▼
Scroll to page 2
of
79
Control-M Workload Automation
9.0.00
Guide de SSL
Juillet 2015
Contacter BMC Software
VouS pouvez accéder au site Web de BMC Software à l'adresse http://www.bmc.com. Sur ce site Web,
vous pouvez obtenir des informations sur la société, ses produits, bureaux administratifs, événements
spéciaux et possibilités de carrière.
États-Unis et Canada
Adresse
BMC SOFTWARE INC
Téléphone
2101 CITYWEST BLVD
713 918 8800
800 841 2031
Fax 713 918 8000
HOUSTON TX
77042-2827
É-U
En dehors des États-Unis et du Canada
Téléphone
(01) 713 918 8800
Fax
(01) 713 918 8000
© Copyright 1999-2015 BMC Software, Inc.
BMC, BMC Software et le logo de BMC Software sont les propriétés exclusives de BMC Software, Inc. Ces
marques sont déposées auprès de l'U.S. Patent and Trademark Office (Office américain des brevets), et
peuvent être déposées ou en attente de l'être dans les autres pays. Les autres marques de commerce,
marques de service et logos BMC peuvent être déposés ou en attente de l'être aux États-Unis ou dans
d'autres pays. Toutes les autres marques de commerce ou marques déposées sont la propriété de leurs
détenteurs respectifs. IT Infrastructure Library® est une marque déposée de l'Office of Government
Commerce (OGC) et est utilisée dans le présent document par la société BMC Software, Inc., sous licence
et avec l'aimable autorisation de l'OGC.
ITIL® est une marque déposée et une marque de communauté déposée de l'Office of Government
Commerce. Elle a été déposée auprès de l'U.S. Patent and Trademark Office et est utilisée dans le présent
document par la société BMC Software, Inc., sous licence et avec l'aimable autorisation de l'OGC.
IBM® Tivoli® Business Service Manager, IBM Tivoli Workload Scheduler, IBM Cognos, IBM InfoSphere
DataStage, IBM iSeries, IBM Websphere et AIX® sont les marques ou les marques déposées de
International Business Machines Corporation aux États-Unis, dans d'autres pays, ou les deux.
UNIX® est la marque déposée de The Open Group aux États-Unis et dans d'autres pays.
Linux est la marque déposée de Linus Torvalds.
Oracle et Java sont des marques déposées d'Oracle et/ou de ses sociétés affilées. Les autres marques
peuvent être des marques de leurs détenteurs respectifs.
SAP® R/2 and SAP R/3, SAP Business Objects et SAP NetWeaver sont des marques ou des marques
déposées de SAP AG en Allemagne et dans plusieurs autres pays.
BMC Software considère les informations contenues dans cette documentation comme propriétaires et
confidentielles. L'utilisation de ces informations est régie par les conditions d'utilisation de l'accord de
licence de l'utilisateur final s'appliquant au produit, ainsi que par les avis relatifs à la propriété et aux
restrictions de droits inclus dans cette documentation.
2
Légende des droits restreints
Droits restreints du Gouvernement des États-Unis sur le logiciel NON PUBLICATION – DROITS RÉSERVÉS
EN VERTU DE LA LÉGISLATION DES ÉTATS-UNIS SUR LE COPYRIGHT. L'utilisation, la duplication ou la
divulgation de toute donnée ou de tout logiciel par le Gouvernement des États-Unis est soumise aux
restrictions énoncées dans les clauses FAR Section 52.227-14, DFARS 252.227-7013, DFARS
252.227-7014, DFARS 252.227-7015 et DFARS 252.227-7025, celles-ci pouvant faire l'objet de
modifications ponctuelles. BMC SOFTWARE INC, 2101 CITYWEST BLVD, HOUSTON TX 77042-2827, USA
est le fournisseur/fabricant du produit. Tout avis relatif à un contrat doit être envoyé à cette adresse.
Service client
Vous pouvez obtenir le support technique en utilisant le site web Service client de BMC Software ou en
contactant le service client par téléphone ou par courrier électronique. Pour envoyer votre requête, voir
« Avant de contacter BMC ».
Site Web de l'assistance
Vous pouvez accéder à l'assistance technique de BMC 24 heures sur 24 et 7 jours sur 7 à l'adresse
http://www.bmc.com/support. Sur ce site Web, vous pouvez effectuer les opérations suivantes :
Lire les aperçus sur les services d'assistance et les programmes proposés par BMC
Trouver les informations les plus récentes sur les produits BMC
Rechercher dans une base de données des problèmes semblables aux vôtres et les solutions possibles
Commander ou télécharger la documentation du produit
Télécharger des produits et les informations de maintenance
Signaler un problème ou poser une question
S'abonner pour recevoir des alertes proactives par courrier électronique lorsque de nouvelles
notifications de produits sont publiées
Trouver dans le monde entier les emplacements de services d'assistance BMC et leurs coordonnées,
dont les adresses électroniques, les numéros de fax et les numéros de téléphone
Assistance par téléphone ou par courriel
Aux États-Unis et au Canada, si vous devez contacter l'assistance technique et que vous n'avez pas accès
à Internet, appelez le 800 537 1813 ou envoyez un courrier électronique à customer_support@bmc.com.
(Dans la ligne d'objet, entrez SupID:<yourSupportContractID>, par exemple SupID : 12345). En
dehors des États-Unis et du Canada, contactez votre centre d'assistance local pour obtenir de l'aide.
Avant de contacter BMC
Préparez les informations suivantes pour que le Service client traite immédiatement votre problème :
Informations sur le produit
•
Nom du produit
•
Version du produit (numéro de publication)
•
Numéro de licence et mot de passe (d'évaluation ou permanente)
Informations relatives au système d'exploitation et à l'environnement
•
Type d'ordinateur
3
•
Type de système d'exploitation, version et service pack ou autre niveau de maintenance tel que
PUT ou PTF
•
Configuration matérielle du système
•
Numéros de série
•
Logiciels associés (base de données, application et communication) dont le type, la version et le
service pack ou le niveau de maintenance
Séquence des événements conduisant au problème
Commandes et options utilisées
Messages reçus (ainsi que l'heure et la date de leur réception)
•
Messages d'erreur relatifs au produit
•
Messages provenant du système d'exploitation, par exemple file system full
•
Messages provenant des logiciels associés
Informations relatives à la clé de licence et au mot de passe
Si vous avez des questions sur la clé de licence ou le mot de passe, contactez BMC comme suit :
(É-U ou Canada) Contactez Order Services Password Team au 800 841 2031, ou envoyez un message
à ContractsPasswordAdministration@bmc.com.
(Europe, Moyen-Orient et Afrique), envoyez par fax vos questions à Administration des contrats EMEA
au +31 20 354 8702, ou envoyez un message électronique à password@bmc.com.
(Asie-Pacifique) Contactez votre représentant commercial de BMC ou votre bureau local de BMC.
Logiciels de tiers
Pour les dispositions décrites dans BMC License Agreement and Order relatif aux produits ou technologies
de tiers inclus dans BMC Product, voir
https://docs.bmc.com/docs/display/workloadautomation/Control-M+Workload+Automation+Documentati
on et cliquez sur Third-party software (TPS) (Logiciels de tiers).
4
Table des matières
Introduction à SSL .......................................................................................................... 7
Préparation et flux de travaux suggéré ............................................................................. 8
Génération de certificats ................................................................................................. 8
Génération de nouveaux certificats ..................................................................................................9
Application de votre propre certificat ............................................................................................. 10
Exemples d'utilisation de scripts lors de l'importation de certificats et de clés ................................... 11
Déploiement de SSL sur les composants BMC ................................................................. 13
Copies de certificats pour Control-M for z/OS .................................................................. 14
SSL sur BMC et autres composants ................................................................................ 15
Activation de SSL entre Control-M/EM et Control-M/Server .............................................................. 16
Activation de SSL entre Control-M/EM et Control-M/Server .............................................................. 16
Activation de SSL sur Control-M/Server .......................................................................................... 17
Activation de SSL sur Control-M/Agents ......................................................................................... 18
Activation de SSL entre Control-M/Server et le client Control-M ....................................................... 18
Activation de SSL entre Control-M/Server et le client Control-M ....................................................... 20
Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) ....................... 21
Désactivation de SSL entre Control-M/Server et le client Control-M (Repasser à TCP) ....................... 22
Configuration de la communication sécurisée entre Web Server et GUI Server ................................. 23
Paramètres SSL de JacORB ........................................................................................................... 24
Configuration de la communication sécurisée entre l'application Web et Web Server ........................ 25
Importation de vos propres certificats dans le keystore Apache Tomcat Web Server par défaut ........ 26
Configuration de NamingViewer (navigateur de Naming Service) ..................................................... 26
Configuration de l'app Web de BMC Batch Impact Manager ............................................................ 27
Configuration de la communication avec des serveurs LDAP ou Active Directory utilisant SSL. ........... 30
Configuration de la communication sécurisée entre l'application Web et Web Server ........................ 32
Paramètres et configurations avancés ............................................................................ 33
Paramètres de communication SSL ................................................................................................ 33
Configuration de Control-M/Agent pour utiliser SSL ........................................................................ 35
Modification d'un mode de connexion serveur-agent pour un agent existant .................................... 36
5
Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances
Control-M gérées) ........................................................................................................................ 37
Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances
Control-M non gérées) .................................................................................................................. 37
Stockage des certificats pour TAO ................................................................................................. 38
Messages d'erreur SSL communs ................................................................................................... 40
Configuration de NamingViewer (navigateur de Naming Service) ..................................................... 42
Configuration de l'API Control-M/EM JacORB .................................................................................. 43
Création d'une base de données de clés SSL .................................................................................. 45
Configuration d'un certificat signé pour une base de données de clés non Java (KDB) ...................... 48
Configuration d'un certificat signé pour un keystore Java ................................................................ 56
Maintenance des certificats ........................................................................................................... 57
Configuration des règles de sécurité .............................................................................................. 65
6
1
1
Introduction à SSL
Control-M Workload Automation fonctionne avec les protocoles Secure Sockets Layer (SSL) et Transport
Layer Security (TLS), garantissant ainsi une communication sécurisée entre les différents composants de
Control-M.
SSL for Control-M authentifie et sécurise les communications entre :
Control-M/Server et Control-M/Agent
Control-M/Server et les Control-M/Enterprise Manager (Control-M/EM) Servers
Control-M/EM Server et ses clients
En outre, et en fonction de votre configuration, vous pouvez activer la sécurité des composants suivants :
Apps Web Control-M Self Service et Control-M Workload Change Manager (WCM)
Control-M Workload Archiving Server
Control-M NamingViewer
BMC Batch Impact Manager et ses clients
Control-M/EM Web Server
Control-M/EM et le serveur LDAP (Lightweight Directory Access Protocol)
7
Control-M Workload Automation Guide de SSL
Préparation et flux de travaux suggéré
La méthode de configuration de la sécurité de votre environnement Control-M dépend largement de votre
configuration et vos exigences de sécurité. Le schéma suivant décrit un flux de travaux standard :
Génération de certificats
Control-M est fourni avec un certificat démo pré-installé que vous pouvez utiliser pour tester vos
composants Control-M dans un environnement SSL.
BMC recommande de remplacer les certificats existants en utilisant une des méthodes suivantes :
8
Control-M Workload Automation Guide de SSL
Générer de nouveaux certificats à l'aide de Control-M Configuration Manager (à la page 9) : Utilisez
cette méthode lorsque vous utilisez la CA du site fournie par BMC (varie selon le client). La CA du site
est stockée dans la machine Control-M/EM Server, et est utilisée pour signer les certificats des
composants Control-M.
Pour utiliser vos propres certificats (à la page 10) (signés par une CA certifiée différente), vous devez
pouvoir fournir les certificats, leur clé privée et la CA approuvée.
REMARQUE : Pour garantir une connexion sécurisée entre les deux composants, vérifiez qu'ils sont tous
deux signés par la même CA.
Génération de nouveaux certificats
Cette procédure décrit comment générer de nouveaux certificats et remplacer les certificats pré-installés,
qui inclut la mise à jour des jours d'expiration et la génération des certificats.
REMARQUE : Si vous avez une version antérieure à V8 de Control-M/Agents, vous ne pouvez utiliser que
des certificats contenant 1 024 bits. Pour ce faire, vous devez définir le paramètre système par défaut
ManageSSL_CertKeyLengthBits dans CCM pour qu'il créé des certificats 1 024 bits au lieu des certificats 2
048 bits par défaut.
Pour générer des certificats :
1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système >
Paramètres système CONTROL-M/EM.
2. Dans la fenêtre Paramètres système CONTROL-M/EM, cliquez sur Avancé, et dans le champ Nom,
tapez Gérer SSL pour filtrer les paramètres.
3. Double-cliquez sur un ou plusieurs des éléments suivants :
•
ManageSSL_CACertExpirDays : définit la durée d'expiration du certificat CA SSL en jours.
Valeur par défaut : 7300
•
ManageSSL_CertExpirDays : définit la durée d'expiration du certificat SSL en jours. Valeur par
défaut : 7300
•
ManageSSL_CertKeyLengthBits : définit la longueur de la clé du certificat SSL. Valeur par
défaut : 1024
•
Dans le champ Valeur, tapez la valeur et cliquez sur Enregistrer, puis sur Fermer.
4. Sélectionnez le composant dans le volet de gauche, puis dans la liste déroulante Outils , sélectionnez
Sécurité > Gérer SSL > Générer les certificats du composant...
5. Pour utiliser le certificat démo fourni par BMC tel quel, sélectionnez Utiliser l'autorité de certificat
du site suivant, et procédez comme suit :
a. Les champs de paramètre du premier écran sont renseignés par des valeurs fournies par BMC.
Cliquez sur Suivant.
9
Control-M Workload Automation Guide de SSL
b. Sélectionnez l'une des options suivantes :
a. Tous les composants de Control-M pour générer les certificats de tous les composants
b. Par type de composant, puis sélectionnez les composants dans la liste déroulante.
Vous pouvez également saisir un ID instance de composant unique (e-mail). Vous pouvez
faire ceci pour tous les composants de ce type, ou pour chaque instance de ce composant. Notez
que cette option n'est pas disponible pour le composant Control-M/EM.
REMARQUE : Pour Control-M for z/OS uniquement, vous pouvez saisir un Mot de passe de
keystore, qui doit être composé de huit caractères.
c. Acceptez l'emplacement par défaut pour enregistrer les certificats générés, ou entrez un nouveau
chemin d'accès.
d. Cliquez sur Suivant pour générer les certificats, puis sur Soumettre une fois le processus de
génération terminé.
6. Pour créer une nouvelle instance unique de l'autorité de certification de site pré-installée, sélectionnez
Créer une nouvelle autorité de certification, puis procédez comme suit :
a. Cliquez sur Oui pour accepter la génération d'un nouveau certificat.
Vous êtes informés que les certificats seront générés pour tous les composants Control-M. Pour
utiliser un mot de passe, saisissez-le. Cliquez sur Suivant.
b. Acceptez l'emplacement par défaut pour enregistrer les certificats générés, ou tapez un nouveau
chemin d'accès.
c. Cliquez sur Suivant pour générer les certificats.
d. Cliquez sur Soumettre une fois le processus de génération terminé.
Les nouveaux répertoires de déploiement de certificats sont créés dans l'emplacement que vous
avez demandé dans la machine client de CCM.
7. Continuez le processus en copiant les répertoires des certificats de composants Control-M et en
exécutant les scripts de déploiements sur ces machines, comme décrit dans Déploiement de SSL sur
les composants BMC (à la page 13).
Application de votre propre certificat
Cette procédure décrit comment appliquer vos propres certificats signés par des tiers approuvés. Pour ce
faire, exécutez le script Manage_SSL_BYO sur Control-M/EM Server, puis exécutez le script qui a été
généré dans les répertoires de déploiement, dans les installations des composants appropriés.
Le certificat que vous appliquez doit être un certificat X509 valide.
Les composants suivants sont pris en charge :
Control-M Agent
Control-M Server
Control-M Enterprise Manager Servers
Control-M Enterprise Manager Client
Control-M for Web Services, Java et Messaging
10
Control-M Workload Automation Guide de SSL
Control-M Web Application, Self Service et Workload Change Manager (WCM)
BIM Web Application
Control-M Enterprise Manager API
Control-M zOS
Avant de commencer
Vous devez déjà posséder un des éléments suivants : le certificat signé, sa clé privée et sa chaîne de
CA dans l'un des formats suivants :
•
Fichiers PEM (Privacy Enhanced Mail) pour chacun des éléments suivants : Certificat, Clé privée et
Autorités de certification racine approuvées
•
Fichier PKCS#12 avec le certificat, la clé privée et les autorités de certification Si le fichier
PKCS#12 contient plusieurs certificats et paires de clés, vous devez avoir également à votre
disposition le nom de la paire à utiliser.
REMARQUE : Tous les composants doivent être signés à l'aide du même certificat de CA. Les mots de
passe de clés privées doivent exister pour PKCS#12 et PEM. Toutefois, le PEM du certificat ne doit pas
être verrouillé/protégé par mot de passe.
Pour appliquer les certificats :
1. Créez un chemin d'accès dans le répertoire racine de l'ordinateur où figure Control-M/EM.
2. Dans les répertoires des composants déployés, ajoutez les scripts pour importer les certificats SSL et
les clés. Voir Exemples d'utilisation de scripts lors de l'importation de certificats et de clés (à la page
11).
Exemples d'utilisation de scripts lors de l'importation de
certificats et de clés
Les exemples de scripts pour importer vos certificats SSL et clés sont présentés ci-dessous.
