Partie III : Configuration après le déploiement. Adobe LiveCycle Policy Server, LiveCycle Document Security, produits de sécurité LiveCycle, LiveCycle Reader Extensions

Partie III : Configuration après le déploiement

Cette section du guide décrit les opérations de configuration complémentaires nécessaires après le déploiement des produits LiveCycle sur le serveur d'applications et l'initialisation de la base de données

LiveCycle (pour LiveCycle Policy Server).

68

10

Configuration de SSL sur JBoss

Ce chapitre décrit la procédure de création d'informations d'identification et de configuration SSL sur le serveur d'applications afin d'accroître la sécurité de la communication avec le serveur d'applications.

Remarque :

il est conseillé de terminer la procédure d'installation, de configuration et de déploiement des produits LiveCycle et de vérifier qu'ils s'exécutent correctement avant de configurer SSL sur le serveur d'applications.

Il est important de vérifier que les paramètres de sécurité configurés sur le serveur d'applications et dans le fichier LiveCycle.ear sont homogènes. Si vous n'avez pas encore activé SSL dans le module Data Manager

(assemblé en tant que partie du fichier LiveCycle.ear), exécutez Configuration Manager pour reconfigurer et réassembler le produit en activant SSL. Le mot de passe SSL que vous spécifiez dans Configuration

Manager doit correspondre à celui que vous saisissez lors de la configuration de SSL sur le serveur d'applications. Reportez-vous à la section

« Configuration des produits LiveCycle », page 46 .

Attention :

si vous installez et déployez plusieurs produits LiveCycle, vous devez consulter le guide

Installation et configuration approprié pour obtenir les paramètres SSL et de sécurité spécifiques à chaque produit LiveCycle installé.

Pour configurer SSL sur JBoss, vous devez tout d'abord créer des informations d'identification à l'aide de l'outil de génération de clés Java. Vous pouvez ensuite activer SSL sur le serveur d'applications en modifiant le fichier jacorb.properties situé dans le répertoire [racine du serveur

d'applications]/server/all/conf. Vous devez ensuite modifier le fichier jboss-service situé dans le répertoire

[racine du serveur d'applications]/server/all/conf.

Notez également que l'outil de génération de clés figure généralement dans le répertoire Java jre/bin.

Pour plus de détails sur l'outil de génération de clés, consultez le fichier keytool.html inclus dans votre documentation JDK.

Remarque :

le mot de passe saisi pour le fichier de stockage de clés doit correspondre au paramètre

PassPhrase spécifié dans le module Data Manager. Par défaut, ce dernier est bedrock. Vous devez modifier ce mot de passe lors de la configuration du module Data Manager en veillant

à ce que le nouveau mot passe saisi lors de cette étape de modification lui corresponde.

La valeur de validité 3650 n'est qu'un exemple. Elle représente 10 années exprimées en jours.

Vous pouvez définir le nombre de jours correspondant à votre utilisation.

Si le serveur d'applications est configuré pour communiquer avec d'autres serveurs d'applications, vous devez ajouter les certificats du serveur à l'ensemble des certificats approuvés. Cela permet au serveur de confirmer qu'il a pu joindre le serveur attendu lorsque, par exemple, vous passez un appel de règle.

Vous devez modifier le fichier jboss-service.xml situé dans le répertoire [racine du serveur

d'applications]/server/all/conf pour vérifier que les données transmises entre LiveCycle Policy Server et ses clients sont chiffrées. Par ailleurs, cette configuration permet à l'API de confirmer l'identité du serveur avec lequel elle communique.

69

Adobe LiveCycle

Installation et configuration des produits de sécurité LiveCycle pour JBoss

Configuration de SSL sur JBoss

Création d'informations d'identification SSL 70

Création d'informations d'identification SSL

Pour configurer SSL sur JBoss, vous avez besoin d'informations d'identification SSL à des fins d'authentification. Vous pouvez utiliser l'outil IBM de gestion des clés installé avec l'outil de génération de clés Java pour créer ces informations.

