Verwenden Sie die Administrationskonsole von WebSphere Application Server, um Trust-Anchor zu konfigurieren,
die Keystores mit anerkannten Stammzertifikaten für die Validierung des Unterzeichnerzertifikats angeben.
Vorbereitende Schritte
Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der
Version 6 und höher. Die Informationen
in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in
WebSphere Application Server Version 6.0.x und höher verwendet werden.
Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.
In diesem
Dokument wird beschrieben, wie Trust-Anchor und Truststores auf Anwendungsebene
konfiguriert werden. Die Trust-Anchor- und Truststore-Konfiguration auf Server- und Zellenebene wird nicht beschrieben. Trust-Anchor, die auf Anwendungsebene definiert werden,
haben Priorität vor denen, die auf Server- oder
Zellenebene definiert werden. Weitere Informationen zum Erstellen und Konfigurieren der Trust-Anchor
auf Server- oder Zellenebene finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. im Artikel Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
Für die Konfiguration eines Trust-Anchors auf Anwendungsebene kann ein
Assembliertool oder die Administrationskonsole verwendet werden. In diesem Dokument wird die Konfiguration
eines Trust-Anchors auf Zellenebene über die Administrationskonsole beschrieben.
Informationen zu diesem Vorgang
Ein Trust-Anchor gibt Keystores an, die
Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsempfänger
(gemäß Definition in der Datei ibm-webservices-bnd.xmi) und vom
Empfänger (gemäß Definition in der Datei ibm-webservicesclient-bnd.xmi, falls Web-Services als Client auftreten) verwendet, um das Unterzeichnerzertifikat der
digitalen Signatur zu validieren. Die Keystores sind für die Integrität
der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden,
ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die Bindungskonfiguration,
die für den Anforderungsempfänger in der Datei ibm-webservices-bnd.xmi angegeben ist,
muss mit der Bindungskonfiguration für den Antwortempfänger in der Datei ibm-webservicesclient-bnd.xmi
konform sein.
Die folgenden Schritte sind für den Antwortempfänger auf Clientseite,
der in der Datei ibm-webservicesclient-bnd.xmi definiert ist, und
den Anforderungsempfänger auf Serverseite bestimmt, der in der Datei ibm-webservices-bnd.xmi definiert
ist.
Vorgehensweise
- Konfigurieren Sie ein Assembliertool für die Arbeit mit Java™ EE-Anwendungen (Java Platform, Enterprise Edition). Weitere Informationen finden Sie in den zugehörigen Informationen
zu Assembliertools.
- Erstellen Sie eine Web-Service-fähige Java-EE-Unternehmensanwendung. Eine Einführung in die
Verwaltung von Bindungsinformationen für Web Services Security
auf dem Server finden Sie im Artikel
Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. im Artikel Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
- Klicken Sie auf .
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Klicken Sie unter "Web Services Security-Eigenschaften" auf
Web Services: Clientsicherheitsbindungen, um die Bindungsinformationen
des Antwortempfängers zu editieren, wenn Web-Services als Client auftreten.
- Klicken Sie unter "Antwortempfängerbindung" auf Bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
- Klicken Sie auf Neu, um einen neuen Trust-Anchor zu erstellen.
- Geben
Sie in der Anforderungsempfängerbindung im Feld "Name des Trust-Anchors" einen eindeutigen Namen ein. Mit dem Namen
wird auf
den definierten Trust-Anchor verwiesen.
- Geben Sie Kennwort, Pfad und Typ des Keystore ein.
- Klicken Sie
auf den Namen des
Trust-Anchors, um den ausgewählten Trust-Anchor zu bearbeiten.
- Klicken Sie auf Entfernen, um den oder die ausgewählten Trust-Anchor zu löschen.
Wenn
Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die
Bindungsinformationen geladen werden.
- Kehren Sie in die Anzeige für das Web-Service-fähige Modul zurück, die Sie
in Schritt 2 aufgerufen haben.
- Klicken Sie unter "Web Services Security-Eigenschaften" auf Web-Services: Serversicherheitsbindungen, um
die Anforderungsempfängerbindung zu bearbeiten.
- Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
- Klicken Sie auf Neu, um einen neuen Trust-Anchor zu erstellen.
Geben
Sie in der Anforderungsempfängerbindung im Feld "Name des Trust-Anchors" einen eindeutigen Namen ein. Mit dem Namen
wird auf
den definierten Trust-Anchor verwiesen.
Geben Sie Kennwort, Pfad und Typ des Keystore ein.
Klicken Sie
auf den Namen des
Trust-Anchors, um den ausgewählten Trust-Anchor zu bearbeiten.
Klicken Sie auf Entfernen, um den oder die ausgewählten Trust-Anchor zu löschen.
Wenn
Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die
Bindungsinformationen geladen werden.
- Speichern Sie die Änderungen.
Ergebnisse
Diese Prozedur definiert Trust-Anchor, die vom Anforderungs- und Antwortempfänger
(wenn Web-Services als Client auftreten) verwendet werden können, um das Ausstellerzertifikat zu prüfen.
Beispiel
Der Anforderungsempfänger und der Antwortempfänger (wenn Web-Services als Client auftreten)
verwenden den definierten Trust-Anchor, um das Ausstellerzertifikat zu prüfen. Es wird mit dem Trust-Anchor-Namen auf den
Trust-Anchor verwiesen.