PEM format: Manage_SSL_BYO -input pem
-component {component name}
-output { Manage_SSL output deployment directory}
-output_keystores_password {Component keystore
password}
-certificate {certificate pem file}
-private_key {certificate private key pem file}
-password {password for private key pem file}
-ca_certificates {CA certificate chain PEM file}
11
Control-M Workload Automation Guide de SSL
PKCS12 format: Manage_SSL_BYO -input pkcs12
-component {component name}
-output { Manage_SSL output deployment directory}
-output_keystores_password {Component keystore
password}
-file {pkcs#12 file to import from}
-password {password of pkcs#12 file}
[-cert_and_key_name {name of the certificate and
private key to import }]
Supported -component values:
CONTROL-M_Agent
CONTROL-M_Server
CONTROL-M_EnterpriseManagerServers
CONTROL-M_EnterpriseManagerClient
CONTROL-M_WJM
CONTROL-M_Web_Application
BIM_WebApplication
CONTROL-M_EnterpriseManagerAPI
CONTROL-M_zOS
EXEMPLE : Utilisation d'un fichier PEM dans un environnement utilisant trois agents :
Manage_SSL_BYO –component Control-M_Agent –output
/tmp/Agent1_SSL_Deployment –output_keystores_password abcd1234
–input pem –certificate agent1cert.pem –private_key agent1key.pem
–password secret –ca_certificates CAs.pem
Manage_SSL_BYO –component Control-M_Agent –output
/tmp/Agent2_SSL_Deployment –output_keystores_password abcd1234
–input pem –certificate agent2cert.pem –private_key agent2key.pem
–password secret –ca_certificates CAs.pem
Manage_SSL_BYO –component Control-M_Agent –output
/tmp/Agent3_SSL_Deployment –output_keystores_password abcd1234
–input pem –certificate agent2cert.pem –private_key agent3key.pem
–password secret –ca_certificates CAs.pem
EXEMPLE : Utilisation de PKCS12
Pour PKCS12 avec un seul certificat et une paire de clés (paramètre cert_and_key_name non
obligatoire) :
Manage_SSL_BYO -component Control-M_Agent -output
/tmp/Agent2_SSL_Deployment -output_keystores_password abcd1234
-input pkcs12 -password 1234abcd -file /p12files/ag.p12
Pour PKCS12 avec plusieurs certificats et paires de clés :
12
Control-M Workload Automation Guide de SSL
Manage_SSL_BYO -component Control-M_Agent -output
/tmp/Agent2_SSL_Deployment -output_keystores_password abcd1234
-input pkcs12 -password 1234abcd -file /p12files/All.p12
-cert_and_key_name ag
Déploiement de SSL sur les composants BMC
Cette procédure décrit comment exécuter un script de déploiement SSL sur tous les composants
appropriés de Control-M/EM. Répétez la procédure ci-dessous pour tous les composants, par exemple :
Control-M/EM Servers, Control-M/EM Client, Control-M/Server et Control-M/Agent.
Pour appliquer les certificats sur les composants Control-M :
1. Copiez le répertoire Certificate_for_<component name> vers un répertoire temporaire de
l'ordinateur où le composant est installé, par exemple : <tempLocation>.
2. Arrêtez le composant.
3. Depuis le répertoire racine du composant Control-M, exécutez la commande suivante :
•
Windows - <tempLocation>\setup.bat
•
UNIX - <tempLocation>/setup.sh
EXEMPLE : Si vous avez placé les répertoires de déploiement dans /p/Control-M_v6_new_demo, et
Control-M/Enterprise Manager est installé dans /bmc/Control-M_EM/Default, vous devez
l'exécuter dans un shell UNIX :
$ cd /bmc/Control-M_EM/Default
$
/p/Control-M_v6_new_demo/Certificate_for_CONTROL-M_EnterpriseManagerServers\setu
p.sh
Les fichiers sont déployés aux emplacements requis et le composant Control-M utilise soit le mot de
passe de Keystore par défaut, ou si vous avez spécifié un mot de passe Keystore, le mot de passe par
lequel le Keystore des certificats est verrouillé, est utilisé à la place.
4. Redémarrez le composant approprié.
REMARQUE : Il n'est pas nécessaire d'utiliser le répertoire de déploiement
Certificate_for_CONTROL-M_SelfService, étant donné que les Control-M/EM Servers gèrent les
certificats de Self Service et Workload Change Manager.
Si vous utilisez Windows avec UAC activé, exécutez le script à partir de la console d'administration.
Restauration d'un certificat précédent
Si vous voulez automatiquement restaurer un certificat précédent à partir d'une sauvegarde de
Control-M/EM Client, Control-M/EM Server, Control-M/Server et Control-M/Agent, exécutez le script de
configuration depuis la sauvegarde, comme suit :
13
Control-M Workload Automation Guide de SSL
UNIX : <sslBackupDir>/setup.sh
Windows : <sslBackupDir>\setup.bat
Les scripts de configuration enregistrent une sauvegarde de l'état du certificat avant le déploiement dans
un répertoire distinct dans le répertoire ssl_backup.
REMARQUE : Le processus CORBA Naming Service doit être activé lors de l'exécution du script de
configuration de l'interface utilisateur WEB de BMC Batch Impact Manager.
Copies de certificats pour Control-M for z/OS
Pour Control-M for Z/OS, vous devez transmettre le contenu du répertoire à votre administrateur z/OS
Control-M.
Le tableau suivant décrit les fichiers keystore pour z/OS.
Fichier Keystore
Détails
IOAGATE.p12
Exportez le certificat de Control-M for z/OS avec la paire
de clés à utiliser par IOAGATE au format PKCS#12. Le
mot de passe du fichier PCKS#12 s'affiche dans la fenêtre
récapitulative générée lors de l'exécution de l'assistant de
génération des certificats de composant.
CA.pem
Exportez le certificat de l'autorité de certification de site
qui a signé le certificat du client au format PEM lorsque
CLIAUTH=YES (qui utilise l'authentification client) est
défini dans IOAGATE.
Pour de plus amples informations sur l'utilisation de ces fichiers, voir le Guide d'installation
de INCONTROL for z/OS, Annexe B « Facteurs à prendre en compte pour la configuration et
l'installation de IOAGATE, prise en charge SSL ».
14
Control-M Workload Automation Guide de SSL
SSL sur BMC et autres composants
Vous pouvez appliquer SSL à l'environnement complet, ou sélectionner uniquement des composants.. Le
schéma suivant décrit les flux de communication SSL :
Par exemple, si vous voulez que SSL soit activé entre Control-M/EM Server et les clients, tous les clients
doivent être sécurisés et pas simplement ceux sélectionnés. Pour les agents, vous pouvez choisir de ne
sécuriser que les agents sélectionnés uniquement.
Les sections suivantes décrivent comment configurer SSL sur les différents composants :
Activation de SSL entre Control-M/EM et Control-M/Server (à la page 16)
Activation de SSL sur Control-M/Agents (à la page 18)
Activation de SSL sur Control-M/Server (à la page 17)
Activation de SSL entre Control-M/Server et le client Control-M (à la page 18)
Configuration de la communication sécurisée entre Web Server et GUI Server (à la page 23)
Configuration de Control-M Workload Archiving Server pour utiliser SSL
Configuration de NamingViewer (navigateur de Naming Service) (à la page 26)
Configuration de l'app Web de BMC Batch Impact Manager (à la page 27)
Configuration de la communication avec des serveurs LDAP ou Active Directory utilisant SSL. (à la
page 30)
15
Control-M Workload Automation Guide de SSL
Activation de SSL entre Control-M/EM et Control-M/Server
Cette procédure décrit comment activer SSL entre Control-M/EM et Control-M/Server .
Pour activer SSL :
1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système >
Paramètres système CONTROL-M/EM....
2. Dans la section Avancé, ouvrez les propriétés de CmsCommMode , et dans le champ Valeur,
entrez AUTO.
3. Cliquez sur Save (Enregistrer).
4. Redémarrez Control-M Configuration Server pour implémenter la modification.
5. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants.
b. Arrêtez le config agent, naming service et CMS comme suit :
o
UNIX : dans le compte Control-M/EM, exécutez :
stop_config_agent
stop_cms
stop_ns_daemon
o
Windows :
arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms.
Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
6. Démarrez les composants Control-M :
•
Démarrez le config agent :
Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent.
Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le
Gestionnaire de tâches Windows).
Activation de SSL entre Control-M/EM et Control-M/Server
Cette procédure décrit comment activer SSL entre Distributed Control-M/EM et Control-M/Server .
Pour activer SSL :
1. Dans Control-M Configuration Manager, menu Outils , sélectionnez Configuration système >
Paramètres système CONTROL-M/EM....
16
Control-M Workload Automation Guide de SSL
2. Dans la section Avancé, ouvrez les propriétés de CmsCommMode , et dans le champ Valeur,
entrez AUTO.
3. Cliquez sur Save (Enregistrer).
4. Redémarrez Control-M Configuration Server pour implémenter la modification.
5. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants.
b. Arrêtez le config agent, comme suit :
o
UNIX : dans le compte Control-M/EM, exécutez :
stop_config_agent
o
Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire
de tâches Windows).
6. Démarrez les composants Control-M :
•
Démarrez le config agent :
Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent.
Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le
Gestionnaire de tâches Windows).
Activation de SSL sur Control-M/Server
Cette procédure décrit comment activer SSL sur Control-M/Server à l'aide de l'utilitaire ctmsys. Vous devez
exécuter cette procédure pour chaque Control-M/Server.
Pour activer SSL à l'aide de l'utilitaire ctmsys :
1. Connectez-vous à l'ordinateur serveur en tant que propriétaire de Control-M for Databases (par
exemple, utilisateur controlm).
2. Exécutez l'utilitaire ctmsys.
Pour plus d'informations sur l'utilitaire ctmsys, voir ctmsys.
Le menu suivant est affiché :
+------------------------------------------------+
|
UTILITAIRE DE MAINTENANCE SYSTÈME Control-M
|
Menu principal
+------------------------------------------------+
1)
2)
Tables de destinations de shout
Paramètres système
q)
Quitter
|
|
3. Dans le menu principal ctmsys, sélectionnez l'option 2 System Parameters (Paramètres
système).
4. Entrez n pour passer à la page de paramètres suivante.
17
Control-M Workload Automation Guide de SSL
5. Définissez l'option 9 Secure Sockets Layer sur ENABLED.
REMARQUE : Lorsque vous définissez l'option 9 sur ENABLED, tous les agents sont automatiquement
définis pour utiliser SSL.
Activation de SSL sur Control-M/Agents
Cette procédure décrit comment activer SSL sur Control-M/Agents à l'aide de Control-M Configuration
Manager. Pour utiliser l'utilitaire ctmagcfg, voir Configuration de Control-M/Agent pour utiliser SSL (à la
page 35).
Pour modifier les paramètres de chaque agent conformément à sa configuration
requise :
1. Dans Control-M Configuration Manager, cliquez avec le bouton droit de la souris sur le
Control-M/Agent requis et sélectionnez Properties (Propriétés).
2. Dans l'onglet Communication, cliquez sur la flèche du bas en regard de Secure Socket Layer et
sélectionnez la valeur requise. Les valeurs sont les suivantes :
•
Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server
•
Enabled (Activé) – la connexion entre l'agent et Control-M/Server est en mode SSL, peu
importe le mode de connexion du serveur
•
Disabled (Désactivé) – la connexion entre l'agent et Control-M/Server est en mode TCP, peu
importe le mode de connexion du serveur
3. Cliquez sur Test pour vérifier que vos paramètres sont corrects et utilisables.
4. une fois que le test a validé les paramètres, cliquez sur OK.
Le mode de connexion de l'agent peut être défini pour n'importe laquelle des valeurs valides.
Control-M Server s'ajustera aux modifications effectuées.
REMARQUE : BMC recommande que le basculement de SSL activé au mode par défaut du serveur
(lorsque le mode est défini sur DISABLED) doit être effectué comme suit :
Définissez l'agent sur SSL désactivé puis attendez que l'agent soit de nouveau disponible.
Lorsque l'agent est disponible (connexion en mode TCP), définissez l'agent afin de travailler en mode
par défaut.
Activation de SSL entre Control-M/Server et le client
Control-M
Cette procédure décrit comment configurer la communication de SSL entre Control-M/EM et
Control-M/Server .
REMARQUE : Si Control-M/EM Server et le client Control-M sont sur des machines distinctes, vous devez
effectuer les étapes suivantes sur les deux machines.
18
Control-M Workload Automation Guide de SSL
Pour configurer SSL entre Control-M/Server et le client Control-M :
1. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Down (Arrêté).
b. Arrêtez le config agent, naming service et CMS comme suit :
o
Pour UNIX, depuis le compte Control-M/EM, exécutez :
stop_config_agent
stop_cms
stop_ns_daemon
o
Pour Windows :
arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms.
Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante :
setenv DISPLAY <terminal_IP_address>
3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes
:
•
* [UNIX] orbconfigure
•
* [Windows] orbconfigure.vbs (under \bin)
La fenêtre de configuration de domaine s'affiche.
4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante :
a. Cochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer).
b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier
de configuration interne TAO), remplacez le nom du fichier ‘client_server.conf’ par
‘ssl_client_server.conf’.
5. Cliquez sur Suivant. Le volet Naming Service est affiché (si nécessaire, configurez les valeurs Hôte et
Port).
6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur
Finish (Terminer).
7. Exécutez : orbadmin ns start.
19
Control-M Workload Automation Guide de SSL
8. Démarrez les composants Control-M :
a. Démarrez le config agent :
Pour UNIX, depuis le compte Control-M/EM, exécutez start_config_agent.
Pour Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le
Gestionnaire de tâches Windows).
b. Dans Control-M Configuration Manager, démarrez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Up (Fonctionnel).
Activation de SSL entre Control-M/Server et le client
Control-M
Cette procédure décrit comment configurer la communication de SSL entre Distributed Control-M/EM
Server et le client Control-M.
Pour configurer SSL entre Distributed Control-M/EM Server et le client Control-M :
1. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Down (Arrêté).
b. Arrêtez le config agent :
o
UNIX : dans le compte Control-M/EM, exécutez :
stop_config_agent
o
Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire
de tâches Windows).
2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante :
setenv DISPLAY <terminal_IP_address>
3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes
:
•
* [UNIX] orbconfigure
•
* [Windows] orbconfigure.vbs (under \bin)
La fenêtre de configuration de domaine s'affiche.
4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante :
a. Cochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer).
b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier
de configuration interne TAO), remplacez le nom du fichier ‘client_server.conf’ par
‘ssl_client_server.conf’.
5. Cliquez sur Suivant. Le volet Naming Service est affiché (si nécessaire, configurez les valeurs Hôte et
Port).
20
Control-M Workload Automation Guide de SSL
6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur
Finish (Terminer).
7. Exécutez : orbadmin ns start.
8. Démarrez les composants Control-M :
a. Démarrez le config agent :
o
UNIX : dans le compte Control-M/EM, exécutez start_config_agent.
o
Windows : démarrez le config agent dans la fenêtre Services (accessible depuis le
Gestionnaire de tâches Windows).
b. Dans Control-M Configuration Manager, démarrez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Up (Fonctionnel).
Désactivation de SSL entre Control-M/Server et le client
Control-M (Repasser à TCP)
Cette procédure décrit comment rétablir SSL entre Distributed Control-M/EM Server et le client Control-M.
REMARQUE : Si Control-M/EM Server et le client Control-M sont sur des machines distinctes, vous devez
effectuer les étapes suivantes sur les deux machines.
Pour repasser à TCP :
1. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Down (Arrêté).
b. Arrêtez le config agent, naming service et CMS comme suit :
o
Pour UNIX, depuis le compte Control-M/EM, exécutez :
stop_config_agent
stop_cms
stop_ns_daemon
o
Pour Windows :
arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
Depuis la ligne de commande, arrêtez CMS, en exécutant stop_cms.
Arrêtez le Naming Service dans la fenêtre Services (accessible depuis le Gestionnaire de tâches
Windows).
2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante :
setenv DISPLAY terminal_IP_address
21
Control-M Workload Automation Guide de SSL
3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes
:
•
* [UNIX] orbconfigure
•
* [Windows] orbconfigure.vbs
4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante :
a. Décochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer).
b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier
de configuration interne TAO), repassez le nom du fichier en client_server.conf.
5. Cliquez sur Suivant. Dans le volet Naming Service, procédez de la façon suivante :
a. Cliquez sur Show local settings (Afficher les paramètres locaux).
b. Décochez la case Use TAO internal configuration file (Utiliser le fichier de configuration
interne TAO).
6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur
Finish (Terminer).
7. Arrêtez tous les composants Control-M/EM. orbadmin ns start
Désactivation de SSL entre Control-M/Server et le client
Control-M (Repasser à TCP)
Cette procédure décrit comment rétablir SSL entre un Distributed Control-M/EM Server et le client
Control-M.
Pour repasser à TCP :
1. Arrêtez les composants Control-M :
a. Dans Control-M Configuration Manager, arrêtez tous les composants. Pour chaque composant,
sélectionnez-le, puis cliquez avec le bouton droit et sélectionnez Desired State (État souhaité)
> Down (Arrêté).
b. Arrêtez le config agent :
o
UNIX : dans le compte Control-M/EM, exécutez :
stop_config_agent
o
Windows : arrêtez le config agent dans la fenêtre Services (accessible depuis le Gestionnaire
de tâches Windows).
