11.12. Encodage SSL

Procédure 11.39. Configurer le JBoss Web Server pour qu'il puisse utiliser HTTPS

1. Ajoutez un nouveau connecteur HTTPS.

   Exécutez la commande de Management CLI suivante, en changeant le profil comme il se doit. Cela va créer un nouveau connecteur sécurisé, nommé HTTPS, qui utilise le protocole https, la liaison de socket https (ayant comme valeur par défaut 8443), et qui est définie pour être sécurisée.

   Exemple 11.36. Commande de Management CLI

   /profile=default/subsystem=web/connector=HTTPS/:add(socket-binding=https,scheme=https,protocol=HTTP/1.1,secure=true)
   

   Copy to Clipboard Toggle word wrap
2. Éxécutez la commande de Management CLI suivante pour définir le protocole à TLSv1.

   Exemple 11.37. Commande de Management CLI

   /profile=default/subsystem=web/connector=HTTPS/ssl=configuration/:write-attribute(name=protocol,value=TLSv1)
   

   Copy to Clipboard Toggle word wrap

3. Sélectionnez les suites de cryptage qui conviennent

   Il existe un certain nombre de primitives cryptographiques disponibles, utilisées comme blocs de base pour former des suites de chiffrement. Le premier tableau répertorie les primitives cryptographiques recommandées. Le deuxième énumère les primitives cryptographiques qui, bien qu'elles puissent être utilisées pour assurer la compatibilité avec les logiciels existants, ne sont pas considérées comme aussi sûres que celles qui sont recommandées.

   Avertissement

   Red Hat recommande de faire une liste blanche sélective d'un ensemble d'algorithmes de chiffrage puissants à utiliser pour la cipher-suite. L'activation de systèmes de chiffrage faibles est un risque important de sécurité. Consultez la documentation du fournisseur de votre JDK avant de statuer sur les suites de chiffrement particulières à utiliser, car il peut y avoir des problèmes de compatibilité.
   Expand

   Tableau 11.9. Primitives cryptographiques recommandées

   RSA avec clés 2048 bit et OAEP

   AES-128 en mode CBC

   SHA-256

   HMAC-SHA-256

   HMAC-SHA-1

   Show more
   Expand

   Tableau 11.10. Autres primitives cryptographiques

   RSA avec des clés qui dépassent 1024 et taille de remplissage héritée

   AES-192

   AES-256

   3DES (triple DES, avec deux ou trois clés de 56 bit)

   RC4 (fortement déconseillé)

   SHA-1

   HMAC-MD5

   Show more
   Pour obtenir une liste complète des paramètres que vous pouvez définir pour les propriétés SSL du connecteur, voir Section 11.12.3, « Référence de connecteur SSL ».

4. Configurer le certificat de cryptage SSL et les clés.

   Exécutez la commande CLI suivante pour configurer votre certificat SSL, en remplaçant vos propres valeurs par celles de l'exemple. Cet exemple suppose que le keystore est copié dans le répertoire de configuration du serveur, qui est EAP_HOME/domain/configuration/ pour un domaine géré.

   Exemple 11.38. Commande de Management CLI

   /profile=default/subsystem=web/connector=HTTPS/ssl=configuration:add(name=https,certificate-key-file="${jboss.server.config.dir}/keystore.jks",password=SECRET, key-alias=KEY_ALIAS, cipher-suite=CIPHERS)
   

   Copy to Clipboard Toggle word wrap

5. Déployer une application.

   Déployez une application dans un groupe de serveurs qui utilise le profil que vous avez configuré. Si vous utilisez un serveur autonome, déployer une application sur votre serveur. Les demandes HTTPS en sa direction utilisent la nouvelle connexion cryptée-SSL.