Beispiel: Überprüfung des Zertifikatswiderrufs mit dem Standard-Trust-Manager IbmPKIX aktivieren
Der Trust-Manager IbmPKIX ist in WebSphere Application Server standardmäßig aktiviert. Der Trust-Manager IbmPKIX unterstützt die Überprüfung des Zertifikatswiderrufs. Sie aktivieren die Zertifikatswiderrufsprüfung über die Administrationskonsole oder durch manuelle Aktualisierung der Datei ssl.client.props.
Standard-Trust-Manager IbmPKIX
<trustManagers xmi:id="TrustManager_managementNode_2" name="IbmPKIX" provider=
"IBMJSSE2" algorithm="IbmPKIX" trustManagerClass=""
managementScope="ManagementScope_managementNode_1">
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_1" name="com.ibm.se
curity.enableCRLDP" value="false" type="boolean" displayNameKey="" nlsRangeKey="
" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_2" name="com.ibm.js
se2.checkRevocation" value="false" type="boolean" displayNameKey="" nlsRangeKey=
"" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_3" name="ocsp.enable
e" value="false" type="String" displayNameKey="" nlsRangeKey="" hoverHelpKey=""
range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_4" name="ocsp.respo
nderURL" value="http://ocsp.example.net:80" type="String" displayNameKey=""
nlsRangeKey="" hoverHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_5" name="ocsp.respo
nderCertSubjectName" value="" type="String" displayNameKey="" nlsRangeKey="" hov
erHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_6" name="ocsp.respo
nderCertIssuerName" value="" type="String" displayNameKey="" nlsRangeKey="" hove
rHelpKey="" range="" inclusive="false" firstClass="false"/>
<additionalTrustManagerAttrs xmi:id="DescriptiveProperty_7" name="ocsp.respo
nderCertSerialNumber" value="" type="String" displayNameKey="" nlsRangeKey="" ho
verHelpKey="" range="" inclusive="false" firstClass="false"/>
</trustManagers>
Zertifikatswiderrufsprüfung mit dem Standard-Trust-Manager IbmPKIX aktivieren
Sie können die angepassten Einstellungen des Trust-Managers IbmPKIX über die Administrationskonsole anzeigen und ändern.
- Klicken Sie auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
- Klicken Sie unter "Zugehörige Elemente" auf Trust-Manager.
- Klicken Sie auf IbmPKIX.
- Klicken Sie unter "Weitere Eigenschaften" auf Angepasste Eigenschaften.
Angepasste Eigenschaften von IbmPKIX
- com.ibm.jsse2.checkRevocation
- Diese Eigenschaft konfiguriert die Widerrufsprüfung für die Java Virtual Machine
(JVM). Diese Eigenschaft ist standardmäßig auf "false" gesetzt, weil die für die SSL-Kommunikation verwendeten
WebSphere-Standardzertifikate
weder Verteilungspunkte für Zertifikatswiderrufslisten (CRL, certificate Revocation List) noch OCSP-Informationen (Online Certificate Status Protocol) enthalten.Anmerkung: Da diese Eigenschaft eine JVM-Eigenschaft ist, gilt der Wert tatsächlich für den gesamten Anwendungsserver. Wenn die Eigenschaft in Trust-Managern für unterschiedliche Geltungsbereiche definiert ist, wird der Wert des Trust-Managers IbmPKIX mit dem genauesten spezifizierten Geltungsbereich verwendet. Beispielsweise hat die auf Knotenebene definierte Eigenschaft für den Trust-Manager IbmPKIX Vorrang vor einer auf Zellenebene definierten Eigenschaft für den Trust-Manager IbmPKIX. Diese Eigenschaft wird für den Trust-Manager IbmX509 ignoriert.
- default
- false
- com.ibm.security.enableCRLDP
- Diese Eigenschaft konfiguriert die Überprüfung von Verteilungspunkten für Zertifikatswiderrufslisten für den Trust-Manager PKIX. Anmerkung: Wenn Sie die Überprüfung von Verteilungspunkten für Zertifikatswiderrufslisten aktivieren, müssen die für SSL (Secure Sockets Layer) verwendete Zertifikate einen gültigen und zugänglichen Verteilungspunkt enthalten. Andernfalls scheitert die SSL-Kommunikation, und der Server funktioniert nicht ordnungsgemäß.
- default
- false
Für Zertifikate, die keinen internen CRL-Verteilungspunkt enthalten, können die folgenden Eigenschaften verwendet werden, sodass der Widerrufstatus mittels eines fernen LDAP-Servers geprüft wird, der die CRL enthält.
