) Installation d'un certificat d'autorité racine approuvé (à la page 48) Générer des paires de clés publique-privée (à la page 50) Création d'une demande de signature de certificat (à la page 51) 46 Control-M Workload Automation Guide de SSL Processus Tâches spécifiques Installation du certificat signé (à la page 52) Configurer un certificat signé (Kestore Java) Générer des paires de clés publique-privée (à la page 57) Création d'une demande de signature de certificat (à la page 57) Installation d'un certificat d'autorité racine approuvé (à la page 57) Installation du certificat signé (à la page 57) Créer des fichiers de base de données de clés Créer des fichiers de base de données de clés pour Options de configuration SSL de Control-M/EM (à la page 34), Control-M/Server (à la page 33) et Control-M/Agent (à la page 34) Exécution de la maintenance Afficher les informations sur les certificats de CA (voir Maintenance des certificats (à la page 57)) Supprimer un certificat racine approuvé (voir Maintenance des certificats (à la page 57)) Supprimer une paire de clés publique-privée et un certificat Maintenance des certificats (à la page 57)) Installer une nouvelle liste de révocation de certificat (CRL) (voir Maintenance des certificats (à la page 57)) Modifier le mot de passe de la base de données de clés (voir Maintenance des certificats (à la page 57)) Exporter une paire de clés (voir Maintenance des certificats (à la page 57)) Pour créer une base de données de clés SSL : 1. Dans la ligne de commande du répertoire dans lequel vous voulez que la base de données se trouve, saisissez sslcmd -k keyfile_name, en remplaçant keyfile_name par le nom de la base de données de clés à créer. Un message indiquant que le fichier est introuvable s'affichera car la nouvelle base de données n'existe pas encore. 2. Saisissez un mot de passe (huit caractères ou plus) pour la nouvelle base de données. 3. Lorsque vous y êtes invité, saisissez à nouveau le mot de passe. Une base de données de clés avec le nom spécifié est créée. Le menu de l'utilitaire sslcmd affiche les actions que vous pouvez effectuer avec la nouvelle base de données de clés. 47 Control-M Workload Automation Guide de SSL REMARQUE : Après la création de la base de données de clés, utilisez toujours le même nom de fichier keyfile sur la ligne de commande sslcmd. La base de données est accessible uniquement en utilisant le mot de passe que vous avez spécifié. Configuration d'un certificat signé pour une base de données de clés non Java (KDB) Pour travailler dans l'environnement Control-M/EM Server, vous devez configurer un keystore Java et un kestore non Java. Cette procédure décrit comment configurer un kestore non Java. La configuration d'un certificat signé pour un keystore non Java inclut les procédures suivantes : Installation d'un certificat d'autorité racine approuvé (à la page 48) Générer des paires de clés publique-privée (à la page 50) Création et installation du certificat signé (à la page 51) Création d'une demande de signature de certificat (à la page 51) Installation du certificat signé (à la page 52) Lorsque vous avez terminé les étapes ci-dessus, passez à Configuration d'un certificat signé pour un keystore Java (à la page 56). Installation d'un certificat d'autorité racine approuvé Pour utiliser SSL, vous devez obtenir un certificat d'autorité racine approuvé (CA) d'une organisation qui valide les certificats numériques utilisés dans les transactions en ligne. Un certificat est validé par une hiérarchie de CA qui approuvent le certificat. La dernière CA de la chaîne est l'autorité de certification racine approuvée. Avant de commencer Obtenez un certificat racine approuvé auprès d'une autorité de signature de certificat (CSA). Les instructions sont les suivantes : Sélectionnez une CSA publique ou privée et déterminez comment elle émet des certificats avant de commencer à utiliser ce produit. Utilisez la clé publique de la CSA lorsque vous demandez le certificat de ce produit. Le certificat numérique de la CSA peut être utilisé pour authentifier les certificats validés par cette CA. Les certificats SSL doivent être au format X.509 PEM (Privacy-Enhanced Mail). Si votre certificat est dans un autre format, convertissez-le au format X.509 PEM. Par exemple, pour convertir un certificat Microsoft au format X.509 PEM, utilisez les outils INETSDK Microsoft. Pour installer un certificat d'autorité racine approuvé : 1. Dans le menu sslcmd, sélectionnez l'option 2 Add CA (Ajouter CA). 2. Entrez le chemin complet et le nom du fichier pour le certificat de la CA. 48 Control-M Workload Automation Guide de SSL Le certificat de la CA est installé dans la base de données de clés et un message de vérification similaire à celui-ci s'affiche. -----BEGIN CERTIFICATE----MIICSDCCAfKgAwIBAgIQLMQ4SxAAEo8R0uLgqRaB1DANBgkqhkiG9w0BAQQFADCB hTELMAkGA1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMRAwDgYDVQQHEwdIb3VzdG9u MRUwEwYDVQQKEwxCTUMgU29mdHdhcmUxDzANBgNVBAsTBldFQkRFVjEsMCoGA1UE AxMjV1dXUUEgVGVzdGluZyBDZXJ0aWZpY2F0ZSBBdXRob3JpdHkwHhcNOTkwMzI1 MTg0NDE0WhcNMDQwMzI1MTg0NDE0WjCBhTELMAkGA1UEBhMCVVMxDjAMBgNVBAgT BVRleGFzMRAwDgYDVQQHEwdIb3VzdG9uMRUwEwYDVQQKEwxCTUMgU29mdHdhcmUx DzANBgNVBAsTBldFQkRFVjEsMCoGA1UEAxMjV1dXUUEgVGVzdGluZyBDZXJ0aWZp Y2F0ZSBBdXRob3JpdHkwXDANBgkqhkiG9w0BAQEFAANLADBIAkEAlRjFdJsiLN82 7lSwm7vcby/CdkGt5oE6GRSNlU/tfyEKGR4bzs1M+WO0SVemtOewcV2YiTzWgAr+ nEc0y+qGjQIDAQABozwwOjALBgNVHQ8EBAMCAMQwDAYDVR0TBAUwAwEB/zAdBgNV HQ4EFgQUnwn4N+0AnUpVkzFTgHuhQuAElCUwDQYJKoZIhvcNAQEEBQADQQBr/i2j ArvbTJfmeTld8bzsPlakDZbmL7Hcud4etJezq4XNSwlDZ5LuqfX7ACBrfs53R9BY ecwZM0M3sfKuAoRT -----END CERTIFICATE----WWWQA Testing Certificate Authority Command Add CA successful Enter to proceed 3. Dans le menu sslcmd, sélectionnez l'option 8 List CA (Répertorier CA) pour répertorier les certificats qui se trouvent dans la base de données de clés SSL. 4. Vérifiez que le certificat installé s'affiche dans la liste de résultats, qui doit ressembler à la sortie suivante : ***CA number 1, Label Compiled Trusted Root Subject Distinguished Name: OU=Class 3 Public Primary Certification Authority,O="VeriSign, Inc.",C=US ***CA number 2, Label Compiled Trusted Root Subject Distinguished Name: OU=Commercial Certification Authority,O="RSA Data Security, Inc.",C=US ***CA number 3, Label Compiled Trusted Root Subject Distinguished Name: OU=Secure Server Certification Authority,O="RSA Data Security, Inc.",C=US 49 Control-M Workload Automation Guide de SSL ***CA number 4, Label Compiled Trusted Root Subject Distinguished Name: OU=Secure Server Certification Authority,O="RSA Data Security, Inc.",C=US Command List CA successful Générer des paires de clés publique-privée Une paire de clés cryptographiques est un ensemble de deux clés cryptographiques (une publique et une privée) utilisée pour démarrer une session SSL session. Avant de demander un certificat depuis la CA, vous devez utiliser cette procédure pour générer une paire de clés cryptographiques et assigner cette paire de clés à un nouveau certificat. Pour générer une paire de clés publique-privée pour un certificat : 1. Dans le menu sslcmd, sélectionnez l'option 1 Generate key (Générer clé) pour générer une paire de clés publique-privée. 