Zertifikatssammelspeicher für die Generatorbindung auf Anwendungsebene konfigurieren
Sie können einen Zertifikatssammelspeicher für Generatorbindungen auf Anwendungsebene konfigurieren.
Informationen zu diesem Vorgang
Ein Zertifikatssammelspeicher ist eine Sammlung von CA-Zertifikaten (die keine Stammzertifikate sind) und von Zertifikatswiderrufslisten (CRLs, Certificate Revocation Lists). Diese Sammlung von CA-Zertifikaten und CRLs wird verwendet, um nach einer gültigen Signatur in einer digital signierten SOAP-Nachricht zu suchen.
Führen Sie die folgenden Schritte aus, um einen Zertifikatssammelspeicher für die Generatorbindungen auf Anwendungsebene zu konfigurieren:
Vorgehensweise
- Rufen Sie in der Administrationskonsole die Anzeige "Zertifikatssammelspeicher" auf.
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
- Geben Sie den Namen des Zertifikatsspeichers an. Klicken Sie auf Neu, um eine Konfiguration
für einen Zertifikatssammelspeicher zu erstellen, wählen Sie das Kontrollkästchen für eine
Konfiguration aus, und klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen
einer vorhandenen Zertifikatssammelspeicherkonfiguration, um die Einstellungen zu ändern.
Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name des Zertifikatsspeichers" einen eindeutigen Namen ein.
Der Name des Zertifikatssammelspeichers muss im Anwendungsserver eindeutig sein. Wenn Sie beispielsweise den Zertifikatssammelspeicher auf Anwendungsebene erstellen, muss der Name des Zertifikatsspeichers auf Anwendungsebene eindeutig sein. Der im Feld Name des Zertifikatsspeichers angegebene Name wird von anderen Konfigurationen verwendet, um einen vordefinierten Zertifikatssammelspeicher zu referenzieren. WebSphere Application Server wählt den Zertifikatssammelspeicher nach der Proximität aus.
Wenn eine Anwendungsbindung beispielsweise auf einen Zertifikatssammelspeicher mit dem Namen cert1 verweist, sucht der Anwendungsserver cert1 zuerst auf Anwendungsebene, dann auf Serverebene und erst danach auf Zellenebene.
- Geben Sie im Feld "Provider des Zertifikatsspeichers" einen Provider ein. WebSphere Application Server unterstützt den Provider IBMCertPath für Zertifikatsspeicher.
Wenn Sie einen anderen Zertifikatsspeicherprovider verwenden möchten, müssen Sie die Providerimplementierung
in der Providerliste in der Datei
Installationsverzeichnis/java/jre/lib/security
Profilstammverzeichnis/properties/java.security definieren. Vergewissern Sie sich jedoch, dass Ihr Provider dieselben Anforderungen bezüglich des Algorithmus für Zertifikatspfade unterstützt wie WebSphere Application Server.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Klicken Sie auf den Namen Ihrer Zertifikatsspeicherkonfiguration. Nachdem Sie den Provider für den Zertifikatsspeicher angegeben haben, müssen Sie die Position einer Zertifikatswiderrufsliste und/oder die Position der X.509-Zertifikate für die Konfiguration Ihres Zertifikatsspeichers angeben.
- Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderruflisten.
- Klicken Sie auf Neu, um den Pfad einer Zertifikatswiderrufliste anzugeben, klicken Sie auf
Löschen, um eine vorhandene Listenreferenz zu löschen, oder klicken Sie auf den Namen einer vorhandenen
Referenz, um den Pfad zu ändern. Sie müssen den vollständig qualifizierten Pfad angeben, in dem
WebSphere Application Server die Liste der nicht gültigen Zertifikate finden kann.
Im Hinblick auf die Portierbarkeit wird empfohlen, die Variablen von
WebSphere Application Server zu verwenden, um einen relativen Pfad zur Zertifikatswiderrufsliste anzugeben.
Sie sollten dieser Empfehlung unbedingt folgen, wenn Sie in einer Umgebung mit
WebSphere Application Server Network Deployment arbeiten. Sie können beispielsweise die Variable
USER_INSTALL_ROOT verwenden, um einen Pfad wie "USER_INSTALL_ROOT/mycertstore/mycrl1" zu definieren.
Zum Anzeigen einer Liste der unterstützten Variablen klicken Sie in der Administrationskonsole auf
Umgebung > WebSphere-Variablen. Die folgende Liste enthält Empfehlungen für die Verwendung von Zertifikatswiderruflisten:
- Wenn Sie dem Zertifikatssammelspeicher Zertifikatswiderruflisten hinzufügen, fügen Sie die Zertifikatswiderruflisten für die Stammzertifizierungsstelle und gegebenenfalls jedes Zwischenzertifikat hinzu. Ist die CRL im Zertifikatssammelspeicher enthalten, wird der Widerrufstatus jedes Zertifikats in der Kette mit der CRL des Ausstellers verglichen.
