Un almacén de certificados de colecciones es una colección de
certificados de CA (autoridad certificadora) que no sea root y listas CRL (Lista
de revocación de certificados). Esta colección de certificados de CA y listas CRL se
utilizan para comprobar si hay una firma válida en un mensaje SOAP firmado digitalmente.
Acerca de esta tarea
Un almacén de certificados de colecciones es una colección de
certificados de la entidad emisora de certificados (CA) y de listas
de revocación de certificados (CRL) no raíz que se utilizan para comprobar
si la firmas de los mensajes SOAP firmados digitalmente son válidas. Efectúe los pasos siguientes para configurar un
certificado de colecciones para los enlaces de consumidor en el nivel de aplicación.
Procedimiento
- Localice el panel de configuración del almacén de certificados de colecciones
en la consola administrativa.
- Pulse .
- En Módulos, pulse .
- En las propiedades de Web Services Security, puede acceder a la información de almacén de certificados de colecciones para los enlaces de consumidor de respuestas y consumidor de solicitudes.
- Para el enlace del consumidor (receptor) de respuestas, pulse Servicios web:
enlaces de seguridad del cliente. En Enlace del consumidor (receptor) de respuestas, pulse
Editar personalizado.
- Para el enlace del consumidor (receptor) de solicitudes, pulse Servicios web:
enlaces de seguridad del servidor. En Enlace del consumidor (receptor) de respuestas, pulse
Editar personalizado.
- En Propiedades adicionales, pulse Almacén de certificados de
colecciones.
- Pulse Nuevo para crear una configuración de almacén de certificados de
colecciones, pulse en Suprimir para suprimir una configuración existente, o pulse
el nombre de una configuración de almacén de certificados de colecciones existente para
editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo
Nombre del almacén de certificados.
El nombre
del almacén de certificados de colecciones debe ser exclusivo en el nivel de servidor de
aplicaciones. Por ejemplo, si crea el almacén de certificados de colecciones para el nivel de
aplicación, el nombre de almacén debe ser exclusivo en el nivel de aplicación. El nombre especificado en el campo Nombre del almacén de certificados lo utilizan las
demás configuraciones para hacer referencia a un almacén de certificados de colecciones
definido previamente. WebSphere Application Server busca el almacén de certificados de
colecciones basándose en la proximidad.
Por ejemplo, si un enlace de la aplicación hace referencia a un
almacén de certificados de colecciones denominado cert1, el servidor de
aplicaciones busca cert1 en el nivel de aplicación antes de buscar en el nivel
de servidor y después en el nivel de célula.
- Especifique un proveedor del almacén de certificados en el campo Proveedor del
almacén de certificados. WebSphere Application Server da soporte al proveedor
de vías de acceso de certificados IBMCertPath. Para utilizar otro proveedor del almacén
de certificados, debe definir la implementación del proveedor en la lista de proveedores
en el archivo
dir_instalaciónr/java/jre/lib/security/java.security
dir_instalación/properties/java.security
raíz_perfil/properties/java.security.
Sin embargo, asegúrese de que su proveedor da soporte a los mismos requisitos del
algoritmo de vía de acceso de certificados que WebSphere Application Server.
- Pulse Aceptar y Guardar para guardar la configuración.
- Pulse en el nombre de la configuración del almacén de certificados. Una vez que especifique el proveedor del almacén de certificados, debe especificar la
ubicación de una lista de revocación de certificados o los certificados X.509. Sin embargo, puede especificar una lista de revocación de certificados y los certificados
X.509 para la configuración del almacén de certificados.
- En Propiedades adicionales, pulse Listas de revocación de certificados.
- Pulse Nuevo para especificar una vía de acceso de lista de revocación
de certificados, pulse Suprimir para suprimir una referencia de la lista
existente, o pulse el nombre de una referencia existente para editar la vía de acceso. Debe especificar la vía de acceso completa para la ubicación en la que
WebSphere Application Server puede encontrar la lista de certificados que no son válidos. Para poder portarlas, se recomienda utilizar las variables de WebSphere Application Server para especificar una vía de acceso relativa a la lista de revocación de
certificados (CRL). Esta recomendación es especialmente importante cuando trabaja en un entorno de WebSphere Application Server, Network Deployment.
Por ejemplo, puede utilizar la
variable USER_INSTALL_ROOT para definir una vía de acceso como, por ejemplo,
$USER_INSTALL_ROOT/mycertstore/mycrl1.
Si desea una lista de las variables admitidas, pulse en la consola administrativa. La lista siguiente proporciona
recomendaciones para utilizar las CRL:
- Si se añaden las CRL al almacén de certificados de colecciones, añada las CRL para la autoridad de certificados raíz y cada certificado intermedio, si resulta aplicable. Cuando la CRL está en el almacén de colecciones de certificados, el estado de revocación de certificados para cada certificado de la cadena se comprueba en la
CRL del emisor.
- Cuando se actualiza el archivo CRL, la nueva CRL no tiene ningún efecto hasta que se reinicia la aplicación de servicio web.
- Antes de que caduque una CRL, debe cargar una CRL nueva en el almacén de colecciones de certificados para sustituir la CRL antigua. Una CRL caducada del almacén de certificados de colecciones da como resultado un error de creación de la vía de acceso de certificados (CertPath).
- Pulse Aceptar y Guardar para guardar la configuración.
- Vuelva al panel de configuración del almacén de certificados de colecciones. Consulte los primeros pasos para localizar el panel del almacén de certificados de colecciones.
- En Propiedades adicionales, pulse Certificado
X.509.
- Pulse Nuevo para crear una configuración nueva para certificados X.509,
pulse en Suprimir para suprimir una configuración existente, o pulse el nombre de
una configuración de certificados X.509 existente para editar sus valores. Si está editando una nueva configuración, especifique un nombre en el campo
Nombre del almacén de certificados.
- Especifique una vía de acceso en el campo Vía de acceso de certificados X.509. Esta entrada es la vía de acceso absoluta a la ubicación de los certificados X.509. Este almacén de
certificados de colecciones se utiliza para la validación de vías de acceso de
certificados de los símbolos de seguridad entrantes con formato X.509.
Puede utilizar la variable USER_INSTALL_ROOT como parte del nombre de vía de acceso. Por ejemplo, podría escribir: USER_INSTALL_ROOT/etc/ws-security/samples/intca2.cer.
No utilice esta vía de acceso de certificados para producción. Debe obtener su propia
autorización de certificado X.509 pasando el entorno de WebSphere Application Server a
producción.
En la consola administrativa, pulse para configurar la variable USER_INSTALL_ROOT.
- Pulse Aceptar y seguidamente Guardar para guardar la configuración.
Resultados
Ha configurado los almacenes de certificados de colecciones para el enlace de
consumidor.
Qué hacer a continuación
Debe realizar la configuración de un consumidor de señales que haga referencia
a esta configuración del almacén de certificados.