➤

Pour créer des informations d'identification SSL :

1. Ouvrez une invite de commande et accédez au répertoire [racine du serveur

d'applications]/server/all/svcnative, puis exécutez l'outil de génération de clés à l'aide des commandes suivantes :

>keytool -genkey -alias ads-credentials -keyalg RSA -keystore ads-ssl.jks

-validity 3650

Enter keystore password: <password>

What is your first and last name?

[Unknown]: <first_last>

What is the name of your organizational unit?

[Unknown]: <company_name>

What is the name of your organizational unit?

[Unknown]: <company_name>

What is the name of your City of Locality?

[Unknown]: <town_name>

What is the name of your state or province?

[Unknown]: <state_name>

What is the two-letter country code for this unit?

[Unknown]: <CA>

Is <CN=<first_last>, OU=<company_name>, O=<company_name>, L=<town_name>,

ST=<state_name>, C=<CA> correct?

[no]: yes

Enter key password for <ads-credentials>

[Unknown]: <Press ENTER if the same as keystore password>

Conseil :

la procédure de génération de clés (genkey) peut être saisie en une seule commande, comme dans l'exemple suivant :

>keytool -genkey -alias ads-credentials -keyalg RSA -keystore ads-ssl.jks

-validity 3650 -storepass password -keypass password -dname "CN=Joe User,

OU=Joe's Group, O=Joe's Company Name, L=City Name, S=State, C=CA"

Les nouvelles informations d'identification, ads-ssl.jks, sont situées dans le répertoire [racine du serveur

d'applications]/server/all/svcnative.

2. Si d'autres serveurs communiqueront avec ce serveur via SSL, copiez le certificat que vous venez de créer dans le fichier ads-ssl.jks en saisissant les commandes suivantes :

>keytool -export -v -alias ads-credentials -file

"[racine du serveur d'applications]\server\all\svcnative\ads-ca.cer"

-keystore

"[racine du serveur d'applications]\server\all\svcnative\ads-ssl.jks"

-storepass password

3. Copiez le fichier ads-ca.cer du répertoire [racine du serveur d'applications]/server/all/svcnative dans les serveurs d'applications requis. Ce certificat est utilisé dans la procédure

« Pour ajouter des certificats aux certificats d'approbation : », page 71 .

Adobe LiveCycle

Installation et configuration des produits de sécurité LiveCycle pour JBoss

Configuration de SSL sur JBoss

Activation de SSL 71

Activation de SSL

Vous pouvez maintenant activer SSL sur le serveur d'applications en modifiant les fichiers indiqués dans cette section. Une fois le protocole SSL configuré, vous devez démarrer manuellement JBoss.

➤

Pour activer SSL :

1. Dans un éditeur de texte, ouvrez le fichier jacorb.properties situé dans le répertoire [racine du serveur

d'applications]/server/all/conf.

2. Dans le fichier jacorb.properties, remplacez la section de configuration SSL par le texte suivant :

#########################

### SSL Configuration ###

#########################

# the qualified classname of the ssl socket factory class jacorb.ssl.socket_factory=org.jacorb.security.ssl.sun_jsse.

SSLSocketFactory

# the qualified classname of the ssl server socket factory class jacorb.ssl.server_socket_factory=org.jacorb.security.ssl.sun_jsse.

SSLServerSocketFactory

# The name and location of the keystore. This should be absolute

# to the directory where this property file resides.

#jacorb.security.keystore=c:/jboss-3.2.5/server/all/svcnative/ ads-ssl.jks

jacorb.security.keystore

=<!--remplacer par le chemin complet d'ads-ssl.jks--> jacorb.security.keystore_password=mot de passe

# trusted ca certs are also in the same keystore jacorb.security.jsse.trustees_from_ks=on jacorb.security.support_ssl=on

#client side ssl supported or enforced?

jacorb.security.ssl.client.supported_options=60 jacorb.security.ssl.client.required_options=0

#client side ssl supported or enforced?

jacorb.security.ssl.server.supported_options=60 jacorb.security.ssl.server.required_options=60

3. Activez le protocole SSL et définissez le mot de passe du fichier de stockage de clés dans le module

Data Manager. Pour ce faire, utilisez Configuration Manager. Reportez-vous à la section

« Configuration des produits LiveCycle », page 46 .