- Wenn die CRL-Datei aktualisiert wird, tritt die neue CRL erst nach einem Neustart der Web-Service-Anwendung in Kraft.
- Vor dem Verfallsdatum einer CRL müssen Sie als Ersatz eine neue CRL in den Zertifikatssammelspeicher laden. Eine verfallende CRL im Zertifikatssammelspeicher führt zu einem Fehler beim Erstellen des Zertifikatspfads (CertPath.
- Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
- Kehren Sie in Konfigurationsanzeige für Zertifikatssammelspeicher zurück. Sie können diese Anzeige wie folgt aufrufen:
- Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Anwendungsname.
- Klicken Sie unter "Module verwalten" auf URI-Name.
- Unter "Weitere Eigenschaften" können Sie auf die Schlüsseldaten der Bindungen für den Anforderungsgenerator und den Antwortgenerator zugreifen.
- Klicken Sie für die Anforderungsgeneratorbindung (Sender) auf Web-Services: Clientsicherheitsbindungen. Klicken Sie unter "Anforderungsgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie für die Antwortgeneratorbindung (Sender) auf Web-Services: Serversicherheitsbindungen. Klicken Sie unter "Anwortgeneratorbindung (Sender)" auf Angepasste Bindungen bearbeiten.
- Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher > Name_des_Zertifikatsspeichers.
- Klicken Sie unter "Weitere Eigenschaften" auf X.509-Zertifikate.
- Klicken Sie auf Neu, um eine Konfiguration für X.509-Zertifikate zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für X.509-Zertifikate, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name des Zertifikatsspeichers" einen eindeutigen Namen ein.
- Geben Sie im Feld "Pfad des X.509-Zertifikats" einen Pfad ein. Dieser Eintrag ist der
absolute Pfad zur Position des X.509-Zertifikats. Der Zertifikatssammelspeicher wird verwendet, um den Zertifikatspfad
eingehender Sicherheitstoken im X.509-Format zu validieren.
Sie können die Variable USER_INSTALL_ROOT im Pfadnamen verwenden. Sie könnten z. B. Folgendes eingeben: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. Verwenden Sie diesen Zertifikatspfad nicht in Produktionsumgebungen. Bevor Sie Ihre Umgebung von WebSphere Application Server in die Produktion überführen, sollten Sie ein eigenes X.509-Zertifikat bei einer Zertifizierungsstelle erwerben.
Klicken Sie in der Administrationskonsole auf Umgebung > WebSphere-Variablen, um die Variable USER_INSTALL_ROOT zu konfigurieren.
- Klicken Sie auf OK und anschließend auf Speichern, um Ihre Konfiguration zu speichern.
Ergebnisse
Nächste Schritte
Unterartikel
Zertifikatssammelspeicher
Verwenden Sie diese Seite, um eine Liste der Zertifikatsspeicher anzuzeigen, die ungesicherte, temporäre Zertifikatdateien enthalten, die auf ihre Validierung warten. Bei der Validierung wird möglicherweise überprüft, ob das Zertifikat in einer Liste entzogener Zertifikate (CRL, Certificate Revocation List) enthalten ist, ob das Zertifikat bereits abgelaufen ist und ob das Zertifikat von einem anerkannten Aussteller stammt.Konfigurationseinstellungen für Zertifikatssammelspeicher
Auf dieser Seite können Sie den Namen und den Provider für einen Zertifikatssammelspeicher angeben. Ein Zertifikatssammelspeicher ist eine Sammlung von CA-Zertifikaten (die keine Stammzertifikate sind) und von Zertifikatswiderrufslisten (CRLs, Certificate Revocation Lists). Mit dieser Sammlung von CA-Zertifikaten und CRLs wird die Signatur einer digital signierten SOAP-Nachricht überprüft.X.509-Zertifikate
Auf dieser Seite sehen Sie eine Liste mit nicht gesicherten temporären Zertifikatdateien. Der Zertifikatssammelspeicher wird für die Validierung des Zertifikatspfads eingehender Sicherheitstoken im X.509-Format verwendet.Konfigurationseinstellungen für X.509-Zertifikate
Auf dieser Seite können Sie eine Liste mit nicht gesicherten temporären Zertifikatdateien angeben. Der Zertifikatssammelspeicher wird für die Validierung des Zertifikatspfads eingehender Sicherheitstoken im X.509-Format verwendet.Zertifikatswiderrufslisten