- com.ibm.security.ldap.certstore.host
- Diese Eigenschaft gibt den Hostnamen des LDAP-Servers an, der die anerkannten
Zertifikate oder Zertifikatswiderrufslisten enthält. Der Ziel-LDAP-Serverhost wird verwendet, um CA-Zertifikate oder Zertifikatswiderruflisten
anzurufen, wenn ein Zertifikat validiert wird und der lokale Truststore
das erforderliche Zertifikat nicht enthält. Der lokale Truststore muss die erforderlichen Zertifikate enthalten, wenn kein LDAP-Server
angegeben ist. In den Fällen, in den ein LDAP-Server verwendet wird,
müssen sich auch die Stamm-CA-Zertifikate im lokalen Truststore befinden, da der LDAP-Server
kein gesicherter Zertifikatsspeicher ist.Anmerkung: Die Aktivierung dieser Eigenschaft zusätzlich zur Eigenschaft "com.ibm.jsse2.checkRevocation" ermöglicht die Widerrufsprüfung. Der ferne LDAP-Server muss eine gültige Zertifikatswiderrufliste enthalten, und der Server muss zugänglich sein. Wenn der Widerrufstatus nicht bestimmt werden kann, scheitern Prüfung und SSL-Kommunikation, und der Server funktioniert nicht ordnungsgemäß.
- default
- Ohne
- com.ibm.security.ldap.certstore.port
- Diese Eigenschaft gibt den LDAP-Serverport an. Der Portwert 389
wird standardmäßig verwendet, wenn kein LDAP-Serverport angegeben ist.
- default
- 389
- nocsp.enable
- ocsp.responder
- ocsp.responderCertSubjectName
- ocsp.responderCertIssuerName
- ocsp.responderCertSerialNumber
- com.ibm.security.enableCRLDP
- com.ibm.jsse2.checkRevocation
OCSP-Eigenschaften und CRL-Eigenschaften wirken sich auf die Zertifikatswiderrufsprüfung aus. Standardmäßig werden die OCSP-Eigenschaften zuerst geprüft. Wenn bei der Validierung des Zertifikats mit OCSP ein Fehler auftritt, verwendet der Validierungsprozess stattdessen einen CRL-Verteilungspunkt.
Wenn Sie einen Trust-Manager auswählen, werden die ihm zugeordneten Eigenschaften automatisch als Java-Systemeigenschaften definiert, so dass die Provider IBMCertPath und IBMJSSE2 wissen, dass die CRL-Überprüfung aktiviert oder inaktiviert ist. Dasselbe gilt für OCSP-Eigenschaften, bei denen es sich um Eigenschaften des Typs "java.security.Security" handelt.
Hinweise zu Clients
#-------------------------------------------------------------------------
# Standardeigenschaften für die Widerrufsprüfung
# Diese Eigenschaften werden für die Zertifikatswiderrufsprüfung mit dem IBM-Trust-Manager
# PKIX verwendet.
#
# Zum Aktivieren der erweiterten Überprüfung von CRL-Verteilungspunkten verwenden
# Sie die Systemeigenschaft "com.ibm.security.enableCRLDP".
#
# Die OCSP-Überprüfung ist standardmäßig nicht aktiviert. Sie können sie aktivieren,
# in dem Sie die Eigenschaft "ocsp.enable" auf "true" setzen. Die Verwendung
# der anderen OSCP-Eigenschaften ist optional.
#
# Anmerkung: Die OCSP- und die CRLDP-Überprüfung ist nur wirksam, wenn Sie auch die Widerrufsprüfung
# aktivieren, indem Sie die Eigenschaft "com.ibm.jsse2.checkRevocation" auf "true" setzen.
#
#-------------------------------------------------------------------------
com.ibm.jsse2.checkRevocation=false
com.ibm.security.enableCRLDP=false
#ocsp.enable=true
#ocsp.responderURL=http://ocsp.example.net
#ocsp.responderCertSubjectName=CN=OCSP Responder, O=XYZ Corp
#ocsp.responderCertIssuerName=CN=Enterprise CA, O=XYZ Corp
#ocsp.responderCertSerialNumber=2A:FF:00
Damit die Widerrufsprüfung im Client ordnungsgemäß verarbeitet werden kann, müssen Sie die Eingabeaufforderung für den Austausch der Sicherheitssignatur inaktivieren. Dazu ändern Sie in der Datei "ssl.client.props" den Wert der Eigenschaft com.ibm.ssl.enableSignerExchangePrompt in false.