2. Sur les ordinateurs UNIX uniquement, saisissez la commande suivante :
setenv DISPLAY terminal_IP_address
3. Démarrez l'assistant de configuration de domaine (orbconfigure) avec l'une des commandes suivantes
:
•
* [UNIX] orbconfigure
•
* [Windows] orbconfigure.vbs
22
Control-M Workload Automation Guide de SSL
4. Dans le volet Domain Settings (Paramètres du domaine), procédez de la façon suivante :
a. Décochez la case Use Secure Sockets Layer (SSL) (Utiliser Secure Sockets Layer).
b. Dans le chemin donné, sous la case Use TAO internal configuration file (Utiliser le fichier
de configuration interne TAO), repassez le nom du fichier en client_server.conf.
5. Cliquez sur Suivant. Dans le volet Naming Service, procédez de la façon suivante :
a. Cliquez sur Show local settings (Afficher les paramètres locaux).
b. Décochez la case Use TAO internal configuration file (Utiliser le fichier de configuration
interne TAO).
6. Cliquez sur Suivant. Le résumé des paramètres de configuration de domaine s'affiche. Cliquez sur
Finish (Terminer).
7. Arrêtez tous les composants Control-M/EM. orbadmin ns start
Configuration de la communication sécurisée entre Web
Server et GUI Server
Apache Tomcat Web Server communique avec Control-M/EM GUI Server à l'aide de SSL, en utilisant
l'implémentation JacORB de CORBA.
Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties
(<Control-M/EM_directory>/etc/jacorb.properties). Ils sont décrits dans Paramètres SSL de
JacORB (à la page 24).
REMARQUE : Pour des informations sur la création d'un keystore à utiliser avec les composants Web de
Tomcat Web Server, voir Exportation ou importation des clés privée/publique.
Pour configurer Apache Tomcat Web server afin qu'il soit compatible avec SSL :
1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on.
Selon que vous utilisiez une implémentation Sun JSSE ou IBM JSSE (exemple IBM AIX), supprimez les
marques de commentaire (effacez les balises de hachage) du code inutile et utilisez IBMX509 ou
SunX509, comme indiqué dans les exemples suivants :
Implémentation de Sun JSSE
#Which algorithms to use to initialize the client/server SSL socket
factories
#Use IbmX509 with IBM JDKs
jacorb.security.jsse.server.key_manager_algorithm=SunX509
jacorb.security.jsse.server.trust_manager_algorithm=SunX509
jacorb.security.jsse.client.key_manager_algorithm=SunX509
jacorb.security.jsse.client.trust_manager_algorithm=SunX509
Implémentation de IBM JSSE
# Which algorithms to use to initialize the client/server SSL socket
factories
23
Control-M Workload Automation Guide de SSL
# Use IbmX509 with IBM JDKs
jacorb.security.jsse.server.key_manager_algorithm=IbmX509
jacorb.security.jsse.server.trust_manager_algorithm=IbmX509
jacorb.security.jsse.client.key_manager_algorithm=IbmX509
jacorb.security.jsse.client.trust_manager_algorithm=IbmX509
2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server.
3. Passez à Configuration de la communication sécurisée entre l'application Web et Web Server (à la
page 24)
Pour configurer Apache Tomcat Web server afin qu'il soit compatible avec TCP/IP :
1. Modifiez le fichier jacorb.properties manuellement.
2. Définissez le paramètre jacorb.security.support_ssl parameter sur off.
3. Dans Control-M Configuration Manager, redémarrez Control-M Web Server.
Paramètres SSL de JacORB
Le tableau suivant décrit les paramètres SSL de JacORB.
Paramètres SSL pour JacORB dans le fichier jacorb.properties
Paramètre
Description
jacorb.security.support_ssl
Détermine si SSL est activé. Valeurs valides : on (utilise le
protocole SSL), off (utilise le protocole TCP/IP). Valeur
par défaut : off.
jacorb.security.keystore
Contient le chemin d'accès complet et le nom du fichier
keystore.
jacorb.security.keystore_
password
Contient le mot de passe du fichier keystore.
jacorb.security.keystore_
password_crypt
Pour chiffrer la phrase de passe. On ouoff.
24
Control-M Workload Automation Guide de SSL
Configuration de la communication sécurisée entre
l'application Web et Web Server
Cette procédure décrit comment configurer Control-M/EM Web Server pour qu'il utilise HTTPS, ce qui
permet de sécuriser les données entre le navigateur Web et le serveur Web.
REMARQUE : Control-M/EM Web Server est un Apache Tomcat Web Server.
Control-M/EM Web Server fournit un certificat DEMO signé par l'autorité de certification DEMO de
Control-M. L'autorité de certification DEMO de Control-M, qui certifie le certificat DEMO n'est pas
approuvée par le navigateur Web. Le navigateur Web émet un message d'avertissement vous informant
de ne pas accéder à ce site car l'autorité de certification DEMO n'est pas approuvée par le navigateur
Web. Si vous continuez, vous recevrez une notification d'erreur de certificat. BMC Software recommande
de remplacer le certificat démo par un certificat signé par une autorité de certification reconnue par votre
organisation.
Pour configurer Control-M/EM Web Server afin qu'il utilise HTTPS :
1. Éditez une des commandes suivantes en fonction du système d'exploitation :
•
Windows : {CONTROL-M/EM}\{Instance}\emweb\tomcat\conf\server.xml
•
UNIX : {CONTROL-M/EM}/ctm_em/etc/emweb/tomcat/conf/server.xml
Dans le fichier server.xml, accédez au contenu xml suivant. Le connecteur doit désigner le keystore et
le mot de passe corrects.
<!-- A "Connector" represents an endpoint by which requests are received
...
...
-->
Ajoutez le contenu xml suivant après le contenu ci-dessus.
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
keystoreFile="conf/tomcat.keystore"
keystorePass="{password}" />
Pour un exemple de cette configuration, ouvrez le fichier server.xml.HTTPS.
2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server.
25
Control-M Workload Automation Guide de SSL
Importation de vos propres certificats dans le keystore
Apache Tomcat Web Server par défaut
Cette procédure décrit comment importer votre propre certificat (à partir d'une CA certifiée) dans le
keystore Tomcat par défaut.
REMARQUE : Cette procédure ne s'applique pas au remplacement du keystore par défaut lui-même,
mais au certificat dans le keystore par défaut.
Pour remplacer le certificat dans le keystore par défaut :
1. Accédez à <KEYSTORE_HOME> (où tomcat.keystore est situé) :
•
UNIX : $EM_HOME/emweb/tomcat/conf
•
Windows : %EM_HOME%\emweb\tomcat\conf
2. Supprimez l'alias « tomcat » existant du keystore par défaut :
"keytool -delete -keystore <KEYSTORE_HOME>\tomcat.keystore -alias tomcat"
3. Importez CA ROOT de la chaîne :
"keytool -import -alias <root CA alias> -trustcacerts -file <path to root CA certificate> -keystore
<KEYSTORE_HOME>\tomcat.keystore"
4. Importez les CA intermédiaires de la chaîne (si nécessaire). Répétez cette étape par CA intermédiaire
dans la chaîne :
"keytool -import -alias <intermediate CA alias> -trustcacerts -file <path to intermediate CA
certificate> -keystore <KEYSTORE_HOME>\tomcat.keystore"
5. Importez le certificat de l'utilisateur final signé par la chaîne ci-dessus :
"keytool -import -alias tomcat -trustcacerts -file <path to end user certificate> -keystore
<KEYSTORE_HOME>\tomcat.keystore"
6. Redémarrez Web Server.
Configuration de NamingViewer (navigateur de Naming
Service)
L'utilitaire NamingViewer prend en charge la navigation des Naming Services sécurisés qui utilisent SSL
avec l'implémentation JacORB de CORBA.
Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties, du répertoire suivant :
<Control-M/EM_directory>/etc/jacorb.properties
26
Control-M Workload Automation Guide de SSL
Pour activer la navigation des Naming Services sécurisés avec SSL :
1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on.
2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier
jacorb.properties (pour l'implémentation IBM JSSE) :
jacorb.security.jsse.server.key_manager_algorithm=IbmX509
jacorb.security.jsse.server.trust_manager_algorithm=IbmX509
jacorb.security.jsse.client.key_manager_algorithm=IbmX509
jacorb.security.jsse.client.trust_manager_algorithm=IbmX509
La valeur par défaut pour tous les paramètres ci-dessus est SunX509 (implémentation Sun JSSE).
Pour parcourir des Naming Services non sécurisés :
1. Modifiez le fichier jacorb.properties manuellement.
2. Définissez le paramètre jacorb.security.support_ssl sur off.
Configuration de l'app Web de BMC Batch Impact Manager
BMC Batch Impact Manager est fourni avec les fichiers bim_ssl.ear ou bim_ssl.war qui sont configurés
avec un certificat SSL par défaut.
REMARQUE : À la différence des fichiers bim.ear et bim.war ordinaires, les fichiers bim_ssl.ear et
bim_ssl.war peuvent être utilisés uniquement pour communiquer avec une installation Control-M/EM
avec SSL activé.
Sauf si vous utilisez Java IBM JDK, ou vos propres clés privées, tout ce que vous avez à faire pour accéder
à l'interface Web dans un environnement activé par SSL, est d'utiliser le répertoire « bim_ssl » au lieu de
« bim » :
EXEMPLE : http://locahost:18081/bim_ssl
Pour activer SSL pour l'interface Web BMC Impact Manager, reportez-vous à une des procédures
suivantes :
Activation de SSL avec les certificats par défaut et IBM JDK (à la page 27) : pour effectuer un
déploiement sur un serveur Web qui utilise le protocole SSL et le JDK IBM (par exemple, la plupart
des configurations WebSphere).
Activation de SSL en remplaçant les clés dans BMC Batch Impact Manager (à la page 28) : pour
effectuer un déploiement sur un système qui utilise SSL et nécessite le remplacement des clés ou des
mots de passe.
27
Control-M Workload Automation Guide de SSL
Activation de SSL avec les certificats par défaut et IBM JDK
La procédure suivante décrit comment activer SSL sur BMC Batch Impact Manager avec les certificats
par défaut et IBM JDK. Ceci s'applique au déploiement sur tout serveur Web qui utilise le protocole SSL et
le JDK IBM (par exemple, la plupart des configurations WebSphere).
Pour activer SSL :
1. Accédez au répertoire racine BMC Batch Impact Manager :
•
UNIX : cd <Control-M/EM_directory>/bin
•
Windows : cd <Control-M/EM_directory>\bim\webapp
2. Exécutez l'utilitaire configmanager :
•
(UNIX) em bim_configmanager -nshost<hostName> -nsport<portName> -pathtobim .
-SSLJSSEplatform IBM
•
(Windows) .\bim_configmanager.bat -nshost<hostName> -nsport<portName> -pathtobim .
-SSLJSSEplatform IBM
3. Passez à Utilisation de l'utilitaire configmanager : (à la page 29) pour vérifier si des paramètres
supplémentaires sont nécessaires.
4. Une fois que vous avez terminé avec l'utilitaire, utilisez les nouveaux fichiers bim_ssl.ear et
bim_ssl.war pour le déploiement, et suivez les instructions fournies par votre serveur d'application
Web.
REMARQUE : Si les arguments SSL ne sont pas inclus lors de l'exécution de l'utilitaire, les fichiers de
déploiement SSL peuvent ne pas être créés.
Activation de SSL en remplaçant les clés dans BMC Batch Impact
Manager
Cette procédure décrit comment remplacer les clés et/ou mots de passe pour déployer SSL sur BMC Batch
Impact Manager.
Pour activer SSL :
1. Accédez au répertoire racine BMC Batch Impact Manager :
•
UNIX : cd <Control-M/EM_directory>/bin
•
Windows : cd <Control-M/EM_directory>\bim\webapp
REMARQUE : Tous les chemins d'accès aux ordinateurs sur lesquels vous effectuez le déploiement
doivent être des chemins absolus (pas relatifs).
2. Exécutez l'utilitaire configmanager :
•
(UNIX) em bim_configmanager -nshost<hostName> -nsport<portName> -pathtobim .
-SSLkeystorepath<fullPath>
•
(Windows) ..\bim_configmanager.bat -nshost<hostName> -nsport<portName> -pathtobim .
-SSLkeystorepath<fullPath> -SSLkeystorepassword<passwordtoopenkeystore>
28
Control-M Workload Automation Guide de SSL
3. Vous pourriez avoir besoin d'autres paramètres requis par votre système. Passez à Utilisation de
l'utilitaire configmanager : (à la page 29) pour vérifier les arguments supplémentaires de l'utilitaire
configmamanger.
4. Une fois que vous avez terminé avec l'utilitaire, utilisez les nouveaux fichiers bim_ssl.ear et
bim_ssl.war pour le déploiement, et suivez les instructions fournies par votre serveur d'application
Web.
REMARQUE : Si les arguments SSL ne sont pas inclus lors de l'exécution de l'utilitaire, les fichiers de
déploiement SSL peuvent ne pas être créés.
Utilisation de l'utilitaire configmanager :
Le tableau suivant décrit les arguments disponibles dans l'utilitaire configmanager :
Argument
Description et valeur
-SSLJSSEplatform <SUN|IBM>
Plateforme du JDK. Obligatoire. Valeurs valides :
SUN : Par défaut
IBM : Pour les serveurs Web comme WebSphere
-SSLkeystorepassword <password>
Mot de passe pour l'ouverture du keystore. Facultatif.
SSLkeystorepasswordencryption
Mode de chiffrement pour le mot de passe. Facultatif.
Les valeurs valides sont les suivantes :
<on|off>
on : Le mot de passe est chiffré.
off : Le mot de passe n'est pas chiffré. Par défaut.
-SSLkeystorepath<fullPath>
Chemin d'accès complet vers le nouveau keystore.
Facultatif.
-nshost<hostName>
Hôte du Naming Service. Facultatif.
-nsport<portName>
Port du Naming Service. Facultatif.
-pathtobim<fullPath>
Chemin d'accès complet au répertoire d'installation de
l'application Web BMC Batch Impact Manager Obligatoire.
Les valeurs valides sont les suivantes :
Windows :
<Control-M/EM_directory>\bim\webapp
UNIX :
<Control-M/EM_directory>/etc/bim/webapp
-v
Sortie détaillée
29
Control-M Workload Automation Guide de SSL
Exportation ou importation de clés privée/publique
Pour créer le fichier em.keystore et exporter ou importer une clé privée/publique :
Exécutez l'utilitaire keytool avec les paramètres suivants :
keytool -genkey -alias alias_for_the_entry -keystore keystore_file_path -storepass
keystore_password -keypass keystore_password -dname distinquished_name
EXEMPLE : keytool -genkey -alias em -keystore em.keystore -storepass empass -keypass empass -dname
"C=IS, ST=Texas, L=Houston, O=bmc, OU=ESM, CN=em/Email=em@bmc.com"
REMARQUE : Le mot de passe de storepass et keypass doivent être identiques car JacORB ne traite
qu'un seul mot de passe.
Configuration de la communication avec des serveurs
LDAP ou Active Directory utilisant SSL.
La procédure suivante décrit comment activer SSL pour LDAP et Active Directory lorsque Control-M/EM est
installé sur les systèmes d'exploitation UNIX et Linux.
Pour activer SSL :
1. Placez le fichier em_ldap_ssl.pem dans le répertoire <Control-M/EM_directory>\etc\keystore.
2. Vérifiez qu'un périphérique aléatoire est installé sur l'ordinateur Control-M/EM comme suit :
a. Localisez le fichier random ou urandom dans le répertoire /dev. Si vous trouvez le fichier
random, vérifiez que son chemin fait partie du chemin de recherche.
b. Si aucun de ces fichiers n'existe, ouvrez le fichier <Control-M/EM_directory>/etc/ldap.conf
dans un éditeur de texte.
c. Localisez la ligne #TLS_RANDFILE <Control-M/EM_directory>/ini/ssl/rnd.bin et supprimez le
caractère #.
d. Enregistrez le fichier modifié.
3. Définissez une variable d'environnement nommée « LDAPCONF » avec une valeur pointant sur le
fichier « ldap.conf », qui est défini par le profil de compte EM UNIX.
EXEMPLE : setenv LDAPCONF <Control-M/EM_directory>/ctm_em/etc/ldap.conf
4. Redémarrez tous les composants EM en appliquant les commandes stop_all et start_all.
5. Définissez un serveur LDAP qui peut communiquer avec Control-M/EM en mode SSL, comme décrit
dans Définition des paramètres système LDAP.
Si vous n'appliquez pas toutes les étapes ci-dessus, l'authentification LDAP en mode SSL échoue.
6. Redémarrez les composants GUI et CMS.
Reportez-vous à l'exemple suivant : Obtention d'un fichier de certificat à partir d'un serveur Windows
Active Directory (à la page 31).
30
Control-M Workload Automation Guide de SSL
Obtention d'un fichier de certificat à partir d'un serveur Windows
Active Directory
La procédure suivante indique comment obtenir un fichier de certificat à partir du serveur Windows Active
Directory. Le nom du fichier de certificat au format .pem doit être renommé em_ldap_ssl.pem. La
procédure de modification du nom est exposée dans l'exemple du serveur Active Directory à l'exemple 8b.
1. Sélectionnez Programs => Administrative Tools => Certification Authority (Programmes
=> Outils d'administration => Autorité de certification) pour ouvrir l'application de l'autorité
de certification.
2. Cliquez avec le bouton droit de la souris sur Certification Authority (Autorité de certification) et
sélectionnez Properties (Propriétés).
3. Cliquez sur View Certificate (Afficher le certificat) pour afficher la page du certificat.
4. Dans l'onglet Details (Détails), cliquez sur Copy to file (Copier dans le fichier) pour démarrer
l'assistant d'exportation de certificat.
5. Sur la page Export File Format (Format du fichier d'exportation), sélectionnez le format
Base-64 Encoded X.509 (.cer) et cliquez sur Next (Suivant).