2. À l'invite Enter Identity (Entrer l'identité), saisissez un ID d'alias qui identifie la paire de clés publique-privée. Pour obtenir une liste des ID d'alias pour les paires de clés publique-privée, voir Emplacements des ID d'alias pour les paires de clés publique-privée (à la page 50). 3. À l'invite Enter keypair type (Saisir le type de paire de clés), appuyez sur Entrée (ou n'importe quelle touche sauf D) pour spécifier la RSA [12 (par défaut) | 1024 | 2048 | 3072 | 4096].. 4. Saisissez la longueur de la clé en bits (512 ou 1024). Si la paire de clés est générée avec succès, le message suivant s'affiche : Command Generate key successful 5. Dans le menu sslcmd, sélectionnez l'option 5 List keys (Répertorier clés) pour vérifier que la paire de clés s'affiche. Pour chaque paire de clés publique-privée, l'utilitaire répertorie l'alias affecté au certificat qui utilise cette paire de clés. 50 Control-M Workload Automation Guide de SSL Emplacements des ID d'alias pour les paires de clés publique-privée Les noms d'alias par défaut suivants sont spécifiés dans le fichier UNIX .plc ou le registre Microsoft Windows : Emplacements des ID d'alias pour les paires de clés publique-privée Pour une communication depuis Emplacement Control-M/Server vers Control-M/Agent NSDN est spécifié dans le fichier ns.plc. Control-M/Server vers Control-M/EM CODN est spécifié dans le fichier co.plc. Control-M/Server Configuration Agent vers Con\-trol-M Configuration Server CADN est spécifié dans le fichier ca.plc. Control-M/Agent vers Control-M/Server AGDN est spécifié dans le fichier ag.plc. Control-M/EM vers Control-M/Server CODN est spécifié dans le fichier gtw.plc. Control-M/EM vers Control-M Configuration Agent CADN est spécifié dans le fichier cmsg.plc. Création et installation du certificat signé Une demande de signature de certificat (CSR) est un document qui demande à une CA de lier les informations associées dans un certificat et de la signer avec la signature numérique de l'autorité. Après la validation, le certificat est un certificat d'identification valide. L'installation du certificat dans la base de données de clés met le certificat à disposition d'un composant Control-M. Exécutez les tâches de cette section pour installer le certificat : Création d'une demande de signature de certificat (à la page 51) Installation du certificat signé (à la page 52) REMARQUE : Vous devez installer le certificat d'autorité racine approuvé dans la base de données avant d'installer un certificat signé par lui. 51 Control-M Workload Automation Guide de SSL Création d'une demande de signature de certificat Cette procédure décrit comment supprimer une demande de signature. Pour créer une demande de signature de certificat : 1. Dans le menu sslcmd, sélectionnez l'option 3 Generate CSR (Générer CSR). 2. Entrez le chemin de sortie et le nom du fichier pour le CSR généré. 3. Dans Enter alias name (Saisir le nom d'alias), saisissez le nom spécifié pour Enter identity (Saisir une identité). Ce nom de paire de clés publique-privée doit être identique au nom du fichier de la base de données de clés que vous utilisez. 4. Répondez à la demande de données sur le nom distinctif (DN) du nouveau certificat. Le DN est un nom hiérarchique qualifié complet qui identifie de manière unique l'entité authentifiée par un certificat. Son LDAP (Lightweight Directory Access Protocol) utilise des attributs pour structurer les données dans un répertoire ou espace de nom. Informations sur le nom distinctif Invite Description de la valeur demandée Country Code pays à deux caractères du pays dans lequel l'entité réside State État ou région où l'entité réside Locality Localité ou lieu où l'entité réside Name (Nom) Organisation à laquelle l'entité appartient Unité Unité organisationnelle à laquelle l'entité appartient Common Name Nom de l'entité que vous certifiez E-mail Address Destination (s'il y en a plusieurs, séparées par des virgules) à laquelle les certificats signés doivent être envoyés Les variables DENY_ACL et ALLOW_ACL du sous-système de sécurité étendu BMC utilisent cette valeur. Définir cette valeur sur * (astérisque) autorise l'envoi des certificats signés à toutes les adresses e-mail. Pour de plus amples informations, voir Accéder aux fichiers. Un message vous informe lorsque la CSR est générée avec succès. Installation du certificat signé Cette procédure décrit comment installer le certificat signé. Lorsque vous avez terminé cette procédure, passez à Configuration d'un certificat signé pour un keystore Java (à la page 56). 52 Control-M Workload Automation Guide de SSL Pour installer le certificat signé : 1. Si un certificat n'est pas au format X.509, utilisez un programme de traduction pour le convertir. 