Verwendung des RSA-Tokenzertifikats
Das RSA-Token (Rivest Shamir Adleman) verwendet Zertifikate auf ähnliche Weise wie Secure Sockets Layer (SSL) das tut. Allerdings sind die Vertrauensbeziehungen, die von SSL und RSA geschaffen werden, unterschiedlich. RSA-Zertifikate dürfen keine SSL-Zertifikate nutzen und umgekehrt. Die SSL-Zertifikate können von reinen Clients verwendet werden und würden, wenn sie für das RSA-Verfahren verwendet würden, dem Client erlauben, ein RSA-Token an den Server zu senden. Das Authentifizierungsverfahren über RSA-Token ist ausschließlich für Server-Server-Anforderungen geeignet und darf von reinen Clients nicht verwendet werden. Um eine solche falsche Verwendung zu verhindern, müssen die von RSA verwendeten Zertifikate so gesteuert werden, dass sie nie an Clients verteilt werden. Es gibt ein Stammzertifikat für RSA, das verhindert, dass eine Vertrauensbeziehung zu Clients, die lediglich SSL-Zertifikate benötigen, hergestellt wird.
RSA-Stammzertifikat
Es gibt für jedes Profil ein Stammzertifikat, das im Keystore rsatoken-root-key.p12 gespeichert ist. Der einzige Zweck dieses RSA-Stammzertifikats besteht darin, das persönliche RSA-Zertifikat zu signieren, das im Keystore rsatoken-key.p12 gespeichert ist. Das RSA-Stammzertifikat hat standardmäßig eine Lebensdauer von 15 Jahren. Der Unterzeichner des RSA-Stammzertifikats wird auch von anderen Prozessen genutzt, um eine Vertrauensbeziehung herzustellen.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-root-key.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-key.p12
–storepass WebAS -storetype PKCS12
Alias name: default
Entry type: keyEntry
Certificate[1]:
Owner: CN=9.41.62.64, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3475073488921
Valid from: 11/12/07 2:50 PM until: 11/11/08 2:50 PM
Certificate fingerprints:
MD5: FF:1C:42:E3:DA:FF:DC:A4:35:B2:33:30:D1:6E:E0:19
SHA1: A4:FB:9D:7B:A1:5B:6A:37:9F:20:BD:B2:BD:98:FA:68:71:57:28:62
Certificate[2]:
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode
04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
Der Zweck des persönlichen RSA-Zertifikats besteht darin, die Informationen im RSA-Token zu signieren und zu verschlüsseln. Das persönliche RSA-Zertifikat hat standardmäßig eine Lebensdauer von einem Jahr, da es verwendet wird, um Daten, die über Kabelverbindungen gesendet werden, zu signieren und zu verschlüsseln. Die Aktualisierung des Zertifikats erfolgt über den Verfallsmonitor für Zertifikate, der für alle Zertifikate im System, einschließlich SSL-Zertifikate, verwendet wird.
Die Vertrauensstellung des RSA-Tokens ist hergestellt, wenn die Datei rsatoken-trust.p12 des Zielprozesses den Unterzeichner des Stammzertifikats des Clientprozesses enthält, der ein Token sendet. Im RSA-Token befindet sich das öffentliche Zertifikat des Clients, das am Ziel validiert werden muss, bevor es für die Entschlüsselung von Daten verwendet werden kann. Die Validierung des öffentlichen Zertifikats des Clients erfolgt über CertPath-APIs, die rsatoken-trust.p12 während der Validierung als Zertifikatsquelle verwenden.
${profile_root}\config\cells\${cellname}\nodes\${nodename}> keytool -list -v -keystore rsatoken-trust.p12
–storepass WebAS -storetype PKCS12
Alias name: root
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60AACell04, OU=BIRKT60AANode04, O=IBM, C=US
Serial number: 3474fccaf789d
Valid from: 11/12/07 2:50 PM until: 11/7/27 2:50 PM
Certificate fingerprints:
MD5: 7E:E6:C7:E8:40:4E:9B:96:5A:66:E5:0B:37:0B:08:FD
SHA1: 36:94:81:55:C4:48:83:27:89:C7:16:D2:AD:3D:3E:67:DF:1D:6E:87
*******************************************
Alias name: cn=9.41.62.64, ou=root certificate, ou=birkt60jobmgrcell02, ou=birkt
60jobmgr02, o=ibm, c=us
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60JobMgrCell02, OU=BIRKT60JobMgr02, O=IBM, C=US
Serial number: 34cc4c5d71740
Valid from: 11/12/07 4:30 PM until: 11/7/27 4:30 PM
Certificate fingerprints:
MD5: AB:65:3A:04:5B:C7:6D:A8:B1:98:B9:7B:65:A8:FA:F8
SHA1: C0:83:FE:D0:B6:30:FB:A1:10:41:4B:8E:50:4B:78:40:0F:E5:E3:35
*******************************************
Alias name: birkt60node19_signer
Entry type: trustedCertEntry
Owner: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Issuer: CN=9.41.62.64, OU=Root Certificate, OU=BIRKT60Node15Cell, OU=BIRKT60Node19, O=IBM, C=US
Serial number: 34825d997fda3
Valid from: 11/12/07 3:06 PM until: 11/7/27 3:06 PM
Certificate fingerprints:
MD5: 66:61:CE:7C:C7:44:8B:A7:23:FF:1B:68:E4:AC:24:55
SHA1: 25:E0:6B:D9:60:BB:67:5B:C6:67:BD:02:2C:54:E3:DA:24:E5:31:A3
*******************************************
Sie können die Tools zur Zertifikatverwaltung von WebSphere Application Server verwenden, um ein neues persönliches Zertifikat zu erstellen, und anschließend das persönliche RSA-Zertifikat in "rsa-key.p12" und den öffentlichen Schlüssel in "rsa-trust.p12" durch Ihr neu erstelltes persönliches Zertifikat ersetzen. Wenn Sie das persönliche RSA-Zertifikat vor der Einbindung in einen Verwaltungsagenten oder Job-Manager ersetzen, wird der Austausch der Zertifikate für Sie durchgeführt. Wenn Sie das Zertifikat nach der Einbindung ändern, müssen Sie sicherstellen, dass "rsa-trust.p12" im Verwaltungsagenten oder Job-Manager mit dem Unterzeichner für Ihr neues Zertifikat aktualisiert wird, damit die Vertrauensbeziehung hergestellt werden kann.