6. Entrez un nom de fichier avec une extension .cer qui inclut le nom du serveur Active Directory.
7. Exécutez les étapes de l'assistant pour créer une copie exportée de l'autorité de certification pour le
serveur Active Directory.
8. Convertissez le certificat du format .cer au format .pem comme suit :
a. À l'aide de FTP ou d'une autre application de copie de fichier, copiez le fichier de certificat du
serveur Active Directory que vous venez de créer sur un système sur lequel le client Active
Directory s'exécute.
b. Connectez-vous au système sur lequel vous avez copié le certificat et exécutez la commande
suivante :
openssl x509 -in AD certificate name -out em_ldap_ssl.pem
AD certificate name représente le nom de fichier donné à l'étape 6.
REMARQUE : Pour un fichier de certificat obtenu à partir d'un serveur LDAP différent, renommez le
fichier em_ldap_ssl.pem.
L'emplacement et le nom du fichier de certificat (.pem) peuvent être modifiés en configurant la
valeur de paramètre TLS_CACERT dans le fichier <Control-M/EM_directory>/etc/ldap.conf du
nouveau nom et chemin d'accès.
Pour Control-M/EM installé sous Windows :
9. Obtenez un fichier de certificat au format .pem à partir du serveur de répertoire. La création et
l'exportation des fichiers de certificat sont différentes pour chaque fournisseur de serveur LDAP.
Contactez votre administrateur de serveur LDAP pour obtenir le fichier de certificat adéquat. Pour
savoir comment obtenir un certificat à partir de Windows Active Directory, voir l'exemple ci-dessus.
10. Placez le fichier de certificat à l'emplacement approprié et suivez les instructions d'installation du
certificat SSL, fournies par Microsoft, à l'aide de l'utilitaire MMC.
Pour plus d'informations sur la poursuite de la configuration LDAP et SSL, voir Administration.
31
Control-M Workload Automation Guide de SSL
Configuration de la communication sécurisée entre
l'application Web et Web Server
Cette procédure décrit comment configurer Control-M/EM Web Server pour qu'il utilise HTTPS, ce qui
permet de sécuriser les données entre le navigateur Web et le serveur Web.
REMARQUE : Control-M/EM Web Server est un Apache Tomcat Web Server.
Control-M/EM Web Server fournit un certificat DEMO signé par l'autorité de certification DEMO de
Control-M. L'autorité de certification DEMO de Control-M, qui certifie le certificat DEMO n'est pas
approuvée par le navigateur Web. Le navigateur Web émet un message d'avertissement vous informant
de ne pas accéder à ce site car l'autorité de certification DEMO n'est pas approuvée par le navigateur
Web. Si vous continuez, vous recevrez une notification d'erreur de certificat. BMC Software recommande
de remplacer le certificat démo par un certificat signé par une autorité de certification reconnue par votre
organisation.
Pour configurer Control-M/EM Web Server afin qu'il utilise HTTPS :
1. Éditez une des commandes suivantes en fonction du système d'exploitation :
•
Windows : {CONTROL-M/EM}\{Instance}\emweb\tomcat\conf\server.xml
•
UNIX : {CONTROL-M/EM}/ctm_em/etc/emweb/tomcat/conf/server.xml
Dans le fichier server.xml, accédez au contenu xml suivant. Le connecteur doit désigner le keystore et
le mot de passe corrects.
<!-- A "Connector" represents an endpoint by which requests are received
...
...
-->
Ajoutez le contenu xml suivant après le contenu ci-dessus.
<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
maxThreads="150" scheme="https" secure="true"
clientAuth="false" sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
keystoreFile="conf/tomcat.keystore"
keystorePass="{password}" />
Pour un exemple de cette configuration, ouvrez le fichier server.xml.HTTPS.
2. Dans Control-M Configuration Manager, redémarrez Control-M Web Server.
32
Control-M Workload Automation Guide de SSL
Paramètres et configurations avancés
Les sections suivantes contiennent des informations supplémentaires sur les configurations et paramètres
de sécurité :
Configuration de Control-M/Agent pour utiliser SSL (à la page 35)
Modification d'un mode de connexion serveur-agent pour un agent existant (à la page 36)
Configuration de la communication Control-M/EM avec Control-M/Server pour utiliser SSL (instances
Control-M gérées) (à la page 37)
Configuration de l'API Control-M/EM JacORB (à la page 43)
Configuration d'un certificat signé pour un keystore Java (à la page 56)
Configuration des règles de sécurité (à la page 65)
Paramètres de communication SSL
Cette section décrit brièvement les paramètres relatif à SSL qui détermine les modes de communication
Control-M/Server, Control-M/Agent et Control-M/EM.
Control-M/Server
Le paramètre système SSL détermine le mode de communication que le serveur utilise pour communiquer
avec les agents et Control-M/EM. Vous pouvez définir ce paramètre sur n'importe quel mode de
communication affiché dans le tableau suivant.
Modes de communication Control-M/Server
Mode
Description
ENABLED
(ACTIVÉ)
Control-M/Server fonctionne en mode SSL. Lors de la tentative de connexion à un agent
en mode SSL=N (abordé ultérieurement), le serveur tente de passer l'agent en mode
SSL=Y.
INACTIVE
(INACTIF)
Control-M/Server fonctionne en mode non SSL. Lors de la tentative de connexion à un
agent en mode SSL=Y, le serveur tente de passer l'agent en mode SSL=N.
DISABLED
Control-M/Server fonctionne en mode non SSL. Lors de la tentative de connexion à un
agent en mode SSL=Y, le serveur ne tente pas de passer l'agent en mode SSL=N.
REMARQUE : Passer le mode de communication de ENABLED à DISABLED peut entraîner l'indisponibilité
de tous les agents. Dans ce cas, vous devez passer le mode du serveur à INACTIVE et attendre que tous
les agents requis soient disponibles à nouveau. Ensuite, vous pouvez remplacer le mode du serveur par
ENABLED ou DISABLED.
33
Control-M Workload Automation Guide de SSL
Control-M/Agent
Pour Control-M/Agent, le paramètre COMMOPT détermine le mode de communication de l'agent. Les
valeurs valides pour COMMOPT sont SSL=Y (la communication est activée) ou SSL=N (la communication
est désactivée).
Sur les ordinateurs Microsoft Windows, COMMOPT se trouve dans le registre Control-M/Agent.
Sur les ordinateurs UNIX, COMMOPT se trouve dans le fichier agent_home/ctm/data/CONFIG.dat.
Options de configuration SSL de Control-M/EM
Cette procédure décrit comment configurer les paramètres SSL de Control-M/EM.
Pour configurer SSL dans Control-M/EM :
1. Affichez le menu sslcmd -k gtwkey.kdb (voir Menu sslcmd).
2. Sélectionnez 2 Add CA (Ajouter une CA). À l'invite, entrez le chemin complet et le nom du certificat
de l'autorité de certification
3. Sélectionnez 1 Generate key (Générer une clé) pour générer une paire de clés publique-privée. À
l'invite, saisissez le nom d'alias CODN.
4. Sélectionnez 3 Generate CSR (Générer un CSR). Entrez le chemin de sortie et le nom du fichier
pour le CSR généré. Le CSR généré peut être soumis à une autorité de certification pour obtenir un
certificat numérique.
5. Sélectionnez 4 Add cert (Ajouter un certificat) pour ajouter le certificat numérique à la base de
données de clés SSL.
Lorsque l'invite suivante s'affiche : Entrer le nom du fichier de certificat, Entrez le chemin complet et
le nom du fichier pour le certificat numérique.
Le certificat de Control-M/EM est installé dans la base de données de clés.
6. Affichez le menu sslcmd -k cmsgkey.kdb (voir Menu sslcmd).
7. Sélectionnez 2 Add CA (Ajouter une CA). À l'invite, entrez le chemin complet et le nom du certificat
de l'autorité de certification
8. Sélectionnez 1 Generate key (Générer une clé) pour générer une paire de clés publique-privée. À
l'invite, saisissez le nom d'alias CADN.
9. Sélectionnez 3 Generate CSR (Générer un CSR). Entrez le chemin de sortie et le nom du fichier
pour le CSR généré. Le CSR généré peut être soumis à une autorité de certification pour obtenir un
certificat numérique.
10. Sélectionnez 4 Add cert (Ajouter un certificat) pour ajouter le certificat numérique à la base de
données de clés SSL.
Lorsque l'invite suivante s'affiche : Entrer le nom du fichier de certificat, Entrez le chemin complet et
le nom du fichier pour le certificat numérique.
Le certificat de Control-M/EM est installé dans la base de données de clés.
11. Pour les communications client/serveur Control-M/EM utilisant CORBA uniquement : Entrez 17
(Exporter une paire de clés) pour exporter le certificat au format de fichier pkcs#12.
34
Control-M Workload Automation Guide de SSL
12. Suivez les mêmes étapes afin de mettre à jour la base de données de clés emkey.kdb pour le
chiffrement du mot de passe administrateur Control-M/EM. Utilisez le nom d'alias CODN.
Fichiers Keystore
Cette section décrit les fichiers Keystore utilisés par Control-M.
Fichiers keystore de Control-M
Fichier Keystore
Composant Control-M
KDB
Fichier de base de
données de clés
Control-M/Agent
Control-M/Server
Serveurs Control-M/EM (Gateway)
PEM
Courrier à
confidentialité
améliorée
Serveurs Control-M/EM (serveur GSR, CMS et BIM)
Java Keystore
Control-M/Server
Client Control-M/EM
Client EMAPI Control-M/EM
Control-M Web Services and Messaging API
Control-M BMC Batch Impact Manager
PKCS#12
Control-M for z/OS
REMARQUE : Pour des informations générales sur SSL, consultez la documentation SSL sur Internet.
Pour de plus amples informations sur l'authentification et les niveaux de confidentialité de Control-M, voir
Configuration des règles de sécurité (à la page 65).
Configuration de Control-M/Agent pour utiliser SSL
Pour chaque Control-M/Agent sur lequel vous voulez configurer SSL, effectuez la procédure appropriée :
Pour
Action
Control-M/Agent for UNIX
Dans le fichier agent_home/ctm/data/CONFIG.dat, définissez
COM\-MOPT sur SSL=Y.
Control-M/Agent for Microsoft
Windows (version 6.4.01 et
ultérieure)
Exécutez l'utilitaire ctmagcfg, sélectionnez l'option 7 (Paramètres
avancés), et spécifiez Y (Oui) pour l'option 8 dans le menu Advanced
(Avancé).
35
Control-M Workload Automation Guide de SSL
Pour
Action
Control-M/Agent for Microsoft Exécutez l'utilitaire ctmagcfg et spécifiez Y (O) pour l'option 16 (SSL).
Windows (versions antérieures
à la version 6.4.01)
REMARQUE : L'exécution de cette étape peut faire gagner du temps si vous avez un grand nombre
d'agents qui travaillent avec Control-M/Server. Si vous ignorez cette étape, Control-M/Server effectue
automatiquement une requête ponctuelle pour définir le paramètre SSL. Cette requête nécessite entre
deux et cinq minutes pour chaque agent.
Pour configurer un nouvel agent, vous pouvez utiliser Control-M Configuration Manager ou ctm_menu.
Vous pouvez définir un ou plusieurs agents sur le mode SSL et d'autres agents sur le mode TCP. Par
exemple, vous pouvez utiliser Control-M/Server pour travailler avec la majorité des agents auquel il est
connecté en mode SSL et pouvez vous connecter à d'autres agents en mode TCP.
Lorsque vous ajoutez Control-M/Agent à un Control-M/Server à l'aide de Control-M Configuration Manager
pour configurer le Control-M/Agent afin qu'il utilise SSL, cliquez sur la flèche du bas en regard du champ
Secure Socket Layer. Les valeurs sont les suivantes :
Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server
Enabled (Activé) – la connexion entre l'agent et Control-M Server est en mode SSL, peu importe le
mode de connexion du serveur
Disabled (Désactivé) - la connexion entre l'agent et Control-M Server est en mode TCP, peu
importe le mode de connexion du serveur
Modification d'un mode de connexion serveur-agent pour
un agent existant
Cette procédure décrit comment modifier les paramètres de chaque agent conformément à sa
configuration requise.
Pour modifier le mode de connexion serveur-agent :
1. Dans Control-M Configuration Manager, cliquez avec le bouton droit sur le Control-M/Agent requis et
sélectionnez Properties (Propriétés).
2. Dans l'onglet Communication, cliquez sur la flèche du bas en regard de Secure Socket Layer et
sélectionnez la valeur requise. Les valeurs sont les suivantes :
•
Default (Par défaut) - hérite la valeur de la configuration de Control-M/Server
•
Enabled (Activé) – la connexion entre l'agent et Control-M/Server est en mode SSL, peu
importe le mode de connexion du serveur
•
Disabled (Désactivé) – la connexion entre l'agent et Control-M/Server est en mode TCP, peu
importe le mode de connexion du serveur
3. Cliquez sur Test pour vérifier que vos paramètres sont corrects et utilisables.
36
Control-M Workload Automation Guide de SSL
4. une fois que le test a validé les paramètres, cliquez sur OK.
Le mode de connexion de l'agent peut être défini pour n'importe laquelle des valeurs valides. Le
serveur s'ajustera aux modifications effectuées.
REMARQUE : BMC recommande de passer de SSL activé pour le mode par défaut du serveur (lorsque le
mode est défini sur DISABLED) en procédant comme suit :
Définissez l'agent sur SSL désactivé puis attendez que l'agent soit de nouveau disponible.
Lorsque l'agent est disponible (connexion en mode TCP), définissez l'agent afin de travailler en
mode par défaut.
Configuration de la communication Control-M/EM avec
Control-M/Server pour utiliser SSL (instances Control-M
gérées)
Cette procédure décrit comment configurer la communication de Control-M/EM avec Control-M/Server
pour utiliser SSL (instances Control-M gérées).
Pour configurer la communication de Control-M/EM avec Control-M/Server pour
utiliser SSL (instances Control-M gérées) :
1. Définissez la valeur des paramètres de CMS sur auto.
2. Redémarrez Control-M Configuration Server pour implémenter la modification.
Configuration de la communication Control-M/EM avec
Control-M/Server pour utiliser SSL (instances Control-M
non gérées)
La procédure suivante décrit comment configurer la communication de Control-M/EM avec
Control-M/Server pour utiliser SSL (instances Control-M non gérées).
Pour configurer SSL pour des instances Control-M/EM non gérées :
1. Connectez-vous à Control-M Configuration Manager.
2. Utilisez le panneau de gauche de la fenêtre Configuration Manager pour sélectionner une définition de
serveur :
a. En bas du panneau, sélectionnez l'onglet By Computer (Par ordinateur).
b. Développez le nœud Control-M/Server de l'arborescence All Components (Tous les
composants).
c. Sélectionnez la définition Control-M/Server que vous voulez configurer.
Les composants de la définition sélectionnée s'affichent dans le panneau de droite de la fenêtre.
37
Control-M Workload Automation Guide de SSL
3. Cliquez deux fois sur la ligne affichant le composant de définition Control-M/Server que vous voulez
configurer.
La fenêtre de définition Control-M s'affiche.
4. Dans le champ Protocol (Protocole) de la fenêtre de définition, sélectionnez SSL_ENABLE or TCP
(SSL_ENABLE ou TCP) et cliquez sur OK.
5. Utilisez Control-M Configuration Manager pour arrêter et redémarrer la passerelle Control-M/EM pour
implémenter la modification.
Pour plus d'informations sur Control-M Configuration Manager, voir Administration.
Au démarrage, la passerelle essaie de communiquer avec le serveur à l'aide du protocole TCP/IP. Si le
serveur ne répond pas lors de l'intervalle de synchronisation (90 secondes par défaut), la passerelle
modifie automatiquement son protocole pour SSL et essaie de communiquer à l'aide du protocole SSL.
Stockage des certificats pour TAO
La procédure suivante décrit comment stocker Les certificats CA et signés.
Les certificats d'application et les autorités de certification par défaut sont fournis et stockés au format
PEM standard.
Pour stocker un certificat racine d'autorité (CA) et les certificats signés :
1. Placez les certificats (ca_cert.pem, cert_name.pem et cert_name_priv_key.pem) dans le répertoire
<Control-M/EM_directory>/ini/ssl/new_ca.pem.
2. Mettez à jour les fichiers ssl_client_server.conf et ssl_ns.conf dans le répertoire
<Control-M/EM_directory>/etc> en remplaçant les noms des certificats de démonstration par les
noms de vos certificats. Les paramètres de ssl_client_server.conf sont expliqués dans Paramètres
de ssl_client_server.conf (à la page 39).
EXEMPLE : Si le contenu original du fichier ssl_client_server.conf est :
dynamic SSLIOP_Factory Service_Object *
TAO_SSLIOP:_make_TAO_SSLIOP_Protocol_Factory() "
-SSLAuthenticate SERVER_AND_CLIENT
-SSLPrivateKey 'PEM:/home/ecs1/ctm_em/ini/ssl/CertDemoU_pk.pem'
-SSLCertificate 'PEM:/home/ecs1/ctm_em/ini/ssl/CertDemoU.pem'
-SSLCAfile 'PEM:/home/ecs1/ctm_em/ini/ssl/new_ca.pem'
-SSLrand /home/ecs1/ctm_em/ini/ssl/rnd.bin" static Client_Strategy_Factory "
-ORBConnectStrategy blocked" static Resource_Factory "
-ORBProtocolFactory SSLIOP_Factory"
Remplacez le nom du chemin d'accès complet des certificats (en gras ci-dessus) par les noms
de vos certificats.