2. Dans le menu sslcmd, sélectionnez l'option 4 Add cert (Ajouter certificat) pour ajouter un certificat numérique à la base de données de clés SSL. 3. Entrez le chemin complet et le nom du fichier pour le certificat numérique. Le certificat est installé dans la base de données de clés. Des lignes semblables à la sortie suivante sont affichées : -----BEGIN CERTIFICATE----MIID5TCCA4+gAwIBAgIIZfuEvAAADDAwDQYJKoZIhvcNAQEEBQAwgYUxCzAJBgNV BAYTAlVTMQ4wDAYDVQQIEwVUZXhhczEQMA4GA1UEBxMHSG91c3RvbjEVMBMGA1UE ChMMQk1DIFNvZnR3YXJlMQ8wDQYDVQQLEwZXRUJERVYxLDAqBgNVBAMTI1dXV1FB IFRlc3RpbmcgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTAzMDQzMDEwMTg1MloX DTA0MDMyNTE4NDQxNFowejEoMCYGCSqGSIb3DQEJARYZdGVjaG5pY2FsX3N1cHBv cnRAYm1jLmNvbTELMAkGA1UEBhMCSUwxFjAUBgNVBAcTDUtpcmlhdCBBdGlkaW0x DDAKBgNVBAoTA0JNQzEMMAoGA1UECxMDTVBNMQ0wCwYDVQQDEwROU0ROMFowDQYJ KoZIhvcNAQEBBQADSQAwRgJBAOU2fcKSIHJZ10dsWGl62vuhLFD/YcLZ+6KVdHko rldjJpGvwyUuj/nGWcqPp40AsmJAUSuC+NSbX5J7rnYjuVcCAQOjggHtMIIB6TCB wQYDVR0jBIG5MIG2gBSfCfg37QCdSlWTMVOAe6FC4ASUJaGBi6SBiDCBhTELMAkG A1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMRAwDgYDVQQHEwdIb3VzdG9uMRUwEwYD VQQKEwxCTUMgU29mdHdhcmUxDzANBgNVBAsTBldFQkRFVjEsMCoGA1UEAxMjV1dX UUEgVGVzdGluZyBDZXJ0aWZpY2F0ZSBBdXRob3JpdHmCECzEOEsQABKPEdLi4KkW gdQwgbEGA1UdHwSBqTCBpjBQoE6gTIZKaHR0cDovL0tFTk5FTlBDL0NlcnRTcnYv Q2VydEVucm9sbC9XV1dRQSBUZXN0aW5nIENlcnRpZmljYXRlIEF1dGhvcml0eS5j cmwwUqBQoE6GTGZpbGU6Ly9cXEtFTk5FTlBDXENlcnRTcnZcQ2VydEVucm9sbFxX V1dRQSBUZXN0aW5nIENlcnRpZmljYXRlIEF1dGhvcml0eS5jcmwwbwYIKwYBBQUH AQEEYzBhMF8GCCsGAQUFBzAChlNodHRwOi8vS0VOTkVOUEMvQ2VydFNydi9DZXJ0 RW5yb2xsL0tFTk5FTlBDX1dXV1FBIFRlc3RpbmcgQ2VydGlmaWNhdGUgQXV0aG9y aXR5LmNydDANBgkqhkiG9w0BAQQFAANBAIN0KGCUr2TnhvLMPcA21IMCNfLRIqq+ 35OZLHGHijOL0c8TebXP3h7ora+ddgIhCM7eqyEmOUqjfX+szZyl5fQ= -----END CERTIFICATE----Command Add cert successful 53 Control-M Workload Automation Guide de SSL 4. Dans le menu sslcmd, sélectionnez l'option 7 List keys (Répertorier clés) pour répertorier les certificats numériques qui se trouvent dans la base de données de clés SSL. L'alias affecté à chaque certificat signé s'affiche dans la sortie, qui ressemble à ces données : ***Label 0: NSDN Subject Distinguished Name: CN=NSDN,OU=MPM,O=BMC,L=Costa Mesa,ST=California,C=US,[email protected] Issuer Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Certificate Serial=202f8ad900000733 RSA public key length: 512 bits Valid Begin: Tue Feb 26 07:57:18 2002 Valid End: Thu Feb 26 07:57:18 2004 Statut : REVOCATION UNKNOWN The following Certificate Extensions exist: Authority Key Identifier OID: 551d23 Criticality Bit: Off ... Data: 4b 45 6c 6c 20 43 74 30 4e 2f 65 61 4e 4b 72 30 45 45 74 5f 4e 4e 69 06 50 4e 66 08 43 45 69 2b 2f 4e 63 06 43 50 61 01 65 43 74 05 72 5f 65 05 74 57 20 07 53 57 41 30 72 57 75 02 76 51 74 86 2f 41 68 53 43 20 6f 68 65 54 72 Subject Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Issuer Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4 RSA public key length: 512 bits Valid Begin: Thu Mar 25 20:44:14 1999 Valid End: Thu Mar 25 20:44:14 2004 Statut : TRUSTED_ROOT 54 74 72 65 69 74 74 73 74 70 45 74 79 3a 6e 69 2e 2f 72 6e 63 2f 6f 67 72 Control-M Workload Automation Guide de SSL The following Certificate Extensions exist: Key Usage OID: 551d0f Criticality Bit: Off Data: 03 02 00 c4 Basic Constraints OID: 551d13 Criticality Bit: Off Data: 30 03 01 01 ff Subject Key Identifier OID: 551d0e Criticality Bit: Off Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25 ***Label 1: CODN Subject Distinguished Name: CN=CODN,OU=MPM,O=BMC,L=Costa Mesa,ST=California,C=US,[email protected] Issuer Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Certificate Serial=2030934100000734 RSA public key length: 512 bits Valid Begin: Tue Feb 26 07:58:26 2002 Valid End: Thu Feb 26 07:58:26 2004 Statut : REVOCATION UNKNOWN The following Certificate Extensions exist: Authority Key Identifier OID: 551d23 Criticality Bit: Off ... Subject Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Issuer Distinguished Name: 55 Control-M Workload Automation Guide de SSL CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4 RSA public key length: 512 bits Valid Begin: Thu Mar 25 20:44:14 1999 Valid End: Thu Mar 25 20:44:14 2004 Statut : TRUSTED_ROOT The following Certificate Extensions exist: Key Usage OID: 551d0f Criticality Bit: Off Data: 03 02 00 c4 Basic Constraints OID: 551d13 Criticality Bit: Off Data: 30 03 01 01 ff Subject Key Identifier OID: 551d0e Criticality Bit: Off Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25 Command List certs successful Enter to proceed Configuration d'un certificat signé pour un keystore Java Pour travailler dans l'environnement Control-M/EM Server, vous devez configurer un keystore Java et un keystore non Java. Cette procédure décrit comment configurer un kestore Java. Avant de poursuivre, vous devez commencer par Configuration d'un certificat signé pour une base de données de clés non Java (KDB) (à la page 48). La configuration d'un certificat signé pour un kestore Java inclut les procédures suivantes : Générer des paires de clés publique-privée (à la page 57) Création d'une demande de signature de certificat (à la page 57) Installation du certificat signé (à la page 57) Installation du certificat signé (à la page 57) 56 Control-M Workload Automation Guide de SSL Générer des paires de clés publique-privée Une paire de clés cryptographiques est un ensemble de deux clés cryptographiques (une publique et une privée) utilisée pour démarrer une session SSL session. Avant de demander un certificat depuis la CA, vous devez utiliser cette procédure pour générer une paire de clés cryptographiques et assigner cette paire de clés à un nouveau certificat. keytool -genkey -alias CEDN -keyalg RSA -keystore ctmkey.jks -keysize (nombre de bits par exemple, 1 024) Création d'une demande de signature de certificat Cette procédure décrit comment supprimer une demande de signature. Suivez les invites à l'écran. keytool -certreq -v -alias CEDN -file req.csr -keystore ctmkey.jks Installation d'un certificat d'autorité racine approuvé Pour utiliser SSL, vous devez obtenir un certificat d'autorité racine approuvé (CA) d'une organisation qui valide les certificats numériques utilisés pour les transactions en ligne. Un certificat est validé par une hiérarchie de CA qui approuvent le certificat. La dernière CA de la chaîne est l'autorité de certification racine approuvée. keytool -importcert -trustcacerts -alias CA -file cacert.pem -keystore ctmkey.jks -storepass abcd1234 -noprompt (Importer CA dans JKS) Installation du certificat signé keytool -import -v -alias CEDN -file cert.pem -keystore ctmkey.jks (Importer le certificat signé dans JKS) Chapitr e Maintenance des certificats Les sections suivantes décrivent les fonctions de l'utilitaire sslcmd pour la gestion des certificats. Affichage des informations sur les certificats (à la page 58) Suppression d'un certificat d'autorité racine approuvé (à la page 59) Suppression d'une paire de clés publique-privée et d'un certificat (à la page 59) Installation d'une nouvelle liste de révocation de certificat (CRL) (à la page 60) Modifier le mot de passe de la base de données clé (à la page 60) REMARQUE : Les modifications apportées à la base de données de clés, au mot de passe de la base de données de clés et à la configuration des règles de sécurité prennent effet après le redémarrage de Control-M/Server, Control-M/Agent et Control-M/EM. 57 Control-M Workload Automation Guide de SSL Affichage des informations sur les certificats Cette procédure décrit comment afficher les informations suivantes sur les certificats de CA : Numéro de série du certificat Longueur de la clé Période de validité Extensions du certificat Pour afficher les informations sur les certificats de CA : 1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). 