Configuration du support des protocoles SSL ou TLS pour le serveur MDM - 6.1

Talend Data Fabric Guide d'installation

EnrichVersion
6.1
EnrichProdName
Talend Data Fabric
task
Installation et mise à niveau
EnrichPlatform
Studio Talend
Talend Activity Monitoring Console
Talend Administration Center
Talend Artifact Repository
Talend CommandLine
Talend DQ Portal
Talend ESB
Talend Identity Management
Talend Installer
Talend JobServer
Talend Log Server
Talend MDM Server
Talend MDM Web UI
Talend Project Audit
Talend Repository Manager
Talend Runtime
Talend SAP RFC Server

Vous pouvez configurer le serveur MDM pour s'exécuter de façon sécurisée sur un serveur HTTP en utilisant les protocoles Transport Layer Security (TLS) ou Secure Sockets Layer (SSL).

Le support des protocoles SSL ou TLS pour le serveur MDM peut être configuré depuis le Studio Talend ou depuis Tomcat. Pour plus d'informations, consultez Configurer le support de SSL ou TLS pour le serveur MDM depuis le Studio Talend et Configurer le support des protocoles SSL ou TLS pour le serveur MDM depuis Tomcat.

Configurer le support de SSL ou TLS pour le serveur MDM depuis le Studio Talend

Pour configurer la connexion TLS/SSL depuis le Studio Talend, procédez comme suit.

  1. Dans votre Studio, cliquez sur Window > Preferences.

    La boîte de dialogue [Preferences] s'ouvre.

  2. Développez Talend > MDM, puis cliquez sur SSL.

    Une page s'ouvre dans laquelle vous pouvez spécifier les détails de votre configuration SSL.

  3. Définissez la configuration de sécurité (Security Configuration).

    1. Dans la liste SSL Algorithm, sélectionnez le protocole de sécurité à utiliser : TLS ou SSL.

    2. Sélectionnez la méthode de vérification de l'hôte à utiliser en sélectionnant l'option allow all (qui ne vérifie pas le nom d'hôte) ou strict verify (qui effectue une vérification du certificat associé au nom d'hôte).

  4. Définissez la configuration Keystore (Keystore Configuration) afin d'envoyer les identifiants locaux à l'hôte distant.

    1. Cliquez sur Browse et parcourez votre système jusqu'au répertoire où sont stockés vos identifiants locaux.

    2. Saisissez le mot de passe requis pour accéder au certificat.

    3. Spécifiez le type de keystore à utiliser en sélectionnant l'option appropriée dans la liste déroulante : JKS, JCEKS, ou PKCS12.

  5. Définissez la configuration Truststore (Truststore Configuration) du certificat contenant les identifiants d'authentification distants.

    1. Cliquez sur Browse et parcourez votre système jusqu'au répertoire où sont stockés vos certificats de sécurité.

    2. Saisissez le mot de passe requis pour accéder au certificat.

    3. Spécifiez le type de keystore à utiliser en sélectionnant l'option appropriée dans la liste déroulante : JKS, JCEKS, ou PKCS12.

  6. Cliquez sur OK pour confirmer vos changements.

Le support des protocoles SSL ou TLS pour le serveur MDM peut être configuré depuis Tomcat. Pour plus d'informations, consultez Configurer le support des protocoles SSL ou TLS pour le serveur MDM depuis Tomcat.

Configurer le support des protocoles SSL ou TLS pour le serveur MDM depuis Tomcat

Afin d'assurer la sécurité de l'environnement de communication, vous pouvez configurer le support des protocoles Transport Layer Security (TLS) ou Secure Sockets Layer (SSL) dans Tomcat.

Note

Il est recommandé de configurer dans Tomcat le support de SSL ou TLS uniquement lorsque vous exécutez Tomcat en serveur Web standalone. Il n'est pas nécessaire de configurer le support du SSL lorsque Tomcat s'exécute derrière un autre serveur Web comme Apache.

