Discussion :

[mauvais_karma]

salut

j'ai besoin de protéger certaine partie d'une application en cryptant les échanges (transport) avec l'extérieur via SSL.
Pour la petite histoire, j'ai des WS et un site Web qui accedent à des EJBs (sécurisés par jaas). Pour l'instant, l'authentification passe par HTTP (BASIC pour les WS/ FORM pour le site).
Je veux maintenant rajouter une couche SSL...

Mais ce que je désire savoir, c'est si il vaut mieux
1- utiliser Apache (HTTP Server) qui se chargera de crypter/décrypter les échanges, ou
2- plutot laisser faire tomcat ou l'AS

Si g bien compris, dans le cas 1- c'es transparent coté AS, puisque Apache lui transmet en claire ce qui vient de l'extérieur, et crypte ce qui sort...?

Dans le cas où les échanges internes (Apache<->AS) ne sont pas "sensibles", quelle solution vous preferez?

[P4dre]

En Théorie Tomcat fait sa pas mal.
Je suis en train de faire exactement ce que tu veut faire mais avec le Sun Application server , je suis en train de me prendre la tête grave ^^

Mai savec Tomcat, y'a tellement de doc sur le net que c'est simple a implémenter et en plus c'est efficace.

[RolandB]

Je pense que l'implémenter sur Apache est mieux...
car comme tu le dis c'est transparent pour tomcat.

[Aldo]

je pense aussi que c'est mieux de l'implémenter sur apache. Cela permet de protéger tomcat de l'extérieur grâce à la couche apache entre les clients et tomcat. De plus, le but premier de tomcat est de faire tourner des servlets java et non de gérer le protocole ssl.

[P4dre]

Vu comme sa en effet, mais comme dit mauvais_karma

Dans le cas où les échanges internes (Apache<->AS) ne sont pas "sensibles"

Je profite un peu du sujet pour exposer mon pb aussi , j'ai un Sun AS où je souhaite aussi faire de SSL , me conseillez vous comme pour tomcat de mettre un serveur Apache au dessus ?

[Aldo]

Cela dépend de l'application qui doit être protégée, j'entend par là est-ce que c'est une application intranet ou internet?

Pour la sécurité, si c'est une application internet, il vaut mieux utiliser un http serveur devant le servlet engine afin de pouvoir sécurisé la zone des applications (servlet engine, db,...).

D'autre part, tomcat ne permet pas de gérer les fichiers statiques de façon optimisée (avec sun AS je ne sais pas si c'est le cas). Par contre un serveur comme apache http permet de gérer un cache de ces fichiers. Cela permet d'augmenter les perfos.

Du point de vue de la disponibilité, si tu as un http serveur devant les servlets engine, tu peux gérer un load balancing sur plusieurs tomcat avec un seul serveur en facade. Cela permet de pouvoir arrêter un serveur tomcat sans couper la disponibilité des services http.

Voilà, je ne connais pas sun AS. Il faut voir ce qu'il offre comme possibilité par rapport à ces problématiques et les besoins de ton applications en terme d'exploitation.

[P4dre]

Bah en faite ce qui me pose soucis c'est que c'est des Web services que je veut sécuriser , et que je voit pas bien comment mes wsdl vont etre accessible au travers du serveur Apache.

Redirection de port ? Autre ? Bref , j'avance en terrain totalement inconnu ^^

Mais en meme temps je veut pas moisir le topic de l'ami Mauvais_Karma ^^

[mauvais_karma]

Vu comme sa en effet, mais comme dit mauvais_karma

Dans le cas où les échanges internes (Apache<->AS) ne sont pas "sensibles"

--> justement, si en Intranet c pas sensible, je suis pas obligé de les crypter.

RolandB, Aldo-> la partie à sécuriser est sur Internet. Je suis de votre avis d'utiliser Apache. En + je vais laisser faire ca a l'admin systeme

p4dre-> le fait de faire du SSL ne va pas sécuriser ton wsdl, que tu le fasses sur Apache ou Tomcat. C'est le serveur qui s'identifie, pas le client, je me trompe? Ca n'empeche pas d'authentifier le client pour sécuriser les applis

merci de vos réponses

[P4dre]

Non en effet , c'est la combinaison d'un authentification et du SSL qui va rendre mon wsdl et surtout l'utilisation de mon web service sécurisé (seul ceux qui peuvent se logger peuvent l'utiliser et grace au SSL il sera bien plus difficile de recupérer les login/mdp en interceptant le message)

Merci a tous pour cette discussion interessante , parfois j'ai l'impression d'etre le seul a travailler sur les web service ( ou alors d'etre le seul a avoir des problemes avec )

[edit] Je vien de relire ton message mauvais karma , je l'avais mal lu a priori , c'est bien le client qui s'authentifie au serveur pour avoir le droit d'utiliser le web service deployé sur celui ci et non l'inverse.[/edit]

[mauvais_karma]

tiens P4dre t de dijon?
etudiant, stagiaire, professionnel?

[P4dre]

Etudiant et Stagiaire ^^

Je fait mon stage de fin de DUT 2eme année info au laboratoire de recherche informatique Le2i de l'université de bourgogne a Dijon

[mauvais_karma]

je t'ais envoyé un MP!

[RolandB]

Et nous

[P4dre]

Les dijonnais se soutiennent moralement ^^