Verwenden Sie diese Seite, um die Position der Zertifikatswiderrufsliste zu bestimmen, die dem Anwendungsserver bekannt ist. Application Server überprüft die Zertifikatswiderrufsliste, um die Gültigkeit des Clientzertifikats zu bestimmen. Ein in einer Zertifikatswiderrufsliste aufgeführtes Zertifikat ist möglicherweise nicht verfallen, wird aber von der Zertifizierungsstelle (CA, Certificate Authority), die das Zertifikat ausgestellt hat, nicht mehr anerkannt. Die CA kann das Zertifikat der Zertifikatswiderrufliste hinzufügen, wenn sie der Meinung ist, dass die Clientberechtigung ein Risiko darstellt.Konfigurationseinstellungen für Zertifikatswiderrufslisten
Verwenden Sie diese Seite, um eine Liste mit Zertifikatswiderrufen zu erstellen, die die Gültigkeit eines Zertifikats überprüfen. Der Anwendungsserver überprüft die Zertifikatswiderrufslisten (CRL, Certification Revocation Lists), um die Gültigkeit des Clientzertifikats zu bestimmen. Ein in einer Zertifikatswiderrufsliste aufgeführtes Zertifikat ist möglicherweise nicht verfallen, wird aber von der Zertifizierungsstelle (CA, Certificate Authority), die das Zertifikat ausgestellt hat, nicht mehr anerkannt. Die CA kann das Zertifikat der Zertifikatswiderrufliste hinzufügen, wenn sie der Meinung ist, dass die Clientberechtigung ein Risiko darstellt.Zertifikatssammelspeicher
Verwenden Sie diese Seite, um eine Liste der Zertifikatsspeicher anzuzeigen, die ungesicherte, temporäre Zertifikatdateien enthalten, die auf ihre Validierung warten. Bei der Validierung wird möglicherweise überprüft, ob das Zertifikat in einer Liste entzogener Zertifikate (CRL, Certificate Revocation List) enthalten ist, ob das Zertifikat bereits abgelaufen ist und ob das Zertifikat von einem anerkannten Aussteller stammt.Konfigurationseinstellungen für Zertifikatssammelspeicher
Auf dieser Seite können Sie den Namen und den Provider für einen Zertifikatssammelspeicher angeben. Ein Zertifikatssammelspeicher ist eine Sammlung von CA-Zertifikaten (die keine Stammzertifikate sind) und von Zertifikatswiderrufslisten (CRLs, Certificate Revocation Lists). Mit dieser Sammlung von CA-Zertifikaten und CRLs wird die Signatur einer digital signierten SOAP-Nachricht überprüft.X.509-Zertifikate
Auf dieser Seite sehen Sie eine Liste mit nicht gesicherten temporären Zertifikatdateien. Der Zertifikatssammelspeicher wird für die Validierung des Zertifikatspfads eingehender Sicherheitstoken im X.509-Format verwendet.Konfigurationseinstellungen für X.509-Zertifikate
Auf dieser Seite können Sie eine Liste mit nicht gesicherten temporären Zertifikatdateien angeben. Der Zertifikatssammelspeicher wird für die Validierung des Zertifikatspfads eingehender Sicherheitstoken im X.509-Format verwendet.Zertifikatswiderrufslisten
Verwenden Sie diese Seite, um die Position der Zertifikatswiderrufsliste zu bestimmen, die dem Anwendungsserver bekannt ist. Application Server überprüft die Zertifikatswiderrufsliste, um die Gültigkeit des Clientzertifikats zu bestimmen. Ein in einer Zertifikatswiderrufsliste aufgeführtes Zertifikat ist möglicherweise nicht verfallen, wird aber von der Zertifizierungsstelle (CA, Certificate Authority), die das Zertifikat ausgestellt hat, nicht mehr anerkannt. Die CA kann das Zertifikat der Zertifikatswiderrufliste hinzufügen, wenn sie der Meinung ist, dass die Clientberechtigung ein Risiko darstellt.Konfigurationseinstellungen für Zertifikatswiderrufslisten
Verwenden Sie diese Seite, um eine Liste mit Zertifikatswiderrufen zu erstellen, die die Gültigkeit eines Zertifikats überprüfen. Der Anwendungsserver überprüft die Zertifikatswiderrufslisten (CRL, Certification Revocation Lists), um die Gültigkeit des Clientzertifikats zu bestimmen. Ein in einer Zertifikatswiderrufsliste aufgeführtes Zertifikat ist möglicherweise nicht verfallen, wird aber von der Zertifizierungsstelle (CA, Certificate Authority), die das Zertifikat ausgestellt hat, nicht mehr anerkannt. Die CA kann das Zertifikat der Zertifikatswiderrufliste hinzufügen, wenn sie der Meinung ist, dass die Clientberechtigung ein Risiko darstellt.


http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_colcertstgenapp
Dateiname:twbs_colcertstgenapp.html