Prérequis : une JRE version 1.8.0 ou supérieure doit être installée. Vous devez vous assurer que la variable d'environnement JAVA_HOME pointe vers le répertoire de la JRE. Par exemple, si le chemin est C:\Java\JREx.x.x\bin, votre variable d'environnement JAVA_HOME doit pointer vers C:\Java\JREx.x.x.

Tout d'abord, vous devez générer un fichier keystore contenant un certificat auto-signé pour le SSL.

La procédure suivante vous explique comment générer un certificat auto-signé à l'aide de Java Keytool.

  1. Ouvrez une invite de commande.

  2. Exécutez la commande suivante afin de générer un nouveau fichier nommé ".keystore" dans votre répertoire principal.

    "%JAVA_HOME%\bin\keytool" -genkey -alias tomcat -keyalg RSA

    Note

    Si vous souhaitez spécifier un emplacement différent ou un nom de fichier différent, ajoutez le paramètre -keystore à la commande. Par exemple, vous pouvez ajouter -keystore talendmdm.keystore à la commande, afin de générer un fichier keystore nommé talendmdm.keystore.

  3. Saisissez le mot de passe du keystore comme demandé puis saisissez le mot de passe à nouveau afin de le confirmer. Par défaut, le mot de passe est "changeit".

  4. Saisissez les informations générales relatives à ce certificat, comme le nom de l'entreprise, ou la ville. Assurez-vous que les informations saisies correspondent aux informations attendues par les utilisateurs essayant d'accéder à une page sécurisée de votre application.

  5. Saisissez le mot de passe de la clé comme demandé, c'est-à-dire le mot de passe spécifique à ce certificat.

    Avertissement

    Il est recommandé d'utiliser le même mot de passe pour le fichier keystore et la clé.

  6. Allez dans votre répertoire principal et vérifiez qu'un fichier .keystore est à nouveau généré.

Le fichier keystore est préparé, vous pouvez configurer le support des protocoles SSL ou TLS dans Tomcat, comme suit :

  1. Parcourez votre système jusqu'au répertoire <TomcatPath>/conf et ouvrez le fichier server.xml.

  2. Décommentez le texte suivant.

     <!--
        <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol"
                   maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
                   clientAuth="false" sslProtocol="TLS" />
        -->
  3. Ajoutez les informations du chemin d'accès complet au fichier keystore et le mot de passe pour le fichier keystore.

    <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol"
                   maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
                   keystoreFile="${user.home}/.keystore" keystorePass="changeit"
                   clientAuth="false" sslProtocol="TLS" />
    

    Avertissement

    Assurez-vous que keystoreFile contient le chemin et le nom du fichier du keystore et que keystorePass correspond au mot de passe pour le keystore.

  4. Sauvegardez vos modifications dans le fichier.

  5. Redémarrez Tomcat afin de prendre en compte les mises à jour.

Vous pouvez également configurer le support des protocoles SSL ou TLS pour le serveur MDM depuis le Studio Talend. Pour plus d'informations, consultez Configurer le support de SSL ou TLS pour le serveur MDM depuis le Studio Talend.

Configurer le serveur MDM pour qu'il réponde uniquement aux requêtes HTTPS

Avec la configuration du support des protocoles SSL ou TLS, un serveur MDM peut répondre aux requêtes HTTP et HTTPS.

Pour assurer la sécurité des communications avec le serveur MDM, vous pouvez configurer le serveur MDM pour qu'il réponde uniquement aux requêtes HTTPS en modifiant le fichier web.xml sous le répertoire <TomcatPath>/webapps/talendmdm/WEB-INF.

Ouvrez le fichier web.xml et décommentez le texte suivant :

    <!-- Uncomment the following to configure webapp to always require HTTPS -->
    <security-constraint>
        <web-resource-collection>
            <web-resource-name>HTTPSOnly</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

Après cette configuration, si vous saisissez une URL commençant par http dans votre navigateur, vous serez automatiquement redirigé vers une URL sécurisée commençant par https.