Dans cet exemple, l'authentification du serveur et du client est requise car le paramètre
-SSLAuthenticate est défini sur SERVER_AND_CLIENT.
38
Control-M Workload Automation Guide de SSL
Paramètres de ssl_client_server.conf
Le tableau suivant décrit les paramètres du fichier ssl_client_server.conf.
Paramètre
Description
-SSLAuthenticat Indique si l'authentification est requise pour le serveur, le client ou les
e
deux. Valeurs valides : SERVER, CLIENT, SERVER_AND_CLIENT
-SSLPrivateKey
Pointe vers l'emplacement de la clé privée.
-SSLCertificate
Pointe vers l'emplacement de la clé publique.
-SSLCAfile
Pointe vers le certificat CA. Par défaut :
<Control-M/EM_directory>/ini/ssl/new_ca.pem
Les fichiers de certificat CA, clé publique et clé privée peuvent être
remplacées.
-SSLrand
Pointe vers un fichier binaire utilisé pour générer des numéros aléatoires
pour chiffrer dynamiquement les communications entre le client et le
serveur. Le fichier fourni par Control-M/EM peut être remplacé par un
autre fichier binaire. Les fichiers binaires client et serveur sont
indépendants et n'ont pas besoin de correspondre. Par défaut :
<Control-M/EM_directory>/ini/ssl/rnd.bin
REMARQUE : Ce paramètre est facultatif sur les installations Windows.
Mot de passe de la clé privée
Le mot de passe de la clé privée pour les certificats de démonstration est stocké dans le fichier
ClientServerSSL.ini dans le répertoire <Control-M/EM_directory>/ini/ssl. Les composants
Control-M/EM lisent et décodent ce mot de passe et le fournissent à la couche SSL.
Pour mettre à jour le mot de passe de la clé privée pour utilisation avec vos
certificats de site :
1. Allez dans le répertoire <Control-M/EM_directory>/ini/ssl.
2. Mettez à jour le fichier ClientServerSSL.ini avec le nouveau mot de passe chiffré en saisissant la
commande cryptocli new_password ClientServerSSL.ini
Certificat du Naming Service
Le Naming Service exige de manière interactive le mot de passe de la clé privée lors du démarrage. Cette
condition empêche les utilisateurs d'activer le Naming Service en mode batch.
Dans les certificats de démonstration Control-M/EM, le mot de passe a été retiré de la clé privée pour que
le Naming Service puisse être appelé sans saisir le mot de passe. Le fichier de configuration ssl_ns.conf
pointe vers le fichier de clé privée sans mot de passe.
39
Control-M Workload Automation Guide de SSL
Pour activer le Naming Service à l'aide d'une nouvelle clé privée sans mot de passe :
1. Utilisez le fichier ssl_ns.conf pour le Naming Service.
2. Placez le fichier de clé privée dans le répertoire <Control-M/EM_directory>/ini/ssl.
3. Mettez à jour le fichier ssl_ns.conf avec le nouveau nom de fichier de clé privée, comme dans la
section 2 de Stockage des certificats pour TAO (à la page 38) pour le fichier ssl_client_server.conf.
Pour activer le Naming Service de manière interactive à l'aide d'une clé privée
sécurisée :
Dans le panneau Naming Service, définissez le fichier de configuration interne TAO sur le même fichier
que celui utilisé par les serveurs et clients Control-M/EM CORBA :
<Control-M/EM_directory>/etc/ssl_client_server.conf
Cependant, cette alternative nécessite que le mot de passe PEM soit saisi de manière interactive et par
conséquent, le Naming Service ne peut pas être exécuté comme un service Windows.
Expiration du certificat
Control-M/EM est fourni avec des certificats SSL de démonstration avec une période d'expiration de 4 ans.
Les applications clientes vérifient l'expiration du certificat à chaque tentative de connexion. Le client émet
un avertissement si le certificat expire dans un nombre de jours inférieur à celui spécifié dans le
paramètre système WarningSSLExpirationDays , comme décrit dans Paramètres généraux. Valeurs
valides : 1 - 365. Par défaut : 60.
Si un certificat SSL expire dans un nombre de jours inférieur à celui spécifié dans ce paramètre, un
message s'affiche dans la colonne Message de la fenêtre principale de Control-M Configuration Manager
et un enregistrement est consigné dans le journal d'application.
Messages d'erreur SSL communs
Les messages d'erreur SSL communs sont les suivants :
Message 1
ACE_SSL (2372 | 1656) error code: 336151576 - error:14094418:SSL
routines:SSL3_READ_BYTES:tlsvl alert unknown ca
Failed to register in the CORBA services.
Explication : Le serveur de l'interface utilisateur graphique ne parvient pas à résoudre un Naming Service
sécurisé. Le paramètre -SSLCAfile n'est pas spécifié dans le fichier de configuration TAO ou pointe vers
un emplacement non valide.
Action corrective : Déterminez ce qui a provoqué l'erreur et corrigez le problème.
Message 2
ACE_SSL (3632|2580) error code: 336134278 - error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Failed to register in the CORBA services.
Explication : Le serveur de l'interface utilisateur graphique ne parvient pas à résoudre un Naming Service
sécurisé pour l'une des raisons suivantes :
40
Control-M Workload Automation Guide de SSL
Le paramètre -SSLCAfile n'est pas spécifié dans le fichier de configuration TAO.
Le paramètre -SSLCAfile pointe vers un emplacement non valide.
Le fichier CA PEM (new_ca.pem) est corrompu.
Le fichier CA PEM (new_ca.pem) ne correspond pas aux certificats utilisés.
Action corrective : Déterminez ce qui a provoqué l'erreur et corrigez le problème.
Message 3
Failed to register in the CORBA services.
Explication : Une tentative de connexion à un Naming Service non sécurisé a été effectuée.
Action corrective : Vérifiez que la tentative de connexion concerne un Naming Service sécurisé et vérifiez
que le Naming Service a été démarré en tant que Naming Service sécurisé.
Message 4
ClientServerSSL.ini was not found at D:\ Program Files\BMC Software\Control-M EM
7.0.00\Default\ini\ssl
dynamic initialization failed for SSLIOP_Factory
(3868|2956) Unable to initialize the Service Configurator: Invalid argument
Failed to register in the CORBA services.
Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier
ClientServerSSL.ini est introuvable dans le répertoire <Control-M/EM_directory>/ini/ssl.
Action corrective : Vérifiez que le fichier ClientServerSSL.ini se situe dans le répertoire
<Control-M/EM_directory>/ini/ssl.
Message 5
Password decryption error.Key string file may be corrupted.: Unknown error dynamic
initialization failed for SSLIOP_Factory
(1556|2364) Unable to initialize the Service Configurator: Invalid argument
Failed to register in the CORBA services.
Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier
ClientServerSSL.ini est corrompu ou contient un mot de passe qui a été chiffré à l'aide d'une clé
incorrecte.
Action corrective : Vérifiez que le fichier ClientServerSSL.ini n'est pas corrompu et contient un mot de
passe correctement chiffré.
Message 6
dynamic initialization failed for SSLIOP_Factory
(3868|3820) Unable to initialize the Service Configurator: Invalid argument
Failed to register in the CORBA services.
Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le certificat de la clé
privée ou publique est introuvable.
Réponse de l'utilisateur : Vérifiez que le paramètre -SSLPrivateKey pointe vers le fichier contenant la
clé privée. Vérifiez que le paramètre -SSLCertificate pointe vers le fichier contenant la clé publique. Lors
de l'utilisation des certificats de démonstration, les valeurs par défaut sont :
-SSLPrivateKey 'PEM:/home/ctm_em/ini/ssl/CertDemoU_pk.pem'
41
Control-M Workload Automation Guide de SSL
-SSLCertificate'PEM:/home/ctm_em/ini/ssl/CertDemoU.pem'"
Message 7
TAO (2196|3224) Service Configurator unable to open file be D:\ Program Files\BMC
Software\Control-M EM 7.0.00\Default\ini\ssl
(2196|3224) Unable to initialize the Service Configurator: Invalid argument
Failed to register in the CORBA services.
Explication : L'initialisation du serveur de l'interface graphique utilisateur échoue. Le fichier de
configuration référencé dans le paramètre -ORBSvcConf est introuvable. Pour plus d'informations, voir
l'exemple dans Stockage des certificats pour TAO (à la page 38).
Action corrective : Vérifiez que le fichier pointé existe à l'emplacement spécifié.
Exceptions CORBA::TRANSIENT
Pourquoi obtiens-je une exception « CORBA::TRANSIENT » lorsque j'utilise SSLIOP ?
Une exception « CORBA::TRANSIENT » indique généralement que le client n'a pas pu se connecter au
serveur lorsqu'il a tenté d'appeler une requête. Pour l'IIOP standard, ceci se produit normalement lorsque
le client ne peut pas résoudre le nom d'hôte intégré dans l'IOR ou ne peut pas atteindre l'adresse IP
spécifiée.
Dans le cas de SSLIOP, une exception CORBA::TRANSIENT peut être également lancée lorsque les
certificats utilisés ne sont pas valides (par exemple, expirés), ou que le certificat de l'autorité de
certification n'a pas été défini.
Configuration de NamingViewer (navigateur de Naming
Service)
L'utilitaire NamingViewer prend en charge la navigation des Naming Services sécurisés qui utilisent SSL
avec l'implémentation JacORB de CORBA.
Vous trouverez les paramètres SSL de JacORB dans le fichier jacorb.properties, du répertoire suivant :
<Control-M/EM_directory>/etc/jacorb.properties
Pour activer la navigation des Naming Services sécurisés avec SSL :
1. Dans le fichier jacorb.properties, définissez le paramètre jacorb.security.support_ssl sur on.
2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier
jacorb.properties (pour l'implémentation IBM JSSE) :
jacorb.security.jsse.server.key_manager_algorithm=IbmX509
jacorb.security.jsse.server.trust_manager_algorithm=IbmX509
jacorb.security.jsse.client.key_manager_algorithm=IbmX509
jacorb.security.jsse.client.trust_manager_algorithm=IbmX509
La valeur par défaut pour tous les paramètres ci-dessus est SunX509 (implémentation Sun JSSE).
42
Control-M Workload Automation Guide de SSL
Pour parcourir des Naming Services non sécurisés :
1. Modifiez le fichier jacorb.properties manuellement.
2. Définissez le paramètre jacorb.security.support_ssl sur off.
Utiliser votre propre mot de passe chiffré
Le mot de passe keystore des certificats de démonstration n'est pas chiffré. Pour utiliser un mot de passe
chiffré, exécutez l'utilitaire changePass comme suit :
(UNIX) changePass dans le répertoire <Control-M/EM_directory>/bin
(Windows) changePass dans le répertoire <Control-M/EM_directory>\bin
L'utilitaire accepte un mot de passe keytool, le chiffre et met à jour les paramètres
jacorb.security.keystore et jacorb.security.keystore_password_crypt dans le fichier jacorb.properties.
REMARQUE : Si vous configurez le fichier <Control-M/EM_directory>/etc/jacorb.properties afin
d'utiliser SSL, pour ne pourrez pas naviguer dans les Naming Services non sécurisé.
Configuration de l'API Control-M/EM JacORB
Les paramètres SSL pour JacORB se trouvent dans le fichier jacorb.properties. Ce fichier se trouve dans
le répertoire Control-M/Enterprise Manager :
<EM API>/etc/keystore
Ces paramètres sont décrits dans Paramètres de JacORB (à la page 44).
Pour configurer les API Control-M/EM afin qu'ils utilisent le protocole SSL :
1. Exécutez emapi-configure avec l'option -ssl, ou modifiez manuellement le fichier
jacorb.properties comme suit :
a. Définissez le paramètre jacorb.security.support_ssl sur on.
b. Définissez le paramètre ORBInitRef.NameService sur
corbaloc:ssliop:ns_host:ns_port/NameService (remplacez ns_host et ns_port par les
valeurs correctes).
Pour plus d'informations sur emapi-configure, voir Installation de l'API Control-M/EM.
2. Le client JacORB sur IBM (exemple IBM AIX) doit définir les paramètres suivants dans le fichier
jacorb.properties (pour l'implémentation IBM JSSE) :
jacorb.security.jsse.server.key_manager_algorithm=IbmX509
jacorb.security.jsse.server.trust_manager_algorithm=IbmX509
jacorb.security.jsse.client.key_manager_algorithm=IbmX509
jacorb.security.jsse.client.trust_manager_algorithm=IbmX509
La valeur par défaut pour tous les paramètres est SunX509 (implémentation Sun JSSE).
Le fichier jacorb.properties se situe dans le répertoire suivant :
<EM API>/etc/jacorb.properties
43
Control-M Workload Automation Guide de SSL
Pour configurer les API Control-M/EM afin qu'ils utilisent le protocole TCP/IP :
Exécutez emapi-configure sans l'option -ssl, ou modifiez manuellement le fichier
jacorb.properties comme suit :
a. Définissez le paramètre jacorb.security.support_ssl sur off.
b. Définissez le paramètre ORBInitRef.NameService sur
corbaloc:iiop:ns_host:ns_port/NameService (remplacez ns_host et ns_port par les
valeurs correctes).
Paramètres de JacORB
Le tableau suivant décrit les paramètres de JacORB.
Paramètres SSL pour JacORB dans le fichier jacorb.properties
Paramètre
Description
jacorb.security.support_ssl
Détermine si SSL est activé. Valeurs valides : on (utilise le
protocole SSL), off (utilise le protocole TCP/IP). Valeur
par défaut : off.
jacorb.security.keystore
Contient le chemin d'accès complet et le nom du fichier
keystore.
jacorb.security.keystore_
password
Contient le mot de passe du fichier keystore.
jacorb.security.keystore_
password_crypt
Indique si le mot de passe du fichier keystore est chiffré.
Valeurs valides : on (oui), off (non). Par défaut : off.
Traitement des certificats SSL avec JacORB
L'application est fournit avec un certificat CA et des certificats d'application par défaut au format de la
base de données de clés (keystore) pour utilisation avec JacORB.
Les valeurs de paramètre par défaut pour les certificats de démonstration sont :
jacorb.security.keystore=emapi_root/etc/keystore/emapi.keystore
jacorb.security.keystore_password=emdemo
jacorb.security.keystore_password_crypt=off
Ces paramètres se trouvent dans le fichier jacorb.properties.
REMARQUE : Pour plus d'informations sur les certificats, voir Traitement des certificats et Expiration du
certificat (à la page 40).
44
Control-M Workload Automation Guide de SSL
Création d'une base de données de clés SSL
Les procédures suivantes décrivent comment implémenter des clés et certificats sur tout composant
utilisant l'utilitaire sslcmd. L'exécution séparée des fonctions sslcmd pour chaque composant Control-M
améliore la sécurité si les utilisateurs de chaque composant ne peuvent pas accéder aux bases de
données de clés des autres composants. La copie des clés et certificats sur les autres composants
Control-M minimise l'effort requis pour maintenir les bases de données de clés SSL.
REMARQUE : Les exemples sslcmd sont basés sur une base de données et des données de certificat
hypothétiques. N'utilisez pas ces données dans un environnement de production.
Menu sslcmd (à la page 45)
Flux de travaux recommandé utilisant le menu sslcmd (à la page 46)
Configuration d'un certificat signé pour une base de données de clés non Java (KDB) (à la page 48)
Configuration d'un certificat signé pour un keystore Java (à la page 56)
Menu sslcmd
Si vous n'utilisez pas l'assistant de génération des certificats de composant, vous pouvez effectuer la
majorité du travail avec les clés et certificats dans le menu sslcmd.
Vous pouvez accéder au menu en exécutant l'utilitaire sslcmd à partir de la ligne de commande. Le
tableau suivant fournit un aperçu des options de menu :
Options de l'utilitaire sslcmd
Option
Fonction
Description
1
Générer clé
Générer des paires de clés publique-privée (à la page 50)
2
Ajouter CA
Installation d'un certificat d'autorité racine approuvé (à la page 48)
3
Générer CSR
Création d'une demande de signature de certificat (à la page 51)
4
Ajouter cert
Installation du certificat signé (à la page 52)
5
Lister clés
6
Supprimer clé
7
Lister certs
Générer des paires de clés publique-privée (à la page 50)
Supprimer une paire de clés publique-privée et un certificat (voir
Maintenance des certificats)
Répertorier les certificats signés*
8
Lister CA
Répertorier les certificats trouvés dans la base de données de clés
SSL*
9
Afficher CA
Afficher les informations sur les certificats de CA (voir Maintenance
des certificats)
45
Control-M Workload Automation Guide de SSL
Option
Fonction
Description
10
Supprimer CA
Supprimer un certificat racine approuvé (voir Maintenance des
certificats)
11
Ajouter CRL
Installer une nouvelle liste de révocation de certificat (CRL) (voir
Maintenance des certificats)
12
Modifier mot de passe
KDB
Modifier le mot de passe de la base de données de clés (voir
Maintenance des certificats)
13
Ajouter mot de passe
libellé
Ajouter un mot de passe libellé*
14
Répertorier mot de
passe libellé
Répertorier les mots de passe libellés*
15
Supprimer mot de
passe libellé
Supprimer les mots de passe libellés*
16
Importer paire de clés
Importer une paire de clés*
17
Exporter paire de clés
Exporter une paire de clés (voir Maintenance des certificats)
18
Modifier libellé de paire
de clés
Modifier le libellé d'une paire de clés*
19
Quitter
Quitter l'utilitaire sslcmd
* Non pris en charge.
Flux de travaux recommandé utilisant le menu sslcmd
Le tableau suivant répertorie le processus recommandé pour configurer et maintenir les clés et certificats
signés lors de l'utilisation du menu sslcmd.
