Beispiel: Überprüfung des Zertifikatswiderrufs mit dem Standard-Trust-Manager IbmPKIX aktivieren

Der Trust-Manager IbmPKIX ist in WebSphere Application Server standardmäßig aktiviert. Der Trust-Manager IbmPKIX unterstützt die Überprüfung des Zertifikatswiderrufs. Sie aktivieren die Zertifikatswiderrufsprüfung über die Administrationskonsole oder durch manuelle Aktualisierung der Datei ssl.client.props.

Standard-Trust-Manager IbmPKIX

Der Trust-Manager IbmPKIX ist zwar standardmäßig aktiviert, die Widerrufsprüfung aber nicht. Die folgende Trust-Manager-Definition für IbmPKIX spiegelt die Standardeinstellung wider:
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass="" 
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey="" 
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>

Zertifikatswiderrufsprüfung mit dem Standard-Trust-Manager IbmPKIX aktivieren

Sie können die angepassten Einstellungen des Trust-Managers IbmPKIX über die Administrationskonsole anzeigen und ändern.

Gehen Sie dazu wie folgt vor:
  • Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
  • Klicken Sie unter "Zugehörige Elemente" auf Trust-Manager.
  • Klicken Sie auf IbmPKIX.
  • Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.

Angepasste Eigenschaften von IbmPKIX

com.ibm.jsse2.checkRevocation
Diese Eigenschaft konfiguriert die Widerrufsprüfung für die Java Virtual Machine (JVM). Diese Eigenschaft ist standardmäßig auf "false" gesetzt, weil die für die SSL-Kommunikation verwendeten WebSphere-Standardzertifikate weder Verteilungspunkte für Zertifikatswiderrufslisten (CRL, certificate Revocation List) noch OCSP-Informationen (Online Certificate Status Protocol) enthalten.
Anmerkung: Da diese Eigenschaft eine JVM-Eigenschaft ist, gilt der Wert tatsächlich für den gesamten Anwendungsserver. Wenn die Eigenschaft in Trust-Managern für unterschiedliche Geltungsbereiche definiert ist, wird der Wert des Trust-Managers IbmPKIX mit dem genauesten spezifizierten Geltungsbereich verwendet. Beispielsweise hat die auf Knotenebene definierte Eigenschaft für den Trust-Manager IbmPKIX Vorrang vor einer auf Zellenebene definierten Eigenschaft für den Trust-Manager IbmPKIX. Diese Eigenschaft wird für den Trust-Manager IbmX509 ignoriert.
default
false
com.ibm.security.enableCRLDP
Diese Eigenschaft konfiguriert die Überprüfung von Verteilungspunkten für Zertifikatswiderrufslisten für den Trust-Manager PKIX.
Anmerkung: Wenn Sie die Überprüfung von Verteilungspunkten für Zertifikatswiderrufslisten aktivieren, müssen die für SSL (Secure Sockets Layer) verwendete Zertifikate einen gültigen und zugänglichen Verteilungspunkt enthalten. Andernfalls scheitert die SSL-Kommunikation, und der Server funktioniert nicht ordnungsgemäß.
default
false

Für Zertifikate, die keinen internen CRL-Verteilungspunkt enthalten, können die folgenden Eigenschaften verwendet werden, sodass der Widerrufstatus mittels eines fernen LDAP-Servers geprüft wird, der die CRL enthält.