4. Fermez le serveur d'applications, puis relancez-le.

➤

Pour ajouter des certificats aux certificats d'approbation :

1. Copiez le fichier cacerts du répertoire [JAVA_HOME]/jre/lib/security/ et conservez-le à un emplacement sûr.

2. Ouvrez une invite de commande et saisissez :

>keytool -import -v -noprompt -alias <uniqueAliasPerRelevantServer>

-file [racine du serveur d'applications]\server\all\svcnative\ads-ca.cer

-keystore

"%JAVA_HOME%\jre\lib\security\cacerts"

-storepass changeit -keypass password

Adobe LiveCycle

Installation et configuration des produits de sécurité LiveCycle pour JBoss

Configuration de SSL sur JBoss

Activation de SSL 72

Remarque :

la valeur changeit

correspond au mot de passe par défaut du fichier cacerts ; le vôtre peut

être différent. Dans un environnement de production, modifiez ce mot de passe et utilisez une expression explicite. Pour ce faire, vous devez être connecté en tant qu'utilisateur racine.

➤

Pour modifier le fichier jboss-service :

1. Ouvrez le fichier jboss-service du répertoire [racine du serveur d'applications]/server/all/conf dans un

éditeur de texte.

2. Recherchez la section Transaction de ce fichier.

3. Ajoutez le texte suivant :

<mbean code="org.jboss.security.plugins.JaasSecurityDomain" name="jboss.security:service=JaasSecurityDomain,name=other">

<attribute name="KeyStoreURL">[racine du serveur d'applications]/ server/all/ svcnative/ ads-ssl.jks</attribute>

<attribute name="KeyStorePass">password</attribute>

</mbean>

4. Remplacez le texte du nœud mbean sous la ligne

<!-- RMI/JRMP invoker --> par le texte de nœud suivant :

<mbean code="org.jboss.invocation.jrmp.server.JRMPInvoker" name="jboss:service=invoker,type=jrmp">

<attribute name="RMIObjectPort">4444</attribute>

<attribute name="ServerAddress">${jboss.bind.address}</attribute>

<attribute name="RMIClientSocketFactory">org.jboss.security.ssl.

RMISSLClientSocketFactory</attribute>

<attribute name="RMIServerSocketFactory">org.jboss.security.ssl.

RMISSLServerSocketFactory</attribute>

<attribute name="SecurityDomain">java:/jaas/other</attribute>

<depends>jboss:service=TransactionManager</depends>

<depends>jboss.security:service=JaasSecurityDomain,name=other

</depends>

</mbean>

5. Fermez JBoss, puis redémarrez-le.

11

Intégration à LiveCycle Policy Server

Ce chapitre décrit la procédure d'intégration de LiveCycle Reader Extensions et LiveCycle Document

Security dans LiveCycle Policy Server. L'intégration de ces produits active les fonctionnalités suivantes :

●

LiveCycle Reader Extensions peut ouvrir des documents PDF protégés par des règles à l'aide de la méthode d'API openPDFWithAPS.

●

LiveCycle Document Security utilise l'API de module de manipulation PDF pour accéder automatiquement à une règle de LiveCycle Policy Server et l'utiliser pour chiffrer des documents PDF.

LiveCycle Document Security est également en mesure d'enregistrer ou de déchiffrer un document chiffré par règle et de supprimer le chiffrement d'un document protégé par une règle.

Configuration de produits LiveCycle à intégrer à

LiveCycle Policy Server

Si LiveCycle Document Security et LiveCycle Reader Extensions sont installés sur un serveur d'applications différent de celui où LiveCycle Policy Server est installé, vous devez configurer le premier serveur d'applications de façon à permettre l'intégration des deux produits au déploiement de

LiveCycle Policy Server exécuté sur le deuxième serveur d'applications.

Si LiveCycle Document Security et LiveCycle Reader Extensions sont installés sur le même serveur d'applications que LiveCycle Policy Server, cette configuration a déjà eu lieu lors du processus de configuration de LiveCycle Policy Server.

