Contrôler les détails SSL avec un profil d’application SSL

un certificat signé par l’une de ces CA. Dans beaucoup de cas, il est intéressant de pouvoir contrôler avec un fin niveau de granularité, quelles CA vous approuvez. Heureusement, vous pouvez créer un profil pour votre application de manière à pouvoir contrôler tous les détails SSL par l’intermédiaire de l’interface utilisateur GUI de DCM. Pour cela, revenez au DCM et sélectionnez les options suivantes :

1.Cliquez sur le bouton Select a Certificate Store.

2.Choisissez le stockage de certificats *SYSTEM, cliquez sur Continue, entrez le mot de passe du stockage de certificats, et cliquez à nouveau sur Continue.

3.Sur le côté gauche de l’écran, cliquez sur Manage Applications puis sur Add Application.

4.Sélectionnez Client, parce que ceci est un programme client.

5.Entrez l’ID d’application. Par convention, c’est le nom de la société suivi d’un trait de soulignement, puis du nom de l’application, un autre trait de soulignement et finalement la composante spécifique de l’application. Par exemple, si vous travaillez pour Acme et créez un programme de comptabilité fournisseur, qui rédige des chèques, vous pourriez utiliser l’ID d’application suivant : ACME_ACCTPAY_POSTCHECK.

6.Le reste des paramètres peut être adapté à l’application que vous écrivez. Par exemple, si vous voulez contrôler quelles CA (certificate authorities) votre programme approuve, vous pouvez sélectionner Define the CA trust list pour ce profil. Si vous faites cela, vous devez utiliser l’option Define CA trust list (aussi sous Manage Applications) pour spécifier quels certificats CA sont approuvés et lesquels ne le sont pas.

7.Après avoir sélectionné toutes les options nécessaires pour votre application, cliquez sur Add pour ajouter le nouveau profil d’application.

8.Si vous avez besoin d’un certificat attribué à cette application, vous pouvez utiliser l’option Update certificate assignment du menu Manage Applications pour attribuer un certificat SSL à l’application. C’est obligatoire pour un serveur mais facultatif pour une application client.

Pour ordonner à votre programme RPG d’utiliser ce profil, vous devez définir un ID d’application quand vous créez l’environnement SSL. Le système utilise ce ID pour trouver le profil correspondant dans le gestionnaire des certificats numériques. La figure 7 montre le code qui spécifie le ID d’application à l’API GSKit. GSKit trouve ce ID d’application dans le DCM et l’utilise pour configurer les paramètres SSL de votre programme. Le code de la figure 7 devrait être utilisé à la place (et pas en plus) du code provenant du renvoi B de la figure 1.

Comme le protocole SSL a été conçu à l’origine comme un moyen de sécuriser les paniers d’achat sur les sites Web, il n’est généralement pas demandé aux programmes client d’envoyer un certificat SSL. L’acheteur sur Internet doit savoir que le serveur est authentique et qu’il n’envoie pas les détails de sa carte de crédit à un tiers non approuvé. En revanche, la boutique n’utilise généralement pas de certificats pour vérifier que les clients sont bien qui ils disent être. C’est pourquoi le protocole SSL exige que le serveur ait toujours un certificat approuvé valide. Tandis qu’un certificat côté client reste facultatif.

Dans les applications de gestion, un certificat côté client peut s’avérer intéressant. En fait, si vous écrivez vos propres applications serveur, vous pouvez configurer leurs profils d’application pour n’autoriser les connexions qu’en provenance de clients qui ont des certificats côté client approuvés. Ainsi, le DCM donne la possibilité de créer votre propre CA et d’émettre vos propres certificats. Vous pourriez créer un programme qui n’approuve que les certificats provenant de cette CA, et donc n’approuve que les certificats émis par vous-mêmes. Vous pourriez fournir des certificats côté client à tous vos partenaires professionnels et écrire un programme serveur qui n’accepte les connexions qu’en provenance des programmes détenteurs de ces certificats.

Pour ordonner à l’application RPG d’envoyer un certificat, utilisez l’option Update Certificate Assignment du menu Manage Applications du DCM. Si vous attribuez le certificat à une application client, elle l’utilise quand un certificat côté client est nécessaire. Si vous en attribuez un à une application serveur, le serveur envoie ce certificat à tout client qui se connecte et c’est à lui de décider s’il l’approuve ou non.