2. Dans le menu principal ssclmd, sélectionnez 9 View CA (Afficher les CA) pour afficher un certificat de CA dans la base de données de clés. Le numéro du certificat de CA vous est demandé. Une fois les données affichées, me message, Command View CA successful indique que l'affichage est termine. Des données semblables aux suivantes s'affichent : Enter CA number to view:1 ***CA number 1, Label unknown Subject Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Subject Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Issuer Distinguished Name: CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC Software,L=Houston,ST=Texas,C=US Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4 RSA public key length: 512 bits Valid Begin: Thu Mar 25 20:44:14 1999 Valid End: Thu Mar 25 20:44:14 2004 Statut : TRUSTED_ROOT The following Certificate Extensions exist: Key Usage OID: 551d0f Criticality Bit: Off Data: 03 02 00 c4 Basic Constraints OID: 551d13 Criticality Bit: Off 58 Control-M Workload Automation Guide de SSL Data: 30 03 01 01 ff Subject Key Identifier OID: 551d0e Criticality Bit: Off Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25 Command View CA successful Enter to proceed Suppression d'un certificat d'autorité racine approuvé Cette procédure décrit comment supprimer un certificat d'autorité racine approuvé. Pour supprimer un certificat d'autorité racine approuvé : 1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). REMARQUE : Pour répertorier tous les certificats (y compris les numéros de certificat) dans la base de données de clés SSL, sélectionnez l'option 8 List CA (Répertorier les CA) dans le menu sslcmd. 2. Dans le menu principal ssclmd, sélectionnez 10 Delete CA (Supprimer les CA) pour générer une invite suivie par une invite de confirmation. Entrez le numéro de certificat que vous voulez supprimer. Enter CA number:1 Confirm deletion of:1 (Y/N):y Command Delete CA successful Le message Command Delete CA successful s'affiche lorsque le certificat est supprimé avec succès. Suppression d'une paire de clés publique-privée et d'un certificat Cette procédure décrit comment supprimer une paire de clés publique-privée et un certificat. Supprimer une paire de clés publique-privée supprime automatiquement le certificat associé Pour supprimer une paire de clés publique-privée et un certificat : 1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). 2. Dans le menu principal sslcmd, sélectionnez l'option 6 Delete key (Supprimer la clé). Une invite et une demande de confirmation du nom d'alias de la paire de clés que vous voulez supprimer s'affichent : Enter alias name:CODN Confirm deletion of:CODN (Y/N):y Command Delete key successful 3. Entrez le nom d'alias de la paire de clés à supprimer dans la base de données de clés SSL. Le message Command Delete key successful indique que la paire de clés et le certificat associé ont été supprimés avec succès. 59 Control-M Workload Automation Guide de SSL Installation d'une nouvelle liste de révocation de certificat (CRL) Cette procédure décrit comment installer une liste de révocation de certificat (CRL). Pour installer une liste de révocation de certificat (CRL) : 1. Obtenez la nouvelle CRL à partir de la CA approuvée. 2. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). 3. Dans le menu principal sslcmd, sélectionnez 11 Add CRL (Ajouter une CRL). Vous êtes invité à saisir le nouveau nom du fichier CRL. Entrez le nom de fichier de la CRL que vous voulez installer. Un message semblable à celui s'affiche : Enter crl file name ctm.crl -----BEGIN X509 CRL----MIICEjCCAXsCAQEwDQYJKoZIhvcNAQEEBQAwgYkxCzAJBgNVBAYTAkZKMQ0wCwYD VQQIEwRGaWppMQ0wCwYDVQQHEwRTdXZhMQ4wDAYDVQQKEwVTT1BBQzEMMAoGA1UE CxMDSVRVMRYwFAYDVQQDEw1TT1BBQyBSb290IENBMSYwJAYJKoZIhvcNAQkBFhdh ZG1pbmlzdHJhdG9yQHNvcGFjLm9yZxcNMDIwNTEwMDI1NTQxWhcNMDIwNTE3MDI1 NTQxWqCBvDCBuTCBtgYDVR0jBIGuMIGrgBQ6oBOW0mqGuX8tVL5QO9PxpOxRr6GB j6SBjDCBiTELMAkGA1UEBhMCRkoxDTALBgNVBAgTBEZpamkxDTALBgNVBAcTBFN1 dmExDjAMBgNVBAoTBVNPUEFDMQwwCgYDVQQLEwNJVFUxFjAUBgNVBAMTDVNPUEFD IFJvb3QgQ0ExJjAkBgkqhkiG9w0BCQEWF2FkbWluaXN0cmF0b3JAc29wYWMub3Jn ggEAMA0GCSqGSIb3DQEBBAUAA4GBAJTHD+rITdqtTFV7bcinmtAqUaYbgADvHfwW WXt5BDe9no2t0C6N637BxELfm6FAlsiOuN1y136d8lJAf0qbWDJcT+iF7EvlyBM8 gUYC1J8Q6AJ8X/x2fcslW1HR9+lNKMSsdZmM0J/rjqxSpMsOnDIa3zbqtvFzCNjl WQXbXCys -----END X509 CRL----Command Add CRL successful La CRL nommée est ajoutée à la base de données de clés SSL. 60 Control-M Workload Automation Guide de SSL Modifier le mot de passe de la base de données clé Cette procédure décrit comment modifier le mot de passe de la base de données de clés. Pour modifier le mot de passe de la base de données des clés : 1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). Les répertoires SSL pour UNIX sont : • Pour Control-M/EM : <Control-M/EM_directory>/etc/site/resource/ssl/cert • Pour Control-M/Server : <Control-M/Server_directory>/ctm_server/data/SSL/cert • Pour Control-M/Agent : <Control-M/Server_directory>/ctm_agent/data/SSL/cert ou • Pour Control-M/Agent : <Control-M/Agent_directory>/ctm/data/SSL/cert Les répertoires de chiffrement pour UNIX sont : • Pour Control-M/EM : <Control-M/EM_directory>/etc/site/resource/local • Pour Control-M/Server : <Control-M/Server_directory>/ctm_server/data/SSL/cert • Pour Control-M/Agent : <Control-M/Agent_directory>/ctm_server/data/SSL/cert Le répertoire SSL pour Windows est : • Pour Control-M/EM : <Control-M/EM_directory>\etc\resource\ssl\cert • Pour Control-M/Server : <Control-M_SERVER directory>\data\SSL\cert • Pour Control-M/Agent : <Control-M/Agent_directory>\data\SSL\cert Le répertoire de chiffrement pour Windows est : <Control-M/EM_directory>\ini\local 2. Dans le menu principal sslcmd, sélectionnez 12 Change KDB password (Modifier le mot de passe de la BD de clés). L'invite suivante s'affiche : Enter new key file SSL_directory/keyfile_name password (at least 8 characters): 3. Entrez le nouveau mot de passe. Vous êtes invité à saisir à nouveau le mot de passe. Lorsque vous saisissez à nouveau le mot de passe, le message suivant s'affiche : Command Change password successful Enter to proceed Appuyez sur Entrée. Une fois le menu affiché, sélectionnez 19 pour quitter l'utilitaire sslcmd. 