com.ibm.security.ldap.certstore.host
Diese Eigenschaft gibt den Hostnamen des LDAP-Servers an, der die anerkannten Zertifikate oder Zertifikatswiderrufslisten enthält. Der Ziel-LDAP-Serverhost wird verwendet, um CA-Zertifikate oder Zertifikatswiderruflisten anzurufen, wenn ein Zertifikat validiert wird und der lokale Truststore das erforderliche Zertifikat nicht enthält. Der lokale Truststore muss die erforderlichen Zertifikate enthalten, wenn kein LDAP-Server angegeben ist. In den Fällen, in den ein LDAP-Server verwendet wird, müssen sich auch die Stamm-CA-Zertifikate im lokalen Truststore befinden, da der LDAP-Server kein gesicherter Zertifikatsspeicher ist.
Anmerkung: Die Aktivierung dieser Eigenschaft zusätzlich zur Eigenschaft "com.ibm.jsse2.checkRevocation" ermöglicht die Widerrufsprüfung. Der ferne LDAP-Server muss eine gültige Zertifikatswiderrufliste enthalten, und der Server muss zugänglich sein. Wenn der Widerrufstatus nicht bestimmt werden kann, scheitern Prüfung und SSL-Kommunikation, und der Server funktioniert nicht ordnungsgemäß.
default
Ohne
com.ibm.security.ldap.certstore.port
Diese Eigenschaft gibt den LDAP-Serverport an. Der Portwert 389 wird standardmäßig verwendet, wenn kein LDAP-Serverport angegeben ist.
default
389
Die folgenden JDK-Eigenschaften (Java Development Kit) sind für die Aktivierung der Zertifikatswiderrufsprüfung mit dem Standard-Trust-Manager IbmPKIX bestimmt:
  • nocsp.enable
  • ocsp.responder
  • ocsp.responderCertSubjectName
  • ocsp.responderCertIssuerName
  • ocsp.responderCertSerialNumber
Diese JDK-Eigenschaften können über die Administrationskonsole definiert werden. Beschreibungen dieser Eigenschaften und ihrer gültigen Einstellungen finden Sie in der Veröffentlichung Java(TM) Certification Path API Programmer's Guide - SDK 6.0.
Anmerkung: Der Trust-Manager IbmPKIX führt nicht nur die standardmäßige Zertifikatsprüfung durch, sondern sucht auch nach Zertifikaten mit CRL-Verteilungspunkten. Dieser Prozess wird als erweiterte CRL-Überprüfung bezeichnet. Die Widerrufsprüfung für CRL-Verteilungspunkte ist standardmäßig inaktiviert. Zum Aktivieren der Widerrufsprüfung für CRL-Verteilungspunkte müssen Sie die folgenden Eigenschaften in der Administrationskonsole auf true setzen:
  • com.ibm.security.enableCRLDP
  • com.ibm.jsse2.checkRevocation

OCSP-Eigenschaften und CRL-Eigenschaften wirken sich auf die Zertifikatswiderrufsprüfung aus. Standardmäßig werden die OCSP-Eigenschaften zuerst geprüft. Wenn bei der Validierung des Zertifikats mit OCSP ein Fehler auftritt, verwendet der Validierungsprozess stattdessen einen CRL-Verteilungspunkt.

Wenn Sie einen Trust-Manager auswählen, werden die ihm zugeordneten Eigenschaften automatisch als Java-Systemeigenschaften definiert, so dass die Provider IBMCertPath und IBMJSSE2 wissen, dass die CRL-Überprüfung aktiviert oder inaktiviert ist. Dasselbe gilt für OCSP-Eigenschaften, bei denen es sich um Eigenschaften des Typs "java.security.Security" handelt.

Hinweise zu Clients

Sie können die Widerrufsprüfung auch für WebSphere-Anwendungs- und -Verwaltungsclients aktivieren, indem Sie die Eigenschaften direkt in der Datei ssl.client.props definieren. Es folgt ein Beispiel für die Datei ssl.client.props:
#-------------------------------------------------------------------------
# Standardeigenschaften für die Widerrufsprüfung
# Diese Eigenschaften werden für die Zertifikatswiderrufsprüfung mit dem IBM-Trust-Manager
# PKIX verwendet.
#
# Zum Aktivieren der erweiterten Überprüfung von CRL-Verteilungspunkten verwenden
# Sie die Systemeigenschaft "com.ibm.security.enableCRLDP".
#
# Die OCSP-Überprüfung ist standardmäßig nicht aktiviert. Sie können sie aktivieren,
# in dem Sie die Eigenschaft "ocsp.enable" auf "true" setzen.  Die Verwendung
# der anderen OSCP-Eigenschaften ist optional.
#
# Anmerkung: Die OCSP- und die CRLDP-Überprüfung ist nur wirksam, wenn Sie auch die Widerrufsprüfung
# aktivieren, indem Sie die Eigenschaft "com.ibm.jsse2.checkRevocation" auf "true" setzen.
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
Anmerkung: Damit diese Eigenschaften wirksam werden, müssen Sie sicherstellen, dass der Trust-Manager IbmPKIX initialisiert wird, indem Sie com.ibm.ssl.trustManager=IbmPKIX setzen.

Damit die Widerrufsprüfung im Client ordnungsgemäß verarbeitet werden kann, müssen Sie die Eingabeaufforderung für den Austausch der Sicherheitssignatur inaktivieren. Dazu ändern Sie in der Datei "ssl.client.props" den Wert der Eigenschaft com.ibm.ssl.enableSignerExchangePrompt in false.


Symbol, das den Typ des Artikels anzeigt. Referenzartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=rsec_7enablecert_revoc
Dateiname:rsec_7enablecert_revoc.html