Si LiveCycle Reader Extensions et LiveCycle Document Security sont installés sur des serveurs d'applications différents, ces derniers doivent se trouver sur le même sous-réseau, sinon l'accès au port risque d'être bloqué.

Vous devez également exécuter tous les produits sur le même type de serveur d'applications. Par exemple, si LiveCycle Reader Extensions ou LiveCycle Document Security est exécuté sur JBoss,

LiveCycle Policy Server doit l'être également sur JBoss.

Le module APS Proxy permet à LiveCycle Document Security et LiveCycle Reader Extensions de communiquer avec LiveCycle Policy Server. Pour procéder à l'intégration à LiveCycle Policy Server pendant le processus de configuration, vous devez indiquer à LiveCycle Reader Extensions ou LiveCycle Document

Security le LiveCycle Policy Server nom d'hôte, le port RMI et la fabrique de contexte initial du serveur d'applications.

Ces informations varient selon le serveur d'applications que vous utilisez. Vous pouvez configurer ces propriétés pendant le processus de configuration. Si vous n'êtes pas prêt à configurer l'intégration à

LiveCycle Policy Server lorsque vous installez LiveCycle Reader Extensions ou LiveCycle Document

Security, vous pouvez utiliser Configuration Manager pour configurer ultérieurement les propriétés du module APS Proxy. Configuration Manager vous permet de modifier le contenu du fichier d'archives module APS Proxy sans l'extraire.

73

Adobe LiveCycle

Installation et configuration des produits de sécurité LiveCycle pour JBoss

Intégration à LiveCycle Policy Server

Configuration de plusieurs produits de sécurité pour l'intégration 74

Configuration de plusieurs produits de sécurité pour l'intégration

Procédez aux tâches de configuration suivantes si vous déployez une application

LiveCycle Reader Extensions ou LiveCycle Document Security personnalisée en interaction avec LiveCycle

Policy Server sur JBoss :

●

Créez un répertoire appelé endorsed dans le répertoire %JBOSS_HOME%/server/all/lib.

●

●

●

Copiez tous les fichiers du répertoire SDK endorsed dans le répertoire

%JBOSS_HOME%/server/all/lib/endorsed.

Copiez le fichier jax-qname.jar du répertoire SDK lib dans le répertoire %JBOSS_HOME%/server/lib.

Modifiez le script de démarrage JBoss afin d'inclure les lignes de code suivantes : set JBOSS_CLASSPATH=%JBOSS_CLASSPATH%;"%JBOSS_HOME%/server/lib

/jax-qname.jar" set JAVA_OPTS=%JAVA_OPTS% -Djava.endorsed.dirs=%JBOSS_HOME%\server

\all\ lib\endorsed

Configuration de LiveCycle Policy Server pour l'accès à EJB

Vous devez configurer LiveCycle Document Security ou LiveCycle Reader Extensions pour utiliser le SDK

LiveCycle Policy Server. Pour effectuer cette opération, configurez le fichier de configuration XML de

LiveCycle Policy Server (appelé config.xml par défaut).

Remarque :

lorsque vous exportez le fichier config.xml, vous devez le renommer pour indiquer clairement qu'il provient de User Management ou de LiveCycle Policy Server. Si vous écrasez le fichier config.xml ou si vous l'importez dans un environnement incorrect, vous perdrez les données.

Ce fichier contient les balises XML suivantes :

<node name="SDK">

<map>

<entry key="EventHandlersEnabled" value="false" />

<entry key="WebServiceEnabled" value="false" />

<entry key="EJBEnabled" value="false" />

</map>

</node>

Vous devez définir la clé de l'entrée EJBEnabled sur true

. Ce paramètre permet à LiveCycle Document

Security ou LiveCycle Reader Extensions d'utiliser l'API Java. Vous n'avez pas besoin de modifier les clés des entrées EventHandlersEnabled et WebServiceEnabled.

Pour plus de détails sur l'importation et l'exportation du fichier de configuration XML de

LiveCycle Policy Server, reportez-vous à l'aide de LiveCycle Policy Server.