4. Pour générer une version chiffrée du nouveau mot de passe, saisissez la commande : bmcryptpw -m Encryptor_directory/tree.bin -e L'invite Enter password (Saisir le mot de passe) s'affiche. Entrez le nouveau mot de passe utilisé à l'étape 3 ci-dessus. Un mot de passe encodé semblable à celui est généré : Encoded passwd: e2447186b2854c59258c5061f04ef1f1a72ed785e8819854 5. Utilisez un éditeur pour mettre à jour le mot de passe chiffré. 61 Control-M Workload Automation Guide de SSL Maintenance des certificats sous UNIX Par exemple, sur les plateformes UNIX exécutant v, remplacez la chaîne suivante : a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d à e2447186b2854c59258c5061f04ef1f1a72ed785e8819854 Dans les deux lignes suivantes du fichier site.plc : vi SSL_directory/etc/site.plc [server] ... password= a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,/Encryptor_directory/tree .bin [client] ... password= a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,/Encryptor_directory/tree .bin Sur les plateformes UNIX exécutant Control-M/EM, effectuez les modifications ci-dessus dans : Le fichier <SSL_directory>/gtw.plc Le fichier <SSL_directory>/cmsg.plc Le fichier <SSL_directory>/em.plc N'effectuez pas les modifications ci-dessus dans le fichier site.plc. Pour plus d'informations, consultez la rubrique : Configuration des règles de sécurité (à la page 65) Maintenance des certificats sous Microsoft Windows (à la page 62) Maintenance des certificats sous Microsoft Windows BMC déconseille de modifier le registre Windows à moins d'avoir de l'expérience dans le travail avec les registres et de sauvegarder le registre avant toute modification. Par exemple, sur les plateformes Microsoft Windows, dans la clé de registre du mot de passe, remplacez a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d à e2447186b2854c59258c5061f04ef1f1a72ed785e8819854 62 Control-M Workload Automation Guide de SSL Pour Control-M/EM : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\CONTROL-M/EM\SecurityPolicy\site\{client|server| keystore}" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D: \Program Files\BMC Software\CONTROL-M EM 7.0.00\Ini\local\tree.bin" Pour Control-M/Server : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\ SecurityPol\-icy\site\{client|server|keystore} "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D: \Program Files\BMC Software\CONTROL-M Server\Ctm\DATA\SSL\Cert\tree.bin" Pour Control-M/Agent : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\ SecurityPol\-icy\site\{client|server|keystore}" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D: \Program Files\BMC Software\CONTROL-M Agent\Agent_installation\DATA\SSL \Cert\tree.bin" Et dans les ruches de registre Windows client, serveur et commun : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\ SecurityPol\-icy\site\{client|server|keystore}" Pour plus d'informations, consultez la rubrique : Configuration des règles de sécurité (à la page 65) Maintenance des certificats sous UNIX (à la page 62) Pour utiliser votre mot de passe chiffré Control-M/Server pour ctmkey.jks Le mot de passe utilisé pour créer ctmkey.jks doit être chiffré et enregistré dans le fichier suivant : <Control-M Server Home dir/ctm_server/data/SSL/cert/jks.properties> Pour chiffrer ce mot de passe, exécutez l'utilitaire change_pass comme suit : <Control-M Home dir>/change_pass <Control-M Server Home dir/ctm_server/data/SSL/cert/jks.properties> L'utilitaire change_pass accepte un mot de passe keytool, le chiffre et met à jour le fichier suivant : <Control-M Server Home dir/ctm_server/data/SSL/cert/jks.properties> Pour exporter une paire de clés : 1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd). 2. Dans le menu principal sslcmd, sélectionnez l'option 17 Export key pair (Exporter la paire de clés). 3. Entrez le nom de fichier de la paire de clés. 4. Entrez l'identité de la paire de clés. 63 Control-M Workload Automation Guide de SSL 5. Entrez le mot de passe de chiffrement de la paire de clés et saisissez à nouveau le mot de passe de confirmation. 6. Entrez et saisissez à nouveau le mot de passe MAC. 64 2 2 Configuration des règles de sécurité La politique de sécurité est définie par les entrées effectuées dans les tables de politique de sécurité. Une table de règle de site est requise pour chaque composant Control-M principal (Control-M/Server, Control-M/Agent et Control-M/EM). Les entrées de ces tables de politique de site fournissent la structure de base pour la politique de sécurité du site Control-M. Les ajouts et modifications à la règle de site, si nécessaire, sont défis dans les tables facultatives de règle d'application pour différentes fonctions Control-M. Les entrées de ces tables s'ajoutent et remplacent les entrées des tables de règle de site. Sur les ordinateurs UNIX, les tables de règle de sécurité sont contenues dans le fichier .plc. Sur les ordinateurs Microsoft Windows, ces tables sont contenues dans le registre. La règle de communication SSL se base sur les paires de « valeur de variable » – nommés attributs – qui sont stockés dans les tables de règle. Chaque strophe UNIX (ou clé de registre Microsoft Windows) contient les attributs appropriés. Certains attributs ne s'appliquent pas à certaines fonctions, certains ne s'appliquent pas à certains niveaux de sécurité, et certains ne peuvent pas être modifiés. Une règle de sécurité est implémentée en attribuant des valeurs aux variables d'attribut décrites dans la table de règle de sécurité indiquée dans Variables de règle de sécurité (à la page 73). Les valeurs de règle par défaut pour chaque composant Control-M principal sont spécifiés dans le fichier site.plc du composant ou ruche du registre site. Lorsqu'une connexion de communication réseau est établie, le profil de cette connexion est obtenu à partir des variables des fichiers .plc (pour UNIX) ou dans le registre (pour Microsoft Windows). Les fichiers .plc sont décrits dans Exemple de fichier .plc (à la page 66). Le registre Microsoft Windows est décrit dans Environnement Microsoft Windows (à la page 68). Les modifications