Zertifikatssammelspeicher auf Server- oder Zellenebene konfigurieren

Zertifikatssammelspeicher enthalten nicht anerkannte Zwischenzertifikatsdateien, die noch validiert werden müssen. Sie können einen Zertifikatssammelspeicher auf Serverebene konfigurieren.

Informationen zu diesem Vorgang

Bei der Validierung kann geprüft werden, ob eine digital signierte SOAP-Nachricht eine gültige Signatur enthält, ob das Zertifikat in einer Zertifikatswiderrufliste enthalten ist, ob das Zertifikat verfallen ist und ob das Zertifikat von einem anerkannten Unterzeichner ausgestellt wurde.

In den nachfolgenden Schritten erstellen Sie zunächst den Zertifikatssammelspeicher für die Serverebene und konfigurieren dann den Zertifikatssammelspeicher für die Zellenebene:

Vorgehensweise

  1. Greifen Sie auf die Standardbindungen für die Serverebene zu.
    1. Klicken Sie auf Server > Servertypen > WebSphere-Anwendungsserver > Servername.
    2. Klicken Sie unter "Sicherheit" auf JAX-WS- und JAX-RPC-Sicherheitslaufzeitumgebung.
      Heterogene Umgebung Heterogene Umgebung: Klicken Sie in einer heterogenen Knotenzelle mit einem Server der WebSphere Application Server Version 6.1 oder früher auf Web-Services: Standardbindungen für Web Services Security.mixv
  2. Klicken Sie auf Sicherheit > Web-Services, um auf die Standardbindungen auf Zellenebene zuzugreifen.
  3. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatssammelspeicher.
  4. Klicken Sie auf Neu, um eine Konfiguration für einen Zertifikatssammelspeicher zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration eines Zertifikatssammelspeichers, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name des Zertifikatsspeichers" einen eindeutigen Namen ein. Sie können Ihren Zertifikatssammelspeicher beispielsweise sig_certstore nennen.

    Der Name des Zertifikatssammelspeichers muss auf Anwendungsserverebene eindeutig sein. Wenn Sie den Zertifikatssammelspeicher beispielsweise auf Serverebene erstellen, muss der Name des Zertifikatsspeichers auf Serverebene eindeutig sein. Der im Feld Name des Zertifikatsspeichers angegebene Name wird von anderen Konfigurationen verwendet, um einen vordefinierten Zertifikatssammelspeicher zu referenzieren. WebSphere Application Server wählt den Zertifikatssammelspeicher nach der Proximität aus.

    Wenn eine Anwendungsbindung beispielsweise auf einen Zertifikatssammelspeicher mit dem Namen cert1 verweist, sucht der Anwendungsserver cert1 zuerst auf Anwendungsebene, dann auf Serverebene und erst danach auf Zellenebene.

  5. Geben Sie im Feld "Provider des Zertifikatsspeichers" einen Provider ein. WebSphere Application Server unterstützt den Provider IBMCertPath für Zertifikatsspeicher. Wenn Sie einen anderen Zertifikatsspeicherprovider verwenden möchten, müssen Sie die Providerimplementierung in der Providerliste in der Datei [z/OS][AIX Solaris HP-UX Linux Windows]Installationsverzeichnis/properties[IBM i]Profilstammverzeichnis/properties/java.security definieren. Vergewissern Sie sich jedoch, dass Ihr Provider dieselben Anforderungen bezüglich des Algorithmus für Zertifikatspfade unterstützt wie WebSphere Application Server.
  6. Klicken Sie auf OK und Speichern, um die Konfiguration zu speichern.
  7. Klicken Sie auf den Namen Ihrer Zertifikatsspeicherkonfiguration. Nachdem Sie den Provider für den Zertifikatsspeicher angegeben haben, müssen Sie die Position einer Zertifikatswiderrufsliste und/oder die Position der X.509-Zertifikate für die Konfiguration Ihres Zertifikatsspeichers angeben.
  8. Klicken Sie unter "Weitere Eigenschaften" auf Zertifikatswiderruflisten. Für die Generatorbindung wird eine Zertifikatswiderrufsliste verwendet, wenn diese in einem generierten Sicherheitstoken enthalten ist. Ein Sicherheitstoken kann beispielsweise im PKCS#7-Format mit einer CRL gepackt sein. Weitere Informationen zu Zertifikatswiderrufslisten finden Sie im Artikel Zertifikatswiderrufsliste.
  9. Klicken Sie auf Neu, um den Pfad einer Zertifikatswiderrufliste anzugeben, klicken Sie auf Löschen, um eine vorhandene Listenreferenz zu löschen, oder klicken Sie auf den Namen einer vorhandenen Referenz, um den Pfad zu ändern. Sie müssen den vollständig qualifizierten Pfad angeben, in dem WebSphere Application Server die Liste der nicht gültigen Zertifikate finden kann. WebSphere Application Server verwendet die Zertifikatswiderrufsliste, um die Gültigkeit des Senderzertifikats zu prüfen.

