Trust-Anchor mit der Administrationskonsole konfigurieren

Verwenden Sie die Administrationskonsole von WebSphere Application Server, um Trust-Anchor zu konfigurieren, die Keystores mit anerkannten Stammzertifikaten für die Validierung des Unterzeichnerzertifikats angeben.

Vorbereitende Schritte

Wichtig: Es gibt eine wichtige Unterscheidung zwischen Anwendungen der Version 5.x und Anwendungen der Version 6 und höher. Die Informationen in diesem Artikel gelten nur für Anwendungen der Version 5.x, die in WebSphere Application Server Version 6.0.x und höher verwendet werden. Diese Informationen gelten nicht für Anwendungen der Version 6.0.x und höher.

In diesem Dokument wird beschrieben, wie Trust-Anchor und Truststores auf Anwendungsebene konfiguriert werden. Die Trust-Anchor- und Truststore-Konfiguration auf Server- und Zellenebene wird nicht beschrieben. Trust-Anchor, die auf Anwendungsebene definiert werden, haben Priorität vor denen, die auf Server- oder Zellenebene definiert werden. Weitere Informationen zum Erstellen und Konfigurieren der Trust-Anchor auf Server- oder Zellenebene finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. im Artikel Serversicherheitsbindungen über die Administrationskonsole konfigurieren.

Für die Konfiguration eines Trust-Anchors auf Anwendungsebene kann ein Assembliertool oder die Administrationskonsole verwendet werden. In diesem Dokument wird die Konfiguration eines Trust-Anchors auf Zellenebene über die Administrationskonsole beschrieben.

Informationen zu diesem Vorgang

Ein Trust-Anchor gibt Keystores an, die Trusted-Root-Zertifikate für die Validierung des Ausstellerzertifikats enthalten. Diese Keystores werden vom Anforderungsempfänger (gemäß Definition in der Datei ibm-webservices-bnd.xmi) und vom Empfänger (gemäß Definition in der Datei ibm-webservicesclient-bnd.xmi, falls Web-Services als Client auftreten) verwendet, um das Unterzeichnerzertifikat der digitalen Signatur zu validieren. Die Keystores sind für die Integrität der Validierung digitaler Signaturen von entscheidender Bedeutung. Wenn die Keystores manipuliert werden, ist das Ergebnis der Überprüfung digitaler Signaturen zweifelhaft und risikoreich. Deshalb wird empfohlen, Keystores zu schützen. Die Bindungskonfiguration, die für den Anforderungsempfänger in der Datei ibm-webservices-bnd.xmi angegeben ist, muss mit der Bindungskonfiguration für den Antwortempfänger in der Datei ibm-webservicesclient-bnd.xmi konform sein.

Die folgenden Schritte sind für den Antwortempfänger auf Clientseite, der in der Datei ibm-webservicesclient-bnd.xmi definiert ist, und den Anforderungsempfänger auf Serverseite bestimmt, der in der Datei ibm-webservices-bnd.xmi definiert ist.

Vorgehensweise

  1. Konfigurieren Sie ein Assembliertool für die Arbeit mit Java™ EE-Anwendungen (Java Platform, Enterprise Edition). Weitere Informationen finden Sie in den zugehörigen Informationen zu Assembliertools.
  2. Erstellen Sie eine Web-Service-fähige Java-EE-Unternehmensanwendung. Eine Einführung in die Verwaltung von Bindungsinformationen für Web Services Security auf dem Server finden Sie im Artikel Serversicherheitsbindungen mit einem Assembliertool konfigurieren bzw. im Artikel Serversicherheitsbindungen über die Administrationskonsole konfigurieren.
  3. Klicken Sie auf Anwendungen > Anwendungstypen > WebSphere-Unternehmensanwendungen > Unternehmensanwendung.
  4. Klicken Sie unter "Module verwalten" auf URI-Name.
  5. Klicken Sie unter "Web Services Security-Eigenschaften" auf Web Services: Clientsicherheitsbindungen, um die Bindungsinformationen des Antwortempfängers zu editieren, wenn Web-Services als Client auftreten.
    1. Klicken Sie unter "Antwortempfängerbindung" auf Bearbeiten.
    2. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
    3. Klicken Sie auf Neu, um einen neuen Trust-Anchor zu erstellen.
    4. Geben Sie in der Anforderungsempfängerbindung im Feld "Name des Trust-Anchors" einen eindeutigen Namen ein. Mit dem Namen wird auf den definierten Trust-Anchor verwiesen.
    5. Geben Sie Kennwort, Pfad und Typ des Keystore ein.
    6. Klicken Sie auf den Namen des Trust-Anchors, um den ausgewählten Trust-Anchor zu bearbeiten.
    7. Klicken Sie auf Entfernen, um den oder die ausgewählten Trust-Anchor zu löschen.

      Wenn Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die Bindungsinformationen geladen werden.

  6. Kehren Sie in die Anzeige für das Web-Service-fähige Modul zurück, die Sie in Schritt 2 aufgerufen haben.
  7. Klicken Sie unter "Web Services Security-Eigenschaften" auf Web-Services: Serversicherheitsbindungen, um die Anforderungsempfängerbindung zu bearbeiten.
    1. Klicken Sie unter "Anforderungsempfängerbindung" auf Bearbeiten.
    2. Klicken Sie unter "Weitere Eigenschaften" auf Trust-Anchor.
    3. Klicken Sie auf Neu, um einen neuen Trust-Anchor zu erstellen.

      Geben Sie in der Anforderungsempfängerbindung im Feld "Name des Trust-Anchors" einen eindeutigen Namen ein. Mit dem Namen wird auf den definierten Trust-Anchor verwiesen.

      Geben Sie Kennwort, Pfad und Typ des Keystore ein.

      Klicken Sie auf den Namen des Trust-Anchors, um den ausgewählten Trust-Anchor zu bearbeiten.

      Klicken Sie auf Entfernen, um den oder die ausgewählten Trust-Anchor zu löschen.

      Wenn Sie die Anwendung starten, wird die Konfiguration zur Laufzeit validiert, während die Bindungsinformationen geladen werden.

  8. Speichern Sie die Änderungen.

Ergebnisse

Diese Prozedur definiert Trust-Anchor, die vom Anforderungs- und Antwortempfänger (wenn Web-Services als Client auftreten) verwendet werden können, um das Ausstellerzertifikat zu prüfen.

Beispiel

Der Anforderungsempfänger und der Antwortempfänger (wenn Web-Services als Client auftreten) verwenden den definierten Trust-Anchor, um das Ausstellerzertifikat zu prüfen. Es wird mit dem Trust-Anchor-Namen auf den Trust-Anchor verwiesen.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=twbs_conftrancac
Dateiname:twbs_conftrancac.html