apportées à la base de données de clés, au mot de passe de la base de données de clés et aux règles de sécurité prennent effet après le redémarrage de Control-M/Server, Control-M/Agent et Control-M/EM. Environnement UNIX Dans l'environnement UNIX, les tables de politique sont implémentées dans des fichiers de règle de texte ASCII au format .INI standard. Les tables de règle sont stockées dans les fichiers .plc situés dans ces répertoires : <CONTROL-M/Server_directory>/ctm_server/data/SSL/cert <CONTROL-M/Agent_directory>/ctm_server/data/SSL/cert ou <CONTROL-M/Server_directory>/ctm_agent/ctm/data/SSL/cert <CONTROL-M/EM_directory>/etc/site/resource/SSL/cert Les strophes des fichiers de règle de site et de règle d'application indiquent le module de sécurité qui prend en charge le rôle défini par la strophe. Si une application agit comme un serveur réseau, les attributs de sécurité sont obtenus à partir de la strophe [server]. Si une application agit comme un client réseau, les attributs de sécurité sont obtenus à partir de la strophe [client]. 65 Control-M Workload Automation Guide de SSL Un exemple de règle de site est illustré dans Fichier site.plc Control-M/Server (à la page 67). Lors de l'établissement du type de communication répertorié dans le tableau ci-dessous, les valeurs (le cas échéant) du fichier .plc de l'application concernée remplace les valeurs du fichier site.plc. Fichier .plc d'application Type de communication ns.plc Control-M/Server vers Control-M/Agent co.plc Control-M/Server vers Control-M/EM ca.plc Control-M/Server Configuration Agent vers Control-M Configuration Manager ag.plc Control-M/Agent vers Control-M/Server gtw.plc Control-M/EM Gateway vers Control-M/Server cmsg.plc Control-M Configuration Server vers Control-M Configuration Agent em.plc (à des fins de chiffrement interne Control-M/EM) Exemple de fichier .plc Des exemples de fichier .plc semblables aux suivantes sont fournis avec l'installation : Fichier co.plc Control-M/Server (à la page 66) Fichier site.plc Control-M/Server (à la page 67) Fichier ns.plc Control-M/Server (à la page 67) Fichier site.plc Control-M/Enterprise Manager (à la page 68) Fichier site.plc Control-M/Enterprise Manager (à la page 68) Fichier co.plc Control-M/Server [server] identity=CODN logfile=cosrv.log [client] logfile=cocln.log identity=CODN keyfile=$CONTROLM/data/SSL/cert/ctmkey.kdb 66 Control-M Workload Automation Guide de SSL Fichier site.plc Control-M/Server [server] bindir=<CONTROLM>/exe_<MACHINE> bindir64=<CONTROLM>/exe_<MACHINE> keyfile=ctmkey.kdb security_level=4 logdir=$CONTROLM/data/SSL/log loglevel=ERROR,WARNING,INFO,TRACE securitydir=$CONTROLM/data/SSL/cert sksdir=$CONTROLM/data/SSL/cert password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,<CONTROLM>/data /SSL_directory/cert/tree.bin [client] bindir=<CONTROLM>/exe_<MACHINE> bindir64=<CONTROLM>/exe_<MACHINE> keyfile=ctmkey.kdb security_level=4 logdir=$CONTROLM/data/SSL/log loglevel=ERROR,WARNING,INFO,TRACE securitydir=$CONTROLM/data/SSL/cert sksdir=$CONTROLM/data/SSL/cert password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,<CONTROLM>/data /SSL_directory/cert/tree.bin Fichier ns.plc Control-M/Server [server] identity=NSDN logfile=nssrv.log security_level=3 [client] identity=NSDN logfile=nscln.log keyfile=$CONTROLM/data/SSL/cert/ctmkey.kdb 67 Control-M Workload Automation Guide de SSL Fichier site.plc Control-M/Enterprise Manager [client] bindir=$EM_HOME/appl/lib/bin.$ARCH bindir64=$EM_HOME/appl/lib/bin.$ARCH keyfile=gtwkey.kdb security_level=4 logdir=$EM_HOME/site/resource/ssl/log loglevel=ERROR securitydir=$EM_HOME/site/resource/ssl/cert sksdir=$EM_HOME/site/resource/ssl/cert Fichier co.plc Control-M/Enterprise Manager [client] logfile=gtw_ssl.log identity=CODN keyfile=$EM_HOME/site/resource/ssl/cert/gtwkey.kdb password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,$EM_HOME/site/re source /local/tree.bin Environnement Microsoft Windows BMC déconseille de modifier le registre Windows à moins d'avoir de l'expérience dans le travail avec les registres et de sauvegarder le registre avant toute modification. Une politique de sécurité est définie par les entrées de chaîne dans les tables de politique de sécurité du registre Windows. La clé de règle de site est toujours requise. Son chemin est : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\SecurityPolicy\ site" La règle de sécurité de base est définie par des clés de règle de sécurité. Les modifications, si nécessaires, sont définies par des clés de règle d'application facultatives. Les tables de politique contiennent des entrées de chaîne qui spécifient le module de sécurité qui prend en charge la fonction définie par les clés dans le registre Windows. La règle de sécurité des communications est déterminée par le rôle que l'application joue : client ou serveur. Par conséquent, la table de règle contient deux clés de communications, une pour la fonction serveur : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\ SecurityPolicy\site\server" et une pour la fonction client : "\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\ SecurityPolicy\site\client". 68 Control-M Workload Automation Guide de SSL Les exemples de tables de règle pour Microsoft Windows sont répertoriés sous Registre Control-M/Server (à la page 69). Les tables de règle se trouvent à l'emplacement de registre suivant : [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\{Agent|Server}\SecurityPolicy\{site|NS|CA|CO|AG}\{clien t|server|common} Valeurs (le cas échéant) spécifiées dans le NS, CA, CO et AG concerné. Les clés de registre remplacent les valeurs spécifiées dans la clé de registre site. Les exemples de tables de règle pour Microsoft Windows sont répertoriés sous Registre Control-M/Enterprise Manager (à la page 71). Les tables de règle se trouvent à l'emplacement de registre suivant : HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\SecurityPolicy\{site|GTW|CMSG|EM}\{client|server|common} Valeurs (le cas échéant) spécifiées dans le GTW, CMSG et EM concerné. Les clés de registre remplacent les valeurs spécifiées dans la clé de registre site. REMARQUE : Le registre EM contient une clé EM à des fins de chiffrement interne. Ne modifiez pas cette clé. Exemple de clés de registre Microsoft Windows Voici les entrées de clé de registre par défaut de Control-M/Server et Control-M/EM : Registre Control-M/Server (à la page 69) Registre