Résumé des tâches : implémentation des clés et certificats signés
Processus
Tâches spécifiques
Créer une base de
données de clés SSL
Créer une base de données de clés SSL (voir ci-dessous)
Configurer un certificat
signé (Base de données
non Java)
Installation d'un certificat d'autorité racine approuvé (à la page 48)
Générer des paires de clés publique-privée (à la page 50)
Création d'une demande de signature de certificat (à la page 51)
46
Control-M Workload Automation Guide de SSL
Processus
Tâches spécifiques
Installation du certificat signé (à la page 52)
Configurer un certificat
signé (Kestore Java)
Générer des paires de clés publique-privée (à la page 57)
Création d'une demande de signature de certificat (à la page 57)
Installation d'un certificat d'autorité racine approuvé (à la page 57)
Installation du certificat signé (à la page 57)
Créer des fichiers de base
de données de clés
Créer des fichiers de base de données de clés pour Options de
configuration SSL de Control-M/EM (à la page 34), Control-M/Server (à la
page 33) et Control-M/Agent (à la page 34)
Exécution de la
maintenance
Afficher les informations sur les certificats de CA (voir Maintenance des
certificats (à la page 57))
Supprimer un certificat racine approuvé (voir Maintenance des certificats
(à la page 57))
Supprimer une paire de clés publique-privée et un certificat Maintenance
des certificats (à la page 57))
Installer une nouvelle liste de révocation de certificat (CRL) (voir
Maintenance des certificats (à la page 57))
Modifier le mot de passe de la base de données de clés (voir
Maintenance des certificats (à la page 57))
Exporter une paire de clés (voir Maintenance des certificats (à la page
57))
Pour créer une base de données de clés SSL :
1. Dans la ligne de commande du répertoire dans lequel vous voulez que la base de données se trouve,
saisissez sslcmd -k keyfile_name, en remplaçant keyfile_name par le nom de la base de données de
clés à créer.
Un message indiquant que le fichier est introuvable s'affichera car la nouvelle base de données
n'existe pas encore.
2. Saisissez un mot de passe (huit caractères ou plus) pour la nouvelle base de données.
3. Lorsque vous y êtes invité, saisissez à nouveau le mot de passe.
Une base de données de clés avec le nom spécifié est créée. Le menu de l'utilitaire sslcmd affiche les
actions que vous pouvez effectuer avec la nouvelle base de données de clés.
47
Control-M Workload Automation Guide de SSL
REMARQUE : Après la création de la base de données de clés, utilisez toujours le même nom de fichier
keyfile sur la ligne de commande sslcmd. La base de données est accessible uniquement en utilisant le
mot de passe que vous avez spécifié.
Configuration d'un certificat signé pour une base de
données de clés non Java (KDB)
Pour travailler dans l'environnement Control-M/EM Server, vous devez configurer un keystore Java et un
kestore non Java.
Cette procédure décrit comment configurer un kestore non Java.
La configuration d'un certificat signé pour un keystore non Java inclut les procédures suivantes :
Installation d'un certificat d'autorité racine approuvé (à la page 48)
Générer des paires de clés publique-privée (à la page 50)
Création et installation du certificat signé (à la page 51)
Création d'une demande de signature de certificat (à la page 51)
Installation du certificat signé (à la page 52)
Lorsque vous avez terminé les étapes ci-dessus, passez à Configuration d'un certificat signé pour un
keystore Java (à la page 56).
Installation d'un certificat d'autorité racine approuvé
Pour utiliser SSL, vous devez obtenir un certificat d'autorité racine approuvé (CA) d'une organisation qui
valide les certificats numériques utilisés dans les transactions en ligne. Un certificat est validé par une
hiérarchie de CA qui approuvent le certificat. La dernière CA de la chaîne est l'autorité de certification
racine approuvée.
Avant de commencer
Obtenez un certificat racine approuvé auprès d'une autorité de signature de certificat (CSA). Les
instructions sont les suivantes :
Sélectionnez une CSA publique ou privée et déterminez comment elle émet des certificats avant de
commencer à utiliser ce produit.
Utilisez la clé publique de la CSA lorsque vous demandez le certificat de ce produit.
Le certificat numérique de la CSA peut être utilisé pour authentifier les certificats validés par cette CA.
Les certificats SSL doivent être au format X.509 PEM (Privacy-Enhanced Mail). Si votre certificat est
dans un autre format, convertissez-le au format X.509 PEM. Par exemple, pour convertir un certificat
Microsoft au format X.509 PEM, utilisez les outils INETSDK Microsoft.
Pour installer un certificat d'autorité racine approuvé :
1. Dans le menu sslcmd, sélectionnez l'option 2 Add CA (Ajouter CA).
2. Entrez le chemin complet et le nom du fichier pour le certificat de la CA.
48
Control-M Workload Automation Guide de SSL
Le certificat de la CA est installé dans la base de données de clés et un message de vérification
similaire à celui-ci s'affiche.
-----BEGIN CERTIFICATE----MIICSDCCAfKgAwIBAgIQLMQ4SxAAEo8R0uLgqRaB1DANBgkqhkiG9w0BAQQFADCB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-----END CERTIFICATE----WWWQA Testing Certificate Authority
Command Add CA successful
Enter to proceed
3. Dans le menu sslcmd, sélectionnez l'option 8 List CA (Répertorier CA) pour répertorier les
certificats qui se trouvent dans la base de données de clés SSL.
4. Vérifiez que le certificat installé s'affiche dans la liste de résultats, qui doit ressembler à la sortie
suivante :
***CA number 1, Label Compiled Trusted Root
Subject Distinguished Name:
OU=Class 3 Public Primary Certification Authority,O="VeriSign, Inc.",C=US
***CA number 2, Label Compiled Trusted Root
Subject Distinguished Name:
OU=Commercial Certification Authority,O="RSA Data Security, Inc.",C=US
***CA number 3, Label Compiled Trusted Root
Subject Distinguished Name:
OU=Secure Server Certification Authority,O="RSA Data Security, Inc.",C=US
49
Control-M Workload Automation Guide de SSL
***CA number 4, Label Compiled Trusted Root
Subject Distinguished Name:
OU=Secure Server Certification Authority,O="RSA Data Security, Inc.",C=US
Command List CA successful
Générer des paires de clés publique-privée
Une paire de clés cryptographiques est un ensemble de deux clés cryptographiques (une publique et une
privée) utilisée pour démarrer une session SSL session. Avant de demander un certificat depuis la CA,
vous devez utiliser cette procédure pour générer une paire de clés cryptographiques et assigner cette
paire de clés à un nouveau certificat.
Pour générer une paire de clés publique-privée pour un certificat :
1. Dans le menu sslcmd, sélectionnez l'option 1 Generate key (Générer clé) pour générer une paire
de clés publique-privée.
2. À l'invite Enter Identity (Entrer l'identité), saisissez un ID d'alias qui identifie la paire de clés
publique-privée.
Pour obtenir une liste des ID d'alias pour les paires de clés publique-privée, voir Emplacements des ID
d'alias pour les paires de clés publique-privée (à la page 50).
3. À l'invite Enter keypair type (Saisir le type de paire de clés), appuyez sur Entrée (ou n'importe
quelle touche sauf D) pour spécifier la RSA [12 (par défaut) | 1024 | 2048 | 3072 | 4096]..
4. Saisissez la longueur de la clé en bits (512 ou 1024).
Si la paire de clés est générée avec succès, le message suivant s'affiche :
Command Generate key successful
5. Dans le menu sslcmd, sélectionnez l'option 5 List keys (Répertorier clés) pour vérifier que la paire
de clés s'affiche.
Pour chaque paire de clés publique-privée, l'utilitaire répertorie l'alias affecté au certificat qui utilise
cette paire de clés.
50
Control-M Workload Automation Guide de SSL
Emplacements des ID d'alias pour les paires de clés
publique-privée
Les noms d'alias par défaut suivants sont spécifiés dans le fichier UNIX .plc ou le registre Microsoft
Windows :
Emplacements des ID d'alias pour les paires de clés publique-privée
Pour une communication depuis
Emplacement
Control-M/Server vers Control-M/Agent
NSDN est spécifié dans le fichier
ns.plc.
Control-M/Server vers Control-M/EM
CODN est spécifié dans le fichier
co.plc.
Control-M/Server Configuration Agent vers
Con\-trol-M Configuration Server
CADN est spécifié dans le fichier
ca.plc.
Control-M/Agent vers Control-M/Server
AGDN est spécifié dans le fichier
ag.plc.
Control-M/EM vers Control-M/Server
CODN est spécifié dans le fichier
gtw.plc.
Control-M/EM vers Control-M Configuration Agent
CADN est spécifié dans le fichier
cmsg.plc.
Création et installation du certificat signé
Une demande de signature de certificat (CSR) est un document qui demande à une CA de lier les
informations associées dans un certificat et de la signer avec la signature numérique de l'autorité. Après la
validation, le certificat est un certificat d'identification valide. L'installation du certificat dans la base de
données de clés met le certificat à disposition d'un composant Control-M.
Exécutez les tâches de cette section pour installer le certificat :
Création d'une demande de signature de certificat (à la page 51)
Installation du certificat signé (à la page 52)
REMARQUE : Vous devez installer le certificat d'autorité racine approuvé dans la base de données avant
d'installer un certificat signé par lui.
51
Control-M Workload Automation Guide de SSL
Création d'une demande de signature de certificat
Cette procédure décrit comment supprimer une demande de signature.
Pour créer une demande de signature de certificat :
1. Dans le menu sslcmd, sélectionnez l'option 3 Generate CSR (Générer CSR).
2. Entrez le chemin de sortie et le nom du fichier pour le CSR généré.
3. Dans Enter alias name (Saisir le nom d'alias), saisissez le nom spécifié pour Enter identity
(Saisir une identité).
Ce nom de paire de clés publique-privée doit être identique au nom du fichier de la base de données
de clés que vous utilisez.
4. Répondez à la demande de données sur le nom distinctif (DN) du nouveau certificat.
Le DN est un nom hiérarchique qualifié complet qui identifie de manière unique l'entité authentifiée
par un certificat. Son LDAP (Lightweight Directory Access Protocol) utilise des attributs pour structurer
les données dans un répertoire ou espace de nom.
Informations sur le nom distinctif
Invite
Description de la valeur demandée
Country
Code pays à deux caractères du pays dans lequel l'entité réside
State
État ou région où l'entité réside
Locality
Localité ou lieu où l'entité réside
Name (Nom)
Organisation à laquelle l'entité appartient
Unité
Unité organisationnelle à laquelle l'entité appartient
Common Name
Nom de l'entité que vous certifiez
E-mail Address
Destination (s'il y en a plusieurs, séparées par des virgules) à laquelle les
certificats signés doivent être envoyés
Les variables DENY_ACL et ALLOW_ACL du sous-système de sécurité
étendu BMC utilisent cette valeur. Définir cette valeur sur * (astérisque)
autorise l'envoi des certificats signés à toutes les adresses e-mail. Pour de
plus amples informations, voir Accéder aux fichiers.
Un message vous informe lorsque la CSR est générée avec succès.
Installation du certificat signé
Cette procédure décrit comment installer le certificat signé.
Lorsque vous avez terminé cette procédure, passez à Configuration d'un certificat signé pour un keystore
Java (à la page 56).
52
Control-M Workload Automation Guide de SSL
Pour installer le certificat signé :
1. Si un certificat n'est pas au format X.509, utilisez un programme de traduction pour le convertir.
2. Dans le menu sslcmd, sélectionnez l'option 4 Add cert (Ajouter certificat) pour ajouter un
certificat numérique à la base de données de clés SSL.
3. Entrez le chemin complet et le nom du fichier pour le certificat numérique.
Le certificat est installé dans la base de données de clés. Des lignes semblables à la sortie suivante
sont affichées :
-----BEGIN CERTIFICATE----MIID5TCCA4+gAwIBAgIIZfuEvAAADDAwDQYJKoZIhvcNAQEEBQAwgYUxCzAJBgNV
BAYTAlVTMQ4wDAYDVQQIEwVUZXhhczEQMA4GA1UEBxMHSG91c3RvbjEVMBMGA1UE
ChMMQk1DIFNvZnR3YXJlMQ8wDQYDVQQLEwZXRUJERVYxLDAqBgNVBAMTI1dXV1FB
IFRlc3RpbmcgQ2VydGlmaWNhdGUgQXV0aG9yaXR5MB4XDTAzMDQzMDEwMTg1MloX
DTA0MDMyNTE4NDQxNFowejEoMCYGCSqGSIb3DQEJARYZdGVjaG5pY2FsX3N1cHBv
cnRAYm1jLmNvbTELMAkGA1UEBhMCSUwxFjAUBgNVBAcTDUtpcmlhdCBBdGlkaW0x
DDAKBgNVBAoTA0JNQzEMMAoGA1UECxMDTVBNMQ0wCwYDVQQDEwROU0ROMFowDQYJ
KoZIhvcNAQEBBQADSQAwRgJBAOU2fcKSIHJZ10dsWGl62vuhLFD/YcLZ+6KVdHko
rldjJpGvwyUuj/nGWcqPp40AsmJAUSuC+NSbX5J7rnYjuVcCAQOjggHtMIIB6TCB
wQYDVR0jBIG5MIG2gBSfCfg37QCdSlWTMVOAe6FC4ASUJaGBi6SBiDCBhTELMAkG
A1UEBhMCVVMxDjAMBgNVBAgTBVRleGFzMRAwDgYDVQQHEwdIb3VzdG9uMRUwEwYD
VQQKEwxCTUMgU29mdHdhcmUxDzANBgNVBAsTBldFQkRFVjEsMCoGA1UEAxMjV1dX
UUEgVGVzdGluZyBDZXJ0aWZpY2F0ZSBBdXRob3JpdHmCECzEOEsQABKPEdLi4KkW
gdQwgbEGA1UdHwSBqTCBpjBQoE6gTIZKaHR0cDovL0tFTk5FTlBDL0NlcnRTcnYv
Q2VydEVucm9sbC9XV1dRQSBUZXN0aW5nIENlcnRpZmljYXRlIEF1dGhvcml0eS5j
cmwwUqBQoE6GTGZpbGU6Ly9cXEtFTk5FTlBDXENlcnRTcnZcQ2VydEVucm9sbFxX
V1dRQSBUZXN0aW5nIENlcnRpZmljYXRlIEF1dGhvcml0eS5jcmwwbwYIKwYBBQUH
AQEEYzBhMF8GCCsGAQUFBzAChlNodHRwOi8vS0VOTkVOUEMvQ2VydFNydi9DZXJ0
RW5yb2xsL0tFTk5FTlBDX1dXV1FBIFRlc3RpbmcgQ2VydGlmaWNhdGUgQXV0aG9y
aXR5LmNydDANBgkqhkiG9w0BAQQFAANBAIN0KGCUr2TnhvLMPcA21IMCNfLRIqq+
35OZLHGHijOL0c8TebXP3h7ora+ddgIhCM7eqyEmOUqjfX+szZyl5fQ=
-----END CERTIFICATE----Command Add cert successful
53
Control-M Workload Automation Guide de SSL
4. Dans le menu sslcmd, sélectionnez l'option 7 List keys (Répertorier clés) pour répertorier les
certificats numériques qui se trouvent dans la base de données de clés SSL.
L'alias affecté à chaque certificat signé s'affiche dans la sortie, qui ressemble à ces données :
***Label 0:
NSDN
Subject Distinguished Name:
CN=NSDN,OU=MPM,O=BMC,L=Costa
Mesa,ST=California,C=US,EM=technicals@bmc.com
Issuer Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Certificate Serial=202f8ad900000733
RSA public key length: 512 bits
Valid Begin: Tue Feb 26 07:57:18 2002
Valid End: Thu Feb 26 07:57:18 2004
Statut : REVOCATION UNKNOWN
The following Certificate Extensions exist:
Authority Key Identifier
OID: 551d23
Criticality Bit: Off
...
Data:
4b 45
6c 6c
20 43
74
30
4e
2f
65
61
4e
4b
72
30
45
45
74
5f
4e
4e
69
06
50
4e
66
08
43
45
69
2b
2f
4e
63
06
43
50
61
01
65
43
74
05
72
5f
65
05
74
57
20
07
53
57
41
30
72
57
75
02
76
51
74
86
2f
41
68
53
43
20
6f
68
65
54
72
Subject Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Issuer Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4
RSA public key length: 512 bits
Valid Begin: Thu Mar 25 20:44:14 1999
Valid End: Thu Mar 25 20:44:14 2004
Statut : TRUSTED_ROOT
54
74
72
65
69
74
74
73
74
70
45
74
79
3a
6e
69
2e
2f
72
6e
63
2f
6f
67
72
Control-M Workload Automation Guide de SSL
The following Certificate Extensions exist:
Key Usage
OID: 551d0f
Criticality Bit: Off
Data: 03 02 00 c4
Basic Constraints
OID: 551d13
Criticality Bit: Off
Data: 30 03 01 01 ff
Subject Key Identifier
OID: 551d0e
Criticality Bit: Off
Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25
***Label 1:
CODN
Subject Distinguished Name:
CN=CODN,OU=MPM,O=BMC,L=Costa
Mesa,ST=California,C=US,EM=technicals@bmc.com
Issuer Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Certificate Serial=2030934100000734
RSA public key length: 512 bits
Valid Begin: Tue Feb 26 07:58:26 2002
Valid End: Thu Feb 26 07:58:26 2004
Statut : REVOCATION UNKNOWN
The following Certificate Extensions exist:
Authority Key Identifier
OID: 551d23
Criticality Bit: Off ...
