Weblogic Server permet généralement de facilement gérer la plupart des certificats que vous pouvez rencontrer. Cependant lorsque l’on souhaite utiliser, par exemple, un certificat SSL signé avec les normes SHA-256, il est nécessaire d’effectuer un certain nombre de paramétrages sur les serveurs, ne les gérant pas nativement. Il faudra activer notamment l’implémentation basée sur JSSE (Java Secure Socket Extension).
Paramétrage utilisation implémentation JSSE
Par défaut Weblogic utilise une implémentation Certicom SSL, mais à présent une implémentation JSSE est disponible. Pour forcer l’utilisation de cette implémentation, il suffit de rajouter à votre serveur le paramètre suivant :
-Dweblogic.ssl.JSSEEnabled=true
Vous pouvez également activer ce paramétrage en vous rendant dans la console d’administration :
Environment > **Serveur Cible** > Configuration à SSL > Advanced tab > Use JSSE SSL
Accéder à la configuration SSL du serveur concerné (Advanced)
Cocher la case pour activer l’implémentation JSSE
Une fois en place cette configuration, il faudra redémarrer les serveurs concernés pour une prise en compte.
(Facultatif) Extension des Ciphers Suite
Dans certains cas, il est possible que l’utilisation de l’implémentation JSSE au lieu de Certicom ne soit pas suffisante.
A priori les ciphers suite pouvant être nécessaires ne sont pas forcément tous présents dans la JVM utilisée. Les ciphers suite sont en quelques sortes les différentes suites d’algorithmes qui vont être utilisables / gérés par la JVM pour effectuer un échange sécurisé avec un partenaire.
Pour gérer les certificats avec les encryptages les plus forts, il est parfois nécessaire de mettre à jours les politiques des algorithmes utilisables. Pour cela, il sera faudra récupérer les politiques renforcées / non limitées fournies indépendamment par JCE (Java Cryptography Extension) policies files.
L’installation consistera à remplacer celles présentes par défaut dans votre JVM. Elles sont présentes dans le dossier lib/security de votre JRE :
- local_policy.jar
- US_export_policy.jar
Attention, ces politiques sont spécifiques à votre JVM (version, fournisseur…), pensez à télécharger la bonne !
Une fois en place les nouvelles politiques, un redémarrage sera nécessaire. Si vous étiez encore bloqué à cause de certificats forts, cela devrait avoir résolu vos derniers problèmes.
Conclusion
Lorsque l’on rencontre un problème associé à des certificats n’étant pas un simple import manquant, c’est souvent un peu la panique : les mécanismes sont souvent méconnus, on ne traite généralement que rarement ces problématiques, ponctuellement.
Comme vous aurez pu le voir dans cet article, les choses ne sont pas toujours si compliquées, et il est relativement aisé de mettre en place l’utilisation de certificats forts sur un serveur Weblogic.