    Im Hinblick auf die Portierbarkeit wird empfohlen, die Variablen von WebSphere Application Server zu verwenden, um einen relativen Pfad zur Zertifikatswiderrufsliste anzugeben. Sie sollten dieser Empfehlung unbedingt folgen, wenn Sie in einer Umgebung mit WebSphere Application Server Network Deployment arbeiten.

    Sie können mit der Variablen USER_INSTALL_ROOT beispielsweise einen Pfad wie $USER_INSTALL_ROOT/mycertstore/mycrl1 definieren, wobei mycertstore für den Namen Ihres Zertifikatsspeichers und mycrl1 für die Zertifikatswiderrufliste steht. Zum Anzeigen einer Liste der unterstützten Variablen klicken Sie in der Administrationskonsole auf Umgebung > WebSphere-Variablen. Die folgende Liste enthält Empfehlungen für die Verwendung von Zertifikatswiderruflisten:
    • Wenn Sie dem Zertifikatssammelspeicher Zertifikatswiderruflisten hinzufügen, fügen Sie die Zertifikatswiderruflisten für die Stammzertifizierungsstelle und gegebenenfalls jedes Zwischenzertifikat hinzu. Ist die CRL im Zertifikatssammelspeicher enthalten, wird der Widerrufstatus jedes Zertifikats in der Kette mit der CRL des Ausstellers verglichen.
    • Wenn die CRL-Datei aktualisiert wird, tritt die neue CRL erst nach einem Neustart der Web-Service-Anwendung in Kraft.
    • Vor dem Verfallsdatum einer CRL müssen Sie als Ersatz eine neue CRL in den Zertifikatssammelspeicher laden. Eine verfallende CRL im Zertifikatssammelspeicher führt zu einem Fehler beim Erstellen des Zertifikatspfads (CertPath.
  10. Klicken Sie auf OK und anschließend auf Speichern, um die Konfiguration zu speichern.
  11. Kehren Sie in Konfigurationsanzeige für Zertifikatssammelspeicher zurück.
  12. Klicken Sie unter "Weitere Eigenschaften" auf X.509-Zertifikate. Die X.509-Zertifikatskonfiguration gibt Zwischenzertifikatsdateien an, die für die Validierung von Zertifikatspfaden eingehender Sicherheitstoken im X.509-Format werden werden.
  13. Klicken Sie auf Neu, um eine Konfiguration für X.509-Zertifikate zu erstellen, klicken Sie auf Löschen, um eine vorhandene Konfiguration zu löschen, oder klicken Sie auf den Namen einer vorhandenen Konfiguration für X.509-Zertifikate, um die Einstellungen zu ändern. Wenn Sie eine neue Konfiguration erstellen, geben Sie im Feld "Name des Zertifikatsspeichers" einen eindeutigen Namen ein.
  14. Geben Sie im Feld "Pfad des X.509-Zertifikats" einen Pfad ein. Dieser Eintrag ist der absolute Pfad zur Position des X.509-Zertifikats. Der Zertifikatssammelspeicher wird verwendet, um den Zertifikatspfad eingehender Sicherheitstoken im X.509-Format zu validieren.

    Sie können die Variable USER_INSTALL_ROOT im Pfadnamen verwenden. Beispiel: $USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer. Verwenden Sie diesen Zertifikatspfad nicht in Produktionsumgebungen. Bevor Sie Ihre Umgebung von WebSphere Application Server in die Produktion überführen, sollten Sie ein eigenes X.509-Zertifikat bei einer Zertifizierungsstelle erwerben.

    Klicken Sie in der Administrationskonsole auf Umgebung > WebSphere-Variablen, um die Variable USER_INSTALL_ROOT zu konfigurieren.

  15. Klicken Sie auf OK und anschließend auf Speichern, um Ihre Konfiguration zu speichern.
  16. Kehren Sie in die Anzeige "Zertifikatssammelspeicher" zurück, und klicken Sie dort auf Laufzeit aktualisieren, um die Laufzeit von Web Services Security mit den Standardbindungen, die in der Datei ws-security.xml definiert sind, zu aktualisieren. Wenn Sie auf Laufzeit aktualisieren klicken, wird auch die Laufzeitumgebung von Web Services Security mit den für andere Web-Services vorgenommenen Konfigurationsänderungen aktualisiert. Richtliniensätze können nur für JAX-WS-Anwendungen verwendet werden. Für JAX-RPC-Anwendungen können keine Richtliniensätze verwendet werden.

Ergebnisse

Sie haben den Zertifikatssammelspeicher auf Serverebene oder auf Zellenebene konfiguriert.


Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_configcolcertstsvrcell
Dateiname:twbs_configcolcertstsvrcell.html