Control-M/Enterprise Manager (à la page 71) Registre Control-M/Server REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\CO] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\CO\client] "logfile"="cocln.log" "keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert\\ctmkey.kdb" "identity"="CODN" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\CO\server] 69 Control-M Workload Automation Guide de SSL "identity"="CODN" "logfile"="cosrv.log" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\NS] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\NS\client] "identity"="NSDN" "logfile"="nscln.log" "keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert\\ctmkey.kdb" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\NS\server] "identity"="NSDN" "logfile"="nssrv.log" "security_level"="3" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\site] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\site\client] "bindir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\exe" "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "logdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\log" "loglevel"="ERROR" "keyfile"="ctmkey.kdb" "security_level"="4" "sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin" 70 Control-M Workload Automation Guide de SSL [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\site\common] "sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "bindir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\exe" "keyfile"="ctmkey.kdb" "security_level"="4" "logdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\log" "loglevel"="ERROR,WARNING,INFO,TRACE" "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy\site\server] "bindir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\exe" "keyfile"="ctmkey.kdb" "security_level"="4" "logdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\log" "loglevel"="ERROR" "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M Server\\ctm_server\\data\\ssl\\cert" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin" Registre Control-M/Enterprise Manager [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\CMSG] 71 Control-M Workload Automation Guide de SSL [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\CMSG\client] "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert" "loglevel"="ERROR" "logfile"="cmsgssl.log" "keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert\\cmsgkey.kdb" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin" "identity"="CADN" "security_level"="4" "sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\EM] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\EM\client] "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert" "identity"="CODN" "logfile"="emssl.log" "loglevel"="ERROR" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin" "keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\emkey.kdb" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\GTW] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\GTW\client] "sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert" "security_level"="4" 72 Control-M Workload Automation Guide de SSL "identity"="CODN" "password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin" "keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert\\gtwkey.kdb" "logfile"="gtwssl.log" "loglevel"="ERROR" "securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\site] [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\site\client] "bindir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\bin" "logdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\log" [HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise Manager\7.0.X\Default\SecurityPolicy\site\common] @="" Variables de règle de sécurité Les variables de règle de sécurité suivantes se situent dans les fichiers .plc de clés de registre Microsoft Windows et UNIX. 73 Control-M Workload Automation Guide de SSL Variables de règle de sécurité Variable Description security_level Un chiffre de 1 à 4. Ces niveaux sont décrits dans Niveaux de sécurité (à la page 75). bindir Chemin absolu vers un sous-répertoire contenant les modules binaires de sécurité chargés dynamiquement. Par exemple : C:\Program Files\BMC Software\Control-M Server\ctm_server\exe bindir64 bindir pour ordinateur 64 bits. Par exemple : C:\Program Files\BMC Software\Control-M Server\exe_MACHINE sksdir Chemin absolu vers un sous-répertoire de lecture/écriture de keystore de sécurité où les clés Control-M chiffrées sont stockées. Par exemple : C:\Program Files\BMC Software\Control-M Server\etc\site\resource\ssl\cert securitydir Chemin absolu vers un sous-répertoire en lecture seule où les bases de données de clés *.kdb et les fichiers keymaterial sont stockés. Par exemple : "securitydir"="C:\Program Files\BMC Software\Control-M Server\ctm_server\data\SSL\cert" password Mot de passe sécurisé (généré par l'utilitaire bmcryptpw), suivi d'une virgule, suivi par le chemin absolu du fichier keymaterial (utilisé pour le calcul de clé 3 DES). L'incorporation de vides n'est pas autorisée. Voir Pour créer une base de données de clés SSL (Flux de travaux recommandé utilisant le menu sslcmd (à la page 46)) et Pour modifier le mot de passe de la base de données de clés (Maintenance des certificats (à la page 57)). keyfile Chemin absolu du fichier de la base de données de clés. Par exemple : keyfile=C:\Program Files\BMC Software\Control-M Server\data\SSL_directory\cert\ctmkey.kdb identity Libellé de la paire de clés (CADN, CODN, NSDN ou AGDN) dans une base de données de clés. logdir Chemin absolu vers le sous-répertoire contenant le fichier journal. Par exemple : "logdir"="C:\Program Files\BMC Software\Control-M Server\ctm_server\etc\site\resource\ssl\log" loglevel Une ou plusieurs des valeurs suivantes séparées par des virgules : ERROR WARNING INFO TRACE logfile Nom (et chemin) du fichier journal. Par exemple : logfile=gtw_ssl.log 74 Control-M Workload Automation Guide de SSL Variable Description provider_options provider_options=SSLProtocol=SSLv3 OU TLS1,SSLV3CipherSuite=ciphers list Liste de chiffres Vous pouvez utiliser les chiffres suivants : DHE-RSA-AES256-SHA AES256-SHA DES-CBC3-SHA DHE-RSA-AES128-SHA AES128-SHA EDH-RSA-DES-CBC-SHA DES-CBC-SHA Pour utiliser plusieurs chiffres, utilisez un espace pour les séparer. EXEMPLE : Pour le protocole SSLv3 : provider_options=SSLProtocol=SSLv3,SSLV3CipherSuite=DHE-RSA-AES256-SHA