Subject Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Issuer Distinguished Name:
55
Control-M Workload Automation Guide de SSL
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4
RSA public key length: 512 bits
Valid Begin: Thu Mar 25 20:44:14 1999
Valid End: Thu Mar 25 20:44:14 2004
Statut : TRUSTED_ROOT
The following Certificate Extensions exist:
Key Usage
OID: 551d0f
Criticality Bit: Off
Data: 03 02 00 c4
Basic Constraints
OID: 551d13
Criticality Bit: Off
Data: 30 03 01 01 ff
Subject Key Identifier
OID: 551d0e
Criticality Bit: Off
Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25
Command List certs successful
Enter to proceed
Configuration d'un certificat signé pour un keystore Java
Pour travailler dans l'environnement Control-M/EM Server, vous devez configurer un keystore Java et un
keystore non Java.
Cette procédure décrit comment configurer un kestore Java.
Avant de poursuivre, vous devez commencer par Configuration d'un certificat signé pour une base de
données de clés non Java (KDB) (à la page 48).
La configuration d'un certificat signé pour un kestore Java inclut les procédures suivantes :
Générer des paires de clés publique-privée (à la page 57)
Création d'une demande de signature de certificat (à la page 57)
Installation du certificat signé (à la page 57)
Installation du certificat signé (à la page 57)
56
Control-M Workload Automation Guide de SSL
Générer des paires de clés publique-privée
Une paire de clés cryptographiques est un ensemble de deux clés cryptographiques (une publique et une
privée) utilisée pour démarrer une session SSL session.
Avant de demander un certificat depuis la CA, vous devez utiliser cette procédure pour générer une paire
de clés cryptographiques et assigner cette paire de clés à un nouveau certificat.
keytool -genkey -alias CEDN -keyalg RSA -keystore ctmkey.jks -keysize (nombre
de bits par exemple, 1 024)
Création d'une demande de signature de certificat
Cette procédure décrit comment supprimer une demande de signature.
Suivez les invites à l'écran.
keytool -certreq -v -alias CEDN -file req.csr -keystore ctmkey.jks
Installation d'un certificat d'autorité racine approuvé
Pour utiliser SSL, vous devez obtenir un certificat d'autorité racine approuvé (CA) d'une organisation qui
valide les certificats numériques utilisés pour les transactions en ligne. Un certificat est validé par une
hiérarchie de CA qui approuvent le certificat. La dernière CA de la chaîne est l'autorité de certification
racine approuvée.
keytool -importcert -trustcacerts -alias CA -file cacert.pem -keystore
ctmkey.jks -storepass abcd1234 -noprompt (Importer CA dans JKS)
Installation du certificat signé
keytool -import -v -alias CEDN -file cert.pem -keystore ctmkey.jks (Importer le
certificat signé dans JKS)
Chapitr e
Maintenance des certificats
Les sections suivantes décrivent les fonctions de l'utilitaire sslcmd pour la gestion des certificats.
Affichage des informations sur les certificats (à la page 58)
Suppression d'un certificat d'autorité racine approuvé (à la page 59)
Suppression d'une paire de clés publique-privée et d'un certificat (à la page 59)
Installation d'une nouvelle liste de révocation de certificat (CRL) (à la page 60)
Modifier le mot de passe de la base de données clé (à la page 60)
REMARQUE : Les modifications apportées à la base de données de clés, au mot de passe de la base de
données de clés et à la configuration des règles de sécurité prennent effet après le redémarrage de
Control-M/Server, Control-M/Agent et Control-M/EM.
57
Control-M Workload Automation Guide de SSL
Affichage des informations sur les certificats
Cette procédure décrit comment afficher les informations suivantes sur les certificats de CA :
Numéro de série du certificat
Longueur de la clé
Période de validité
Extensions du certificat
Pour afficher les informations sur les certificats de CA :
1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
2. Dans le menu principal ssclmd, sélectionnez 9 View CA (Afficher les CA) pour afficher un certificat
de CA dans la base de données de clés. Le numéro du certificat de CA vous est demandé. Une fois les
données affichées, me message, Command View CA successful indique que l'affichage est termine.
Des données semblables aux suivantes s'affichent :
Enter CA number to view:1
***CA number 1, Label unknown
Subject Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Subject Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Issuer Distinguished Name:
CN=WWWQA Testing Certificate Authority,OU=WEBDEV,O=BMC
Software,L=Houston,ST=Texas,C=US
Certificate Serial=2cc4384b1000128f11d2e2e0a91681d4
RSA public key length: 512 bits
Valid Begin: Thu Mar 25 20:44:14 1999
Valid End: Thu Mar 25 20:44:14 2004
Statut : TRUSTED_ROOT
The following Certificate Extensions exist:
Key Usage
OID: 551d0f
Criticality Bit: Off
Data: 03 02 00 c4
Basic Constraints
OID: 551d13
Criticality Bit: Off
58
Control-M Workload Automation Guide de SSL
Data: 30 03 01 01 ff
Subject Key Identifier
OID: 551d0e
Criticality Bit: Off
Data: 04 14 9f 09 f8 37 ed 00 9d 4a 55 93 31 53 80 7b a1 42 e0 04 94 25
Command View CA successful
Enter to proceed
Suppression d'un certificat d'autorité racine approuvé
Cette procédure décrit comment supprimer un certificat d'autorité racine approuvé.
Pour supprimer un certificat d'autorité racine approuvé :
1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
REMARQUE : Pour répertorier tous les certificats (y compris les numéros de certificat) dans la base
de données de clés SSL, sélectionnez l'option 8 List CA (Répertorier les CA) dans le menu sslcmd.
2. Dans le menu principal ssclmd, sélectionnez 10 Delete CA (Supprimer les CA) pour générer une
invite suivie par une invite de confirmation. Entrez le numéro de certificat que vous voulez supprimer.
Enter CA number:1
Confirm deletion of:1
(Y/N):y
Command Delete CA successful
Le message Command Delete CA successful s'affiche lorsque le certificat est supprimé avec succès.
Suppression d'une paire de clés publique-privée et d'un certificat
Cette procédure décrit comment supprimer une paire de clés publique-privée et un certificat. Supprimer
une paire de clés publique-privée supprime automatiquement le certificat associé
Pour supprimer une paire de clés publique-privée et un certificat :
1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
2. Dans le menu principal sslcmd, sélectionnez l'option 6 Delete key (Supprimer la clé). Une invite et
une demande de confirmation du nom d'alias de la paire de clés que vous voulez supprimer s'affichent
:
Enter alias name:CODN
Confirm deletion of:CODN
(Y/N):y
Command Delete key successful
3. Entrez le nom d'alias de la paire de clés à supprimer dans la base de données de clés SSL. Le
message Command Delete key successful indique que la paire de clés et le certificat associé ont été
supprimés avec succès.
59
Control-M Workload Automation Guide de SSL
Installation d'une nouvelle liste de révocation de certificat (CRL)
Cette procédure décrit comment installer une liste de révocation de certificat (CRL).
Pour installer une liste de révocation de certificat (CRL) :
1. Obtenez la nouvelle CRL à partir de la CA approuvée.
2. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
3. Dans le menu principal sslcmd, sélectionnez 11 Add CRL (Ajouter une CRL). Vous êtes invité à
saisir le nouveau nom du fichier CRL. Entrez le nom de fichier de la CRL que vous voulez installer. Un
message semblable à celui s'affiche :
Enter crl file name ctm.crl
-----BEGIN X509 CRL----MIICEjCCAXsCAQEwDQYJKoZIhvcNAQEEBQAwgYkxCzAJBgNVBAYTAkZKMQ0wCwYD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-----END X509 CRL----Command Add CRL successful
La CRL nommée est ajoutée à la base de données de clés SSL.
60
Control-M Workload Automation Guide de SSL
Modifier le mot de passe de la base de données clé
Cette procédure décrit comment modifier le mot de passe de la base de données de clés.
Pour modifier le mot de passe de la base de données des clés :
1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
Les répertoires SSL pour UNIX sont :
•
Pour Control-M/EM : <Control-M/EM_directory>/etc/site/resource/ssl/cert
•
Pour Control-M/Server : <Control-M/Server_directory>/ctm_server/data/SSL/cert
•
Pour Control-M/Agent : <Control-M/Server_directory>/ctm_agent/data/SSL/cert
ou
•
Pour Control-M/Agent : <Control-M/Agent_directory>/ctm/data/SSL/cert
Les répertoires de chiffrement pour UNIX sont :
•
Pour Control-M/EM : <Control-M/EM_directory>/etc/site/resource/local
•
Pour Control-M/Server : <Control-M/Server_directory>/ctm_server/data/SSL/cert
•
Pour Control-M/Agent : <Control-M/Agent_directory>/ctm_server/data/SSL/cert
Le répertoire SSL pour Windows est :
•
Pour Control-M/EM : <Control-M/EM_directory>\etc\resource\ssl\cert
•
Pour Control-M/Server : <Control-M_SERVER directory>\data\SSL\cert
•
Pour Control-M/Agent : <Control-M/Agent_directory>\data\SSL\cert
Le répertoire de chiffrement pour Windows est :
<Control-M/EM_directory>\ini\local
2. Dans le menu principal sslcmd, sélectionnez 12 Change KDB password (Modifier le mot de
passe de la BD de clés). L'invite suivante s'affiche :
Enter new key file SSL_directory/keyfile_name password (at least 8
characters):
3. Entrez le nouveau mot de passe. Vous êtes invité à saisir à nouveau le mot de passe. Lorsque vous
saisissez à nouveau le mot de passe, le message suivant s'affiche :
Command Change password successful
Enter to proceed
Appuyez sur Entrée. Une fois le menu affiché, sélectionnez 19 pour quitter l'utilitaire sslcmd.
4. Pour générer une version chiffrée du nouveau mot de passe, saisissez la commande : bmcryptpw
-m Encryptor_directory/tree.bin -e
L'invite Enter password (Saisir le mot de passe) s'affiche. Entrez le nouveau mot de passe utilisé à
l'étape 3 ci-dessus. Un mot de passe encodé semblable à celui est généré :
Encoded passwd: e2447186b2854c59258c5061f04ef1f1a72ed785e8819854
5. Utilisez un éditeur pour mettre à jour le mot de passe chiffré.
61
Control-M Workload Automation Guide de SSL
Maintenance des certificats sous UNIX
Par exemple, sur les plateformes UNIX exécutant v, remplacez la chaîne suivante :
a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d
à
e2447186b2854c59258c5061f04ef1f1a72ed785e8819854
Dans les deux lignes suivantes du fichier site.plc :
vi SSL_directory/etc/site.plc
[server]
...
password=
a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,/Encryptor_directory/tree
.bin
[client]
...
password=
a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,/Encryptor_directory/tree
.bin
Sur les plateformes UNIX exécutant Control-M/EM, effectuez les modifications ci-dessus dans :
Le fichier <SSL_directory>/gtw.plc
Le fichier <SSL_directory>/cmsg.plc
Le fichier <SSL_directory>/em.plc
N'effectuez pas les modifications ci-dessus dans le fichier site.plc.
Pour plus d'informations, consultez la rubrique :
Configuration des règles de sécurité (à la page 65)
Maintenance des certificats sous Microsoft Windows (à la page 62)
Maintenance des certificats sous Microsoft Windows
BMC déconseille de modifier le registre Windows à moins d'avoir de l'expérience dans le travail avec les
registres et de sauvegarder le registre avant toute modification.
Par exemple, sur les plateformes Microsoft Windows, dans la clé de registre du mot de passe, remplacez
a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d
à
e2447186b2854c59258c5061f04ef1f1a72ed785e8819854
62
Control-M Workload Automation Guide de SSL
Pour Control-M/EM :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc
Software\CONTROL-M/Server\CONTROL-M/EM\SecurityPolicy\site\{client|server|
keystore}"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:
\Program Files\BMC Software\CONTROL-M EM 7.0.00\Ini\local\tree.bin"
Pour Control-M/Server :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\
SecurityPol\-icy\site\{client|server|keystore}
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:
\Program Files\BMC Software\CONTROL-M Server\Ctm\DATA\SSL\Cert\tree.bin"
Pour Control-M/Agent :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\
SecurityPol\-icy\site\{client|server|keystore}"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:
\Program Files\BMC Software\CONTROL-M Agent\Agent_installation\DATA\SSL
\Cert\tree.bin"
Et dans les ruches de registre Windows client, serveur et commun :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\
SecurityPol\-icy\site\{client|server|keystore}"
Pour plus d'informations, consultez la rubrique :
Configuration des règles de sécurité (à la page 65)
Maintenance des certificats sous UNIX (à la page 62)
Pour utiliser votre mot de passe chiffré Control-M/Server pour ctmkey.jks
Le mot de passe utilisé pour créer ctmkey.jks doit être chiffré et enregistré dans le fichier suivant :
<Control-M Server Home dir/ctm_server/data/SSL/cert/jks.properties>
Pour chiffrer ce mot de passe, exécutez l'utilitaire change_pass comme suit :
<Control-M Home dir>/change_pass <Control-M Server Home
dir/ctm_server/data/SSL/cert/jks.properties>
L'utilitaire change_pass accepte un mot de passe keytool, le chiffre et met à jour le fichier suivant :
<Control-M Server Home dir/ctm_server/data/SSL/cert/jks.properties>
Pour exporter une paire de clés :
1. Exécutez l'utilitaire sslcmd (voir Menu sslcmd).
2. Dans le menu principal sslcmd, sélectionnez l'option 17 Export key pair (Exporter la paire de
clés).
3. Entrez le nom de fichier de la paire de clés.
4. Entrez l'identité de la paire de clés.
63
Control-M Workload Automation Guide de SSL
5. Entrez le mot de passe de chiffrement de la paire de clés et saisissez à nouveau le mot de passe de
confirmation.
6. Entrez et saisissez à nouveau le mot de passe MAC.
64
2
2
Configuration des règles de sécurité
La politique de sécurité est définie par les entrées effectuées dans les tables de politique de sécurité. Une
table de règle de site est requise pour chaque composant Control-M principal (Control-M/Server,
Control-M/Agent et Control-M/EM). Les entrées de ces tables de politique de site fournissent la structure
de base pour la politique de sécurité du site Control-M.
Les ajouts et modifications à la règle de site, si nécessaire, sont défis dans les tables facultatives de règle
d'application pour différentes fonctions Control-M. Les entrées de ces tables s'ajoutent et remplacent les
entrées des tables de règle de site.
Sur les ordinateurs UNIX, les tables de règle de sécurité sont contenues dans le fichier .plc. Sur les
ordinateurs Microsoft Windows, ces tables sont contenues dans le registre.
La règle de communication SSL se base sur les paires de « valeur de variable » – nommés attributs – qui
sont stockés dans les tables de règle. Chaque strophe UNIX (ou clé de registre Microsoft Windows)
contient les attributs appropriés. Certains attributs ne s'appliquent pas à certaines fonctions, certains ne
s'appliquent pas à certains niveaux de sécurité, et certains ne peuvent pas être modifiés.
Une règle de sécurité est implémentée en attribuant des valeurs aux variables d'attribut décrites dans la
table de règle de sécurité indiquée dans Variables de règle de sécurité (à la page 73). Les valeurs de règle
par défaut pour chaque composant Control-M principal sont spécifiés dans le fichier site.plc du
composant ou ruche du registre site.
Lorsqu'une connexion de communication réseau est établie, le profil de cette connexion est obtenu à
partir des variables des fichiers .plc (pour UNIX) ou dans le registre (pour Microsoft Windows). Les
fichiers .plc sont décrits dans Exemple de fichier .plc (à la page 66). Le registre Microsoft Windows est
décrit dans Environnement Microsoft Windows (à la page 68).
Les modifications apportées à la base de données de clés, au mot de passe de la base de données de clés
et aux règles de sécurité prennent effet après le redémarrage de Control-M/Server, Control-M/Agent et
Control-M/EM.
Environnement UNIX
Dans l'environnement UNIX, les tables de politique sont implémentées dans des fichiers de règle de texte
ASCII au format .INI standard. Les tables de règle sont stockées dans les fichiers .plc situés dans ces
répertoires :
<CONTROL-M/Server_directory>/ctm_server/data/SSL/cert
<CONTROL-M/Agent_directory>/ctm_server/data/SSL/cert
ou
<CONTROL-M/Server_directory>/ctm_agent/ctm/data/SSL/cert
<CONTROL-M/EM_directory>/etc/site/resource/SSL/cert
Les strophes des fichiers de règle de site et de règle d'application indiquent le module de sécurité qui
prend en charge le rôle défini par la strophe. Si une application agit comme un serveur réseau, les
attributs de sécurité sont obtenus à partir de la strophe [server]. Si une application agit comme un client
réseau, les attributs de sécurité sont obtenus à partir de la strophe [client].
65
Control-M Workload Automation Guide de SSL
Un exemple de règle de site est illustré dans Fichier site.plc Control-M/Server (à la page 67). Lors de
l'établissement du type de communication répertorié dans le tableau ci-dessous, les valeurs (le cas
échéant) du fichier .plc de l'application concernée remplace les valeurs du fichier site.plc.
