Sécuriser l’accès à la console TIBCO Administrator par HTTPS

Post Views: 27

Introduction

La sécurisation d’une architecture TIBCO BusinessWorks 5 est cruciale pour garantir la confidentialité et l’intégrité des échanges de données. Dans cette série d’articles, nous abordons différents outils et méthodes pour renforcer la sécurité de votre infrastructure TIBCO. Aujourd’hui, nous allons voir comment activer le protocole HTTPS pour accéder à la console d’administration de TIBCO Administrator.

Pourquoi activer HTTPS sur TIBCO Administrator ?

TIBCO Administrator est une console graphique centrale qui permet la gestion et l’administration des domaines TIBCO BusinessWorks. Par défaut, lorsque vous créez un domaine TIBCO, l’accès à cette console se fait via le protocole HTTP. Cela expose potentiellement les informations sensibles échangées lors des connexions. L’activation du protocole HTTPS permet de sécuriser ces échanges en chiffrant les données envoyées entre votre navigateur (client) et le serveur TIBCO Administrator.

Objectifs de sécurité visés

L’objectif principal est double :

  • Confidentialité : Empêcher tout tiers non autorisé de lire les informations sensibles transmises.
  • Intégrité : Garantir que les données transmises n’ont pas été altérées en chemin.

En utilisant HTTPS (protocole HTTP sécurisé), vous bénéficiez d’un chiffrement des échanges grâce à la couche de sécurité TLS (Transport Layer Security). Même en cas d’interception des communications, les données seront incompréhensibles pour un attaquant.

Prérequis

Pour activer HTTPS, vous aurez besoin d’un certificat SSL valide. Deux options existent :

  • Certificat auto-signé : facile à générer pour des tests ou environnements de développement.
  • Certificat signé par une autorité de certification (CA) : fortement recommandé pour les environnements de production pour une sécurité optimale.

Pour la démonstration ci-dessous, nous utiliserons un certificat auto-signé afin de simplifier la procédure.

Mise en œuvre étape par étape

Cette section détaille étape par étape comment activer le protocole HTTPS. 

Pour rappel la console d’administration est gérée par au travers d’un domaine TIBCO. L’activation de HTTPS se fait donc en modifiant les informations de connexion au domaine. Pour ce faire, même s’il est possible de mettre à jour cette configuration graphiquement avec l’utilitaire « Domain utility » nous allons utiliser la commande « domainutilitycmd » fournie par l’installation de TRA (TIBCO Runtime Agent). Cette commande permet de modifier les informations du domaine en ligne de commande.

3 options sont possibles pour la configuration du certificat SSL

Voici comment activer simplement HTTPS pour sécuriser votre console TIBCO Administrator :

  • SSC : Generate and install a self signed cetificate : un certificate ausigné est généré
  • CSR : Generate a certificate signing request : permet de générer une demande de certificat signé. La commande devra être exécutée une 2° fois pour valider le certificat.
  • SRVC – Install a server certificate : A utiliser si on possède déjà un certificat signé par une autorité de certificat.

Dans tous les cas, les étapes sont les suivantes :

  • Il faut créer une copie du fichier configurer le fichier EnableHttpsConf.xml qui se trouve dans le répertoire TRA_HOME/template/domainutility/cmdline.
    • Pour l’activation du SSL avec un certificat signé par une autorité ?
<?xml version= »1.0″ encoding= »UTF-8″?><Task xmlns= »http://www.tibco.com/domainutility/commandline » xmlns:xsi= »http://www.w3.org/2001/XMLSchema-instance »>      <ModifyHttpsConf>            <DomainName>nom_de_votre_domaine</DomainName>            <AdministratorUsername>utilisateur_de_votre_domaine</AdministratorUsername>            <AdministratorPassword>mot_de_passe_nom_de_votre_domaine</AdministratorPassword>            <CertificateType>SRVC</CertificateType>                    <ServerCertificate>votre_certificat</ServerCertificate>            <CAChainCertificate>votre_CA(Certificate Authority)</CAChainCertificate>            <HttpsPort>8444</HttpsPort>            <ShutDownPort>8035</ShutDownPort>            <Password>password</Password>            </ModifyHttpsConf></Task>
  • Pour l’activation du SSL avec un certificat autosigné
<?xml version= »1.0″ encoding= »UTF-8″?><Task xmlns= »http://www.tibco.com/domainutility/commandline » xmlns:xsi= »http://www.w3.org/2001/XMLSchema-instance »>      <ModifyHttpsConf>            <DomainName>nom_de_votre_domaine</DomainName>            <AdministratorUsername>utilisateur_de_votre_domaine</AdministratorUsername>            <AdministratorPassword>mot_de_passe_nom_de_votre_domaine</AdministratorPassword>            <CertificateType>SSC</CertificateType> <!– SSC (Generate and install a self signed cetificate) –>            <CertificateDetails>                  <Email>email@mycompany.com</Email>                  <CN>my.mydomain.com</CN>                  <OU>my organization unit</OU>                  <O>my organization</O>                  <City>my city</City>                  <State>my state</State>                  <CountryCode>US</CountryCode>                  <Validity>730</Validity>            </CertificateDetails>                     <HttpsPort>8444</HttpsPort>            <ShutDownPort>8035</ShutDownPort>            <Password>password</Password>      </ModifyHttpsConf></Task>
  • Mettre à jour le fichier avec les informations du certificat.

Configurer le domaine TIBCO avec TRA (TIBCO Runtime Agent) : Bien qu’il soit possible d’utiliser l’utilitaire graphique « Domain Utility » comme vu plus haut, dans un environnement de production, nous privilégions l’utilisation de la commande en ligne, plus adaptée à l’automatisation.

  • Une fois que vous avez vos certificats, vous pouvez utiliser TIBCO TRA pour configurer votre domaine comme suit :
  • Pour celà, ouvrez votre terminal ou votre invite de commande, et exécutez la commande domainutilitycmd avec l’argument -cmdFile en lui passant le fichier mis à jour. TRA_HOME/bin/domainutilitycmd -cmdFile TRA_HOME/template/domainutility/cmdline /EnableHttpsConf.xml
  • Remarque: Si vous n’avez pas mis à jour le fichier « EnableHttpsConf.xml », vous aurez tout de même besoin des informations de votre certificat. Et à ce moment, vous pouvez alors exécuter la commande suivante domainutilitycmd -cmd configurehttps -domain <NomDuDomaine> -keystore <CheminVersVotreKeystore> -storepassword <MotDePasseKeystore> -keyalias <AliasCertificat>
    • Remplacez les balises <NomDuDomaine><CheminVersVotreKeystore><MotDePasseKeystore> et <AliasCertificat> par vos informations spécifiques.

Redémarrer les services TIBCO Administrator

Après l’exécution réussie de la commande, redémarrez les services associés à TIBCO Administrator pour appliquer les changements :tibcoadmin_<NomDuDomaine> restart

    Vérification finale

    Accédez à votre console via https://<adresse>:<port>/administrator pour confirmer que vous avez accès à la console d’administration en https. Un cadenas vert ou une indication similaire dans votre navigateur confirmera la réussite de l’opération.