AES256-SHA DHE-RSA-AES128-SHA Pour le protocole TLS1 : provider_options=SSLProtocol=TLS1,SSLV3CipherSuite=DHE-RSA-AES256-SHA AES256-SHA DHE-RSA-AES128-SHA REMARQUE : Si vous travaillez sur un Control-M/Server installé sur AIX et prévoyez d'utiliser les chiffres Advanced Encryption Standard (AES), vous devez configurer le système afin qu'il soit compatible avec SSL TLS1. REMARQUE : Si vous prévoyez d'utiliser Control-M/Server pour utiliser le protocole SSLv3 avec les chiffres DHE-RSA-AES128-SHA AES128-SHA ou DHE-RSA-AES256-SHA AES256-SHA, les Control-M/Agents doivent être de version 8.0.00.300 et ultérieure. Niveaux de sécurité Pour Control-M/Server et Control-M/Agent, le niveau de sécurité par défaut est 3 dans « server role » (rôle serveur) et 4 dans « client role » (rôle client). Pour les passerelles Control-M/EM, le niveau de sécurité par défaut est toujours 4. Vous devez indiquer le même niveau de sécurité pour une paire de composants qui communiquent entre eux. Il existe une exception : vous pouvez spécifier le niveau 3 pour une communication dans « server role » et le niveau 4 pour une communication dans « client role » dans le canal de communication entre Control-M/Agent et Control-M/Server. 75 Control-M Workload Automation Guide de SSL Niveau de sécurité 1 Le niveau de sécurité 1 concerne la confidentialité uniquement. Une fois qu'une connexion sécurisée est établie, les données utilisateur sont chiffrées à l'aide de TripleDES. Ce niveau ne fournit pas d'authentification. Lorsqu'une connexion client-serveur est établie, une clé de session est générée et échangée à l'aide de la méthode d'échange de clé sécurisée Diffie-Helman. Le niveau de sécurité 1 empêche généralement l'accès par l'intermédiaire d'un navigateur réseau ponctuel. Pour empêcher l'accès d'un intrus déterminé et compétent, utilisez le niveau de sécurité 2 ou ultérieur. Niveau de sécurité 2 Le niveau de sécurité 2 implémente le protocole Secure Socket Layer. Un serveur s'exécutant avec un niveau de sécurité 2 accède à une base de données privée de paires de clés et récupère la paire de clés nommée dans l'attribut d'identité de sa règle de sécurité. Il utilise les valeurs de paire de clés et du certificat associé pour établir une connexion SSL avec le client. Un client s'exécutant au niveau de sécurité 2 accepte le certificat du serveur. SSL nécessite habituellement que le client établisse une chaîne de confiance du certificat du serveur à la racine approuvée. Mais, dans le niveau de sécurité 2, le client omet cette étape et accepte le certificat du serveur si les attributs du certificat (par exemple, date de création et d'expiration) sont acceptables. Lors de l'utilisation du niveau de sécurité 2, le serveur et le client ne peuvent pas être surs de l'identité de l'autre. Cependant, un échange sécurisé de la clé de session se produit et une confidentialité supérieure à celle du niveau de sécurité 1 est fourni. Niveau de sécurité 3 Le niveau de sécurité 3 fonctionne comme le niveau de sécurité 2 sauf que le client doit utiliser sa propre base de données de certificats pour établir une chaîne de confiance du certificat du serveur à la racine approuvée. Ceci s'ajoute à la condition que tous les autres attributs du certificat de serveur soient acceptables. Par conséquent, le client peut être certain de l'identité du serveur, mais le serveur ne peut pas être certain de l'identité du client. Cette connexion est dite avoir « une authentification serveur uniquement ». Niveau de sécurité 4 Le niveau de sécurité 4 fournit la confidentialité et l'authentification au client et au serveur. Le niveau de sécurité 4 est appliqué par le serveur. Après avoir établi une liaison avec le client, comme décrit dans le niveau de sécurité 3, le serveur envoie un message au client lui demandant d'établir à nouveau une liaison. Le client renvoie son propre certificat, que le serveur vérifie jusqu'à une racine approuvée. Si le client ne fournit pas un certificat que le serveur peut vérifier, le serveur ferme la connexion. Puisque chaque pair s'est identifié soi-même à l'autre, cette connexion est dite avoir une authentification mutuelle. Après avoir modifié le niveau de sécurité, arrêtez et redémarrez les services répertoriés dans le tableau suivant pour implémenter la modification. 76 Control-M Workload Automation Guide de SSL Services à arrêter et redémarrer Service Référence Control-M/Server Introduction à Control-M Configuration Manager Control-M/Agent Introduction à Control-M Configuration Manager Control-M/EM Utilisez Control-M Configuration Facility afin d'arrêter et redémarrer Control-M/EM Gateway pour implémenter la modification. Cette fonction est décrite dans Introduction à Control-M Configuration Manager. Gateway Fichiers d'accès Les fichiers d'accès utilisent les champs e-mail des certificats serveur pour l'authentification. les fichiers d'accès peuvent être définis pour Control-M/Server et Control-M/Agent. Le fichier d'accès par défaut contient des lignes similaires à celles-ci : [SSL_SERVER] ; ALLOW_ACL = * DENY_ACL = Le tableau suivant décrit les paramètres du fichier d'accès. Paramètres du fichier d'accès Paramètre Description SSL_SERVER Authentification confirmant l'identité d'un serveur ALLOW_ACL Autorise l'envoi des certificats signés aux adresses spécifiées. Par défaut : * (Autoriser tous les clients). DENY_ACL Refuse l'envoi des certificats signés aux adresses e-mail spécifiées. Valeur par défaut : vide (ne refuse pas tous les clients). Le niveau de sécurité doit être 4. Pour plus d'informations, voir Niveau de sécurité 4 (à la page 76). Le champ e-mail du certificat du serveur est vérifié après l'établissement de la liaison SSL, et après que les deux paires aient vérifié que les certificats reçus sont signés par une CA racine approuvée. DENY_ACL et ALLOW_ACL sont utilisés pour contrôler l'envoi des certificats signés aux destinations d'e-mail. Pour de plus amples informations, voir le tableau Informations sur le nom distinctif (Création d'une demande de signature de certificat). 77 Control-M Workload Automation Guide de SSL Incluez les lignes suivantes dans un fichier d'accès pour accepter uniquement les certificats émis à [email protected] et [email protected]. Le fichier d'accès doit refuser tous les autres certificats, y compris ceux signés par une racine approuvée. [SSL_SERVER] ; ALLOW_ACL = [email protected],[email protected] DENY_ACL = 78