Verfallsmonitor für Zertifikate konfigurieren

Wenn Zertifikate verfallen, können sie nicht mehr vom System verwendet werden. WebSphere Application Server stellt ein Dienstprogramm für die Überwachung von Zertifikaten bereit, die ihr Verfallsdatum fast erreicht oder bereits überschritten haben. Sie können die Zertifikatüberwachung planen oder bei Bedarf anfordern. Außerdem können Sie Optionen für das Löschen verfallener Zertifikate und für das erneute Erstellen von Zertifikaten konfigurieren.

Vorbereitende Schritte

Wichtig: Der Zertifikatsablaufmonitor ersetzt keine selbst signierten Zertifikate des Clients und kann kein neues Unterzeichnerzertifikat senden, das für die Vertrauensbeziehung erforderlich ist. Wenn der Client ein Web-Server-Plug-in ist, kann er nach dem Ersetzen des selbst signierten Zertifikats nicht sicher mit dem Anwendungsserver kommunizieren.
WebSphere Application Server benachrichtigt Sie, wenn der Verfall eines Zertifikats bevorsteht. Vervollständigen Sie die für das Senden von Benachrichtigungen erforderlichen Informationen. Diesbezügliche Informationen finden Sie im Artikel Benachrichtigungen.

Informationen zu diesem Vorgang

Führen Sie in der Administrationskonsole die folgenden Konfigurationsschritte aus:

Vorgehensweise

  1. Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln > Zertifikatsverfall verwalten.
  2. Geben Sie im Feld Schwellenwert für Verfallsbenachrichtigung die gewünschte Anzahl von Tagen an. WebSphere Application Server gibt n Tage vor dem Verfall des Zertifikats eine Verfallswarnung aus.
  3. Wählen Sie mindestens eine der folgenden Optionen aus:
    • Benachrichtigung für Überprüfung des Verfallsdatums Wählen Sie in der Liste die Methode aus, die Sie für den Empfang der Benachrichtigung verwenden möchten.
    • Verfallende selbst signierte Zertifikate automatisch ersetzen Wenn Sie das selbst signierte Zertifikat nicht erneut erstellen möchten, wählen Sie das Kontrollkästchen ab.
      Achtung: Wenn Sie in Ihrer Konfiguration beschreibbare SAF-Schlüsselringe verwenden, ersetzt der Verfallsmonitor für Zertifikate keine abgelaufenen Zertifikate in diesen SAF-Schlüsselringen. Er teilt Ihnen lediglich den Ablauf mit.
    • Verfallende Zertifikate und Unterzeichner nach der Ersetzung löschen Wenn Sie die verfallenen Zertifikate und Unterzeichner nicht löschen möchten, wählen Sie das Kontrollkästchen ab.
    • Überprüfung aktivieren. Wenn Sie die Zertifikate nicht überwachen möchten, wählen Sie das Kontrollkästchen ab.
  4. Geben Sie die Uhrzeit an, zu der die Zertifikatüberwachung stattfinden soll. Damit planen Sie die Ausführung des Verfallsmonitors für Zertifikate.
  5. Wählen Sie eine der folgenden Optionen aus:
    • Nach Kalender überprüfen. Geben Sie für Wochentag den Tag der Woche an, an dem der Verfallsmonitor für Zertifikate ausgeführt werden soll. Geben Sie für Wiederholungsintervall das Intervall an, in dem der Zertifikatsmonitor ausgeführt werden soll.
    • Nach Anzahl Tagen überprüfen. Geben Sie an, wie oft (in Anzahl von Tagen) der Monitor ausgeführt werden soll.
  6. Geben Sie an, wie viele Tage vor dem Schwellenwertdatum der Zertifikatsmonitor Warnungen zum bevorstehenden Ersetzen eines Zertifikats ausgeben soll. Wenn ein Zertifikat innerhalb des Verfallsschwellenwerts liegt und die automatische Ersetzung aktiviert ist, wird das Zertifikat ersetzt. Der Wert gibt den Zeitraum vor dem Erreichen des Schwellenwerts an, in dem Warnungen vom Zertifikatsmonitor über die bevorstehende Ersetzung ausgegeben werden.
  7. Klicken Sie auf Anwenden.

Ergebnisse

Nachdem Sie die Einstellungen festgelegt haben, werden ein Objekt für den Verfallsmonitor für Zertifikate und ein Zeitplan in der Konfiguration konfiguriert. Der Verfallsmonitor für Zertifikate wird entsprechend den konfigurierten Optionen ausgeführt.

Nächste Schritte

Sie können Berichte generieren, die Informationen zu den verfallenen Zertifikaten enthalten. Die Berichte enthalten die Benachrichtigungen über ersetzte und gelöschte Zertifikate. Der Bericht wird der ausgewählten Benachrichtigungsoption entsprechend gesendet.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=was-nd-mp&topic=tsec_sslconfcertexpmon
Dateiname:tsec_sslconfcertexpmon.html