Configuration de l'HCL AppScan Traffic Recorder

Modifications que vous pouvez apporter au fichier de configuration Settings.json pour l'utiliser avec HCL AppScan Traffic Recorder

Après avoir apporté des modifications au fichier de configuration, vous devez redémarrer le serveur.
Important : Lors de la mise à niveau, si vous disposez déjà d'un certificat PKCS12 défini dans Settings.json, vous devrez le redéfinir.

Mode compatible FIPS

Pour définir le mode compatible FIPS :
  1. Localisez le fichier Settings.json dans le dossier racine de l'HCL AppScan Traffic Recorder et ouvrez-le dans un éditeur de texte.
  2. Localisez la propriété requireFips du paramètre et remplacez sa valeur false par true.
  3. Sauvegardez le fichier.

Connexion à l'enregistreur de trafic

  1. Configurez un port par défaut pour l'enregistreur de trafic dans Settings.json.
  2. Configurez une connexion sécurisée (SSL) à l'enregistreur de trafic. Vous pouvez le faire à l'aide de votre propre certificat (méthode A) ou d'un certificat autosigné (méthode B).
    Méthode A : Configurez votre propre certificat PEM ou PKCS12 dans Settings.json :
    PéM :
    • Un certificat PEM requiert deux chemins d'accès (vers private.key et certificate.pem).
      • Insérez les chemins d'accès aux fichiers dans la section PEM de Settings.json.
        Remarque : L'échappement est nécessaire pour le caractère \, par exemple, C:\\Users\\admin\\private.key.
    PKCS12 :

    Si nécessaire, vous devez utiliser des caractères d'échappement dans les chemins d'accès aux fichiers et dans le mot de passe. Par exemple, un mot de passe tel que abc!”123 devient abc!\”123 (le symbole est échappé).

    1. Dans la ligne de commande, exécutez :
      .\Java\bin\java.exe -jar .\DastProxy.jar -sc "C:\Path\to\certificate.pfx"
    2. A l'invite, entrez le mot de passe du certificat et cliquez sur Entrée.
    Exemple d'utilisation d'OpenSSL pour créer un certificat PEM :
    openssl req -newkey rsa:2048 -new -nodes -keyout key.pem -out csr.pem
openssl x509 -req -days 365 -in csr.pem -signkey key.pem -out server.crt
    Exemple d'utilisation d'OpenSSL pour convertir le certificat PEM en certificat PKCS12 :
    openssl pkcs12 -export -out certificate.pfx -inkey key.pem -in server.crt
    Exemple d'outil keygen de Java pour convertir un certificat JKS en certificat PKCS12 :
     keytool -importkeystore -srckeystore certificate.jks -srcstoretype JKS -destkeystore certificate.p12 -deststoretype PKCS12
    Méthode B : si vous n'avez pas de certificat, vous devez créer et utiliser un certificat autosigné. Cette méthode est moins sécurisée.
    Option A : utilisation d'OpenSSL
    OpenSSL n'est ni inclus et ni requis, sauf pour la création du certificat auto-signé.
    1. Créez la clé et les fichiers PEM à l'aide de la commande OpenSSL :
      openssl req -new -newkey rsa:2048 -nodes -keyout private.key -x509 -days 365 -out certificate.pem
    2. Insérez les chemins d'accès aux fichiers dans la section PEM de Settings.json.
      Remarque : L'échappement est requis pour le caractère \. Exemple :
      "C:\\Users\\admin\\private.key"
    Option B : A l'aide de l'outil de clé Java
    Pour NodeJS 17 et versions ultérieures, vous devez utiliser l'indicateur de nœud --openssl-legacy-provider en raison de la limitation de l'outil clé, voir https://nodejs.org/api/cli.html#--openssl-legacy-provider
    1. Dans la ligne de commande, ouvrez le dossier racine Traffic Recorder.
    2. Créez un fichier de certificat Java à l'aide de cette commande :
      .\Java\bin\keytool -genkey -keyalg RSA -alias selfsigned -keystore keystore-new.p12 -storetype PKCS12 -validity 365 -keysize 2048
    3. Renseignez les détails du certificat et protégez-le à l'aide d'un mot de passe.

      Mot de passe requis à l'étape suivante.

    4. Utilisez le certificat généré dans l'HCL AppScan Traffic Recorder à l'aide de la commande :
      .\Java\bin\java.exe -jar .\DastProxy.jar -sc "keystore-new.p12"

Certificat racine

Si l'application que vous testez utilise le protocole SSL (HTTPS), l'HCL AppScan Traffic Recorder doit agir en tant qu'intermédiaire pour l'enregistrement du trafic. Pour ce faire, il doit disposer d'un certificat racine qu'il peut utiliser pour signer ses communications avec l'application.

Par défaut, l'HCL AppScan Traffic Recorder génère un certificat racine unique, sans que l'intervention de l'utilisateur ne soit requise. Cependant, vous obtiendrez des avertissements SSL lorsque vous parcourrez l'application. Vous pouvez soit les ignorer, soit faire l'une des choses suivantes :
  • Installer le certificat généré par l'HCL AppScan Traffic Recorder sur votre ou vos machines :
    1. Utilisez l'API REST pour télécharger l'autorité de certification racine auto-signée utilisée par l'HCL AppScan Traffic Recorder en tant que fichier PEM.
    2. Installez le certificat sur le navigateur utilisé pour l'exploration ou à tout emplacement requis (en fonction de l'origine du trafic).
  • Importer votre propre certificat racine sur l'HCL AppScan Traffic Recorder :
    1. Ouvrez une fenêtre de ligne de commande et accédez au dossier d'installation sur la machine de l'enregistreur de trafic.
    2. Exécutez la commande suivante :
      .\Java\bin\java -jar DastProxy.jar -irc [path to certificate file] -ircp [password]
      Pour afficher la syntaxe de commande complète, exécutez :
      .\Java\bin\java -jar DastProxy.jar
      Important : Il est recommandé d'utiliser un certificat test dédié, dans la mesure où le certificat est enregistré sur l'enregistreur de trafic.
      Remarque : Les formats de certificats pris en charge sont PKCS12 (.P12, .PFX) et JKS.
  • Fournissez votre propre certificat de serveur fixe (et non un certificat racine) dans la commande StartProxy.

Définir le délai d'inactivité

Si une instance de l'enregistreur de trafic n'est pas fermée après utilisation à l'aide de la commande correspondante, elle reste ouverte et en mode écoute sur le port. Les instances de l'enregistreur de trafic sont automatiquement fermées si elles restent inactives pendant une durée prédéfinie.

Le délai d'inactivité par défaut pour les instances de l'enregistreur de trafic est de 60 minutes. Modifiez cette valeur dans “inactivityTimeoutInMinutes” dans le fichier Settings.json situé dans le dossier d'installation.

Chiffrer le trafic

Par défaut, le fichier de trafic (.DAST.CONFIG) n'est pas chiffré. Pour configurer le serveur afin de chiffrer tout le trafic, remplacez la valeur "encryptDastConfig" par true dans le fichier Settings.json situé dans le dossier d'installation.

Proxy chaîné

Si vous devez définir plusieurs proxys chaînés ou des exceptions sur le proxy, utilisez le fichier de règles de proxy chaîné (proxy.chain) situé dans le dossier d'installation. Des instructions d'utilisation sont incluses dans ce fichier.