Fichier .plc
d'application
Type de communication
ns.plc
Control-M/Server vers Control-M/Agent
co.plc
Control-M/Server vers Control-M/EM
ca.plc
Control-M/Server Configuration Agent vers Control-M
Configuration Manager
ag.plc
Control-M/Agent vers Control-M/Server
gtw.plc
Control-M/EM Gateway vers Control-M/Server
cmsg.plc
Control-M Configuration Server vers Control-M Configuration
Agent
em.plc
(à des fins de chiffrement interne Control-M/EM)
Exemple de fichier .plc
Des exemples de fichier .plc semblables aux suivantes sont fournis avec l'installation :
Fichier co.plc Control-M/Server (à la page 66)
Fichier site.plc Control-M/Server (à la page 67)
Fichier ns.plc Control-M/Server (à la page 67)
Fichier site.plc Control-M/Enterprise Manager (à la page 68)
Fichier site.plc Control-M/Enterprise Manager (à la page 68)
Fichier co.plc Control-M/Server
[server]
identity=CODN
logfile=cosrv.log
[client]
logfile=cocln.log
identity=CODN
keyfile=$CONTROLM/data/SSL/cert/ctmkey.kdb
66
Control-M Workload Automation Guide de SSL
Fichier site.plc Control-M/Server
[server]
bindir=<CONTROLM>/exe_<MACHINE>
bindir64=<CONTROLM>/exe_<MACHINE>
keyfile=ctmkey.kdb
security_level=4
logdir=$CONTROLM/data/SSL/log
loglevel=ERROR,WARNING,INFO,TRACE
securitydir=$CONTROLM/data/SSL/cert
sksdir=$CONTROLM/data/SSL/cert
password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,<CONTROLM>/data
/SSL_directory/cert/tree.bin
[client]
bindir=<CONTROLM>/exe_<MACHINE>
bindir64=<CONTROLM>/exe_<MACHINE>
keyfile=ctmkey.kdb
security_level=4
logdir=$CONTROLM/data/SSL/log
loglevel=ERROR,WARNING,INFO,TRACE
securitydir=$CONTROLM/data/SSL/cert
sksdir=$CONTROLM/data/SSL/cert
password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,<CONTROLM>/data
/SSL_directory/cert/tree.bin
Fichier ns.plc Control-M/Server
[server]
identity=NSDN
logfile=nssrv.log
security_level=3
[client]
identity=NSDN
logfile=nscln.log
keyfile=$CONTROLM/data/SSL/cert/ctmkey.kdb
67
Control-M Workload Automation Guide de SSL
Fichier site.plc Control-M/Enterprise Manager
[client]
bindir=$EM_HOME/appl/lib/bin.$ARCH
bindir64=$EM_HOME/appl/lib/bin.$ARCH
keyfile=gtwkey.kdb
security_level=4
logdir=$EM_HOME/site/resource/ssl/log
loglevel=ERROR
securitydir=$EM_HOME/site/resource/ssl/cert
sksdir=$EM_HOME/site/resource/ssl/cert
Fichier co.plc Control-M/Enterprise Manager
[client]
logfile=gtw_ssl.log
identity=CODN
keyfile=$EM_HOME/site/resource/ssl/cert/gtwkey.kdb
password=a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,$EM_HOME/site/re
source
/local/tree.bin
Environnement Microsoft Windows
BMC déconseille de modifier le registre Windows à moins d'avoir de l'expérience dans le travail avec les
registres et de sauvegarder le registre avant toute modification.
Une politique de sécurité est définie par les entrées de chaîne dans les tables de politique de sécurité du
registre Windows. La clé de règle de site est toujours requise. Son chemin est :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\SecurityPolicy\
site"
La règle de sécurité de base est définie par des clés de règle de sécurité. Les modifications, si
nécessaires, sont définies par des clés de règle d'application facultatives.
Les tables de politique contiennent des entrées de chaîne qui spécifient le module de sécurité qui prend
en charge la fonction définie par les clés dans le registre Windows. La règle de sécurité des
communications est déterminée par le rôle que l'application joue : client ou serveur. Par conséquent, la
table de règle contient deux clés de communications, une pour la fonction serveur :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\
SecurityPolicy\site\server"
et une pour la fonction client :
"\HKEY_LOCAL_MACHINE\SOFTWARE\Bmc Software\CONTROL-M/Server\
SecurityPolicy\site\client".
68
Control-M Workload Automation Guide de SSL
Les exemples de tables de règle pour Microsoft Windows sont répertoriés sous Registre Control-M/Server
(à la page 69). Les tables de règle se trouvent à l'emplacement de registre suivant :
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M\{Agent|Server}\SecurityPolicy\{site|NS|CA|CO|AG}\{clien
t|server|common}
Valeurs (le cas échéant) spécifiées dans le NS, CA, CO et AG concerné. Les clés de registre remplacent
les valeurs spécifiées dans la clé de registre site.
Les exemples de tables de règle pour Microsoft Windows sont répertoriés sous Registre
Control-M/Enterprise Manager (à la page 71). Les tables de règle se trouvent à l'emplacement de registre
suivant :
HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\SecurityPolicy\{site|GTW|CMSG|EM}\{client|server|common}
Valeurs (le cas échéant) spécifiées dans le GTW, CMSG et EM concerné. Les clés de registre remplacent
les valeurs spécifiées dans la clé de registre site.
REMARQUE : Le registre EM contient une clé EM à des fins de chiffrement interne. Ne modifiez pas
cette clé.
Exemple de clés de registre Microsoft Windows
Voici les entrées de clé de registre par défaut de Control-M/Server et Control-M/EM :
Registre Control-M/Server (à la page 69)
Registre Control-M/Enterprise Manager (à la page 71)
Registre Control-M/Server
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M/Server\SecurityPolicy]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\CO]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\CO\client]
"logfile"="cocln.log"
"keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert\\ctmkey.kdb"
"identity"="CODN"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\CO\server]
69
Control-M Workload Automation Guide de SSL
"identity"="CODN"
"logfile"="cosrv.log"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\NS]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\NS\client]
"identity"="NSDN"
"logfile"="nscln.log"
"keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert\\ctmkey.kdb"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\NS\server]
"identity"="NSDN"
"logfile"="nssrv.log"
"security_level"="3"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\site]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\site\client]
"bindir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\exe"
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"logdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\log"
"loglevel"="ERROR"
"keyfile"="ctmkey.kdb"
"security_level"="4"
"sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M
Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin"
70
Control-M Workload Automation Guide de SSL
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\site\common]
"sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"bindir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\exe"
"keyfile"="ctmkey.kdb"
"security_level"="4"
"logdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\log"
"loglevel"="ERROR,WARNING,INFO,TRACE"
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M
Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC
Software\CONTROL-M/Server\SecurityPolicy\site\server]
"bindir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\exe"
"keyfile"="ctmkey.kdb"
"security_level"="4"
"logdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\log"
"loglevel"="ERROR"
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M
Server\\ctm_server\\data\\ssl\\cert"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M
Server\\CTM_SERVER\\DATA\\SSL\\Cert\\tree.bin"
Registre Control-M/Enterprise Manager
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\CMSG]
71
Control-M Workload Automation Guide de SSL
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\CMSG\client]
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert"
"loglevel"="ERROR"
"logfile"="cmsgssl.log"
"keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert\\cmsgkey.kdb"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin"
"identity"="CADN"
"security_level"="4"
"sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\EM]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\EM\client]
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert"
"identity"="CODN"
"logfile"="emssl.log"
"loglevel"="ERROR"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin"
"keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Ini\\local\\emkey.kdb"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\GTW]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\GTW\client]
"sksdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert"
"security_level"="4"
72
Control-M Workload Automation Guide de SSL
"identity"="CODN"
"password"="a877b993b0b40c558176bbb07efc54da43505b61b5d07d9d,D:\\Program
Files\\BMC Software\\CONTROL-M EM 7.0.00\\Default\\Ini\\local\\tree.bin"
"keyfile"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert\\gtwkey.kdb"
"logfile"="gtwssl.log"
"loglevel"="ERROR"
"securitydir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Gtwgcs\\appl\\ecs\\resource\\ssl\\cert"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\site]
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\site\client]
"bindir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\bin"
"logdir"="D:\\Program Files\\BMC Software\\CONTROL-M EM
7.0.00\\Default\\Ini\\local\\log"
[HKEY_LOCAL_MACHINE\SOFTWARE\BMC Software\CONTROL-M\CONTROL-M/Enterprise
Manager\7.0.X\Default\SecurityPolicy\site\common]
@=""
Variables de règle de sécurité
Les variables de règle de sécurité suivantes se situent dans les fichiers .plc de clés de registre Microsoft
Windows et UNIX.
73
Control-M Workload Automation Guide de SSL
Variables de règle de sécurité
Variable
Description
security_level
Un chiffre de 1 à 4. Ces niveaux sont décrits dans Niveaux de sécurité (à
la page 75).
bindir
Chemin absolu vers un sous-répertoire contenant les modules binaires de
sécurité chargés dynamiquement. Par exemple :
C:\Program Files\BMC Software\Control-M
Server\ctm_server\exe
bindir64
bindir pour ordinateur 64 bits. Par exemple : C:\Program Files\BMC
Software\Control-M Server\exe_MACHINE
sksdir
Chemin absolu vers un sous-répertoire de lecture/écriture de keystore de
sécurité où les clés Control-M chiffrées sont stockées. Par exemple :
C:\Program Files\BMC Software\Control-M
Server\etc\site\resource\ssl\cert
securitydir
Chemin absolu vers un sous-répertoire en lecture seule où les bases de
données de clés *.kdb et les fichiers keymaterial sont stockés. Par
exemple :
"securitydir"="C:\Program Files\BMC Software\Control-M
Server\ctm_server\data\SSL\cert"
password
Mot de passe sécurisé (généré par l'utilitaire bmcryptpw), suivi d'une
virgule, suivi par le chemin absolu du fichier keymaterial (utilisé pour le
calcul de clé 3 DES). L'incorporation de vides n'est pas autorisée. Voir
Pour créer une base de données de clés SSL (Flux de travaux
recommandé utilisant le menu sslcmd (à la page 46)) et Pour modifier le
mot de passe de la base de données de clés (Maintenance des certificats
(à la page 57)).
keyfile
Chemin absolu du fichier de la base de données de clés. Par exemple :
keyfile=C:\Program Files\BMC Software\Control-M
Server\data\SSL_directory\cert\ctmkey.kdb
identity
Libellé de la paire de clés (CADN, CODN, NSDN ou AGDN) dans une base
de données de clés.
logdir
Chemin absolu vers le sous-répertoire contenant le fichier journal. Par
exemple : "logdir"="C:\Program Files\BMC Software\Control-M
Server\ctm_server\etc\site\resource\ssl\log"
loglevel
Une ou plusieurs des valeurs suivantes séparées par des virgules :
ERROR WARNING INFO TRACE
logfile
Nom (et chemin) du fichier journal. Par exemple :
logfile=gtw_ssl.log
74
Control-M Workload Automation Guide de SSL
Variable
Description
provider_options provider_options=SSLProtocol=SSLv3 OU
TLS1,SSLV3CipherSuite=ciphers list
Liste de chiffres
Vous pouvez utiliser les chiffres suivants :
DHE-RSA-AES256-SHA
AES256-SHA
DES-CBC3-SHA
DHE-RSA-AES128-SHA
AES128-SHA
EDH-RSA-DES-CBC-SHA
DES-CBC-SHA
Pour utiliser plusieurs chiffres, utilisez un espace pour les séparer.
EXEMPLE :
Pour le protocole SSLv3 :
provider_options=SSLProtocol=SSLv3,SSLV3CipherSuite=DHE-RSA-AES256-SHA AES256-SHA
DHE-RSA-AES128-SHA
Pour le protocole TLS1 :
provider_options=SSLProtocol=TLS1,SSLV3CipherSuite=DHE-RSA-AES256-SHA AES256-SHA
DHE-RSA-AES128-SHA
REMARQUE : Si vous travaillez sur un Control-M/Server installé sur AIX et prévoyez d'utiliser les chiffres
Advanced Encryption Standard (AES), vous devez configurer le système afin qu'il soit compatible avec SSL
TLS1.
REMARQUE : Si vous prévoyez d'utiliser Control-M/Server pour utiliser le protocole SSLv3 avec les
chiffres DHE-RSA-AES128-SHA AES128-SHA ou DHE-RSA-AES256-SHA AES256-SHA, les Control-M/Agents
doivent être de version 8.0.00.300 et ultérieure.
Niveaux de sécurité
Pour Control-M/Server et Control-M/Agent, le niveau de sécurité par défaut est 3 dans « server role »
(rôle serveur) et 4 dans « client role » (rôle client). Pour les passerelles Control-M/EM, le niveau de
sécurité par défaut est toujours 4.
Vous devez indiquer le même niveau de sécurité pour une paire de composants qui communiquent entre
eux. Il existe une exception : vous pouvez spécifier le niveau 3 pour une communication dans « server
role » et le niveau 4 pour une communication dans « client role » dans le canal de communication entre
Control-M/Agent et Control-M/Server.
75
Control-M Workload Automation Guide de SSL
Niveau de sécurité 1
Le niveau de sécurité 1 concerne la confidentialité uniquement. Une fois qu'une connexion sécurisée est
établie, les données utilisateur sont chiffrées à l'aide de TripleDES. Ce niveau ne fournit pas
d'authentification. Lorsqu'une connexion client-serveur est établie, une clé de session est générée et
échangée à l'aide de la méthode d'échange de clé sécurisée Diffie-Helman. Le niveau de sécurité 1
empêche généralement l'accès par l'intermédiaire d'un navigateur réseau ponctuel. Pour empêcher l'accès
d'un intrus déterminé et compétent, utilisez le niveau de sécurité 2 ou ultérieur.
Niveau de sécurité 2
Le niveau de sécurité 2 implémente le protocole Secure Socket Layer. Un serveur s'exécutant avec un
niveau de sécurité 2 accède à une base de données privée de paires de clés et récupère la paire de clés
nommée dans l'attribut d'identité de sa règle de sécurité. Il utilise les valeurs de paire de clés et du
certificat associé pour établir une connexion SSL avec le client.
Un client s'exécutant au niveau de sécurité 2 accepte le certificat du serveur. SSL nécessite
habituellement que le client établisse une chaîne de confiance du certificat du serveur à la racine
approuvée. Mais, dans le niveau de sécurité 2, le client omet cette étape et accepte le certificat du
serveur si les attributs du certificat (par exemple, date de création et d'expiration) sont acceptables.
Lors de l'utilisation du niveau de sécurité 2, le serveur et le client ne peuvent pas être surs de l'identité de
l'autre. Cependant, un échange sécurisé de la clé de session se produit et une confidentialité supérieure à
celle du niveau de sécurité 1 est fourni.
Niveau de sécurité 3
Le niveau de sécurité 3 fonctionne comme le niveau de sécurité 2 sauf que le client doit utiliser sa propre
base de données de certificats pour établir une chaîne de confiance du certificat du serveur à la racine
approuvée. Ceci s'ajoute à la condition que tous les autres attributs du certificat de serveur soient
acceptables. Par conséquent, le client peut être certain de l'identité du serveur, mais le serveur ne peut
pas être certain de l'identité du client. Cette connexion est dite avoir « une authentification serveur
uniquement ».
Niveau de sécurité 4
Le niveau de sécurité 4 fournit la confidentialité et l'authentification au client et au serveur. Le niveau de
sécurité 4 est appliqué par le serveur. Après avoir établi une liaison avec le client, comme décrit dans le
niveau de sécurité 3, le serveur envoie un message au client lui demandant d'établir à nouveau une
liaison.
Le client renvoie son propre certificat, que le serveur vérifie jusqu'à une racine approuvée. Si le client ne
fournit pas un certificat que le serveur peut vérifier, le serveur ferme la connexion. Puisque chaque pair
s'est identifié soi-même à l'autre, cette connexion est dite avoir une authentification mutuelle.
Après avoir modifié le niveau de sécurité, arrêtez et redémarrez les services répertoriés dans le tableau
suivant pour implémenter la modification.
76
Control-M Workload Automation Guide de SSL
Services à arrêter et redémarrer
Service
Référence
Control-M/Server
Introduction à Control-M Configuration Manager
Control-M/Agent
Introduction à Control-M Configuration Manager
Control-M/EM
Utilisez Control-M Configuration Facility afin d'arrêter et redémarrer
Control-M/EM Gateway pour implémenter la modification. Cette fonction
est décrite dans Introduction à Control-M Configuration Manager.
Gateway
Fichiers d'accès
Les fichiers d'accès utilisent les champs e-mail des certificats serveur pour l'authentification. les fichiers
d'accès peuvent être définis pour Control-M/Server et Control-M/Agent. Le fichier d'accès par défaut
contient des lignes similaires à celles-ci :
[SSL_SERVER]
;
ALLOW_ACL = *
DENY_ACL =
Le tableau suivant décrit les paramètres du fichier d'accès.
Paramètres du fichier d'accès
Paramètre
Description
SSL_SERVER
Authentification confirmant l'identité d'un serveur
ALLOW_ACL
Autorise l'envoi des certificats signés aux adresses spécifiées. Par défaut : *
(Autoriser tous les clients).
DENY_ACL
Refuse l'envoi des certificats signés aux adresses e-mail spécifiées. Valeur par
défaut : vide (ne refuse pas tous les clients).
Le niveau de sécurité doit être 4. Pour plus d'informations, voir Niveau de sécurité 4 (à la page 76).
Le champ e-mail du certificat du serveur est vérifié après l'établissement de la liaison SSL, et après que
les deux paires aient vérifié que les certificats reçus sont signés par une CA racine approuvée.
DENY_ACL et ALLOW_ACL sont utilisés pour contrôler l'envoi des certificats signés aux destinations
d'e-mail. Pour de plus amples informations, voir le tableau Informations sur le nom distinctif (Création
d'une demande de signature de certificat).
77
Control-M Workload Automation Guide de SSL
Incluez les lignes suivantes dans un fichier d'accès pour accepter uniquement les certificats émis à
controlm@bmc.com et email@bmc.com. Le fichier d'accès doit refuser tous les autres
certificats, y compris ceux signés par une racine approuvée.
[SSL_SERVER]
;
ALLOW_ACL = controlm@bmc.com,email